✍️ Экспертный совет Минцифры по электронной подписи

Подписан приказ Минцифры России от 09.12.2025 № 1157 об Экспертном совете по вопросам внедрения и использования электронной подписи и сертификатов безопасности.

В фокусе работы не только нормативка и технологии, но и создание, выдача и работа сертификатов безопасности НУЦ.

Деятельность прошлого Экспертного совета была нулевой, единственное заседание прошло в декабре 2013 года, всё. Проблемы сферы, например, с долговременным хранением, не решались, только создавались новые, в итоге имеем:

🔹ни одно сертифицированное средство электронной подписи в стране не выполняет требования приказа Минцифры от 14 сентября 2020 года N 472 о формате электронной подписи.
🔹ни один удостоверяющий центр в стране не выполнял до 2025 года норму части 3 статьи 18 63-ФЗ, как она была написана, в части ознакомления с информацией о квалифицированном сертификате.
🔹в 2020 году граждане, которые в период пандемии были лишены возможности посетить удостоверяющий центр, не были обеспечены трехмесячными квалифицированными сертификатами. Ни один аккредитованный УЦ технически не был готов выполнить норму 166-ФЗ.
🔹более года Минцифры использовало несертифицированное средство электронной подписи (в том числе для подписания XML-представления аккредитованных УЦ) в инфраструктуре электронного правительства.
🔹Госуслуги не оповещают о приближении окончания срока квалифицированных сертификатов от УЦ ИИТ, полученных через Госключ.

Это только часть, сейчас к ним добавился ещё и ГУЦ.

Насколько эффективным будет новый совет покажет время, останется он и дальше ДСП или будет способствовать решению вопросов и развитию сферы. Обсуждать проблемы на имеющихся площадках в нашей сфере не принято, Минцифры может обидеться и не приехать следующий раз.

Что будет с Экспертным советом по вопросам совершенствования электронного документооборота в органах государственной власти - вопрос открытый.

На уходящей неделе в рамках форума "Антифрод Россия" заместителем министра цифры озвучена дата 01.09.2027, как создание Национального удостоверяющего центра и внедрение российских сертификатов безопасности.

Даты 1 сентября 2027 нет в редакции законопроекта по Антифроду, который прошел оценку регулирующего воздействия.

Ключевые этапы в части НУЦ из имеющейся редакции:
🔹01.01.2027 - вступают в силу фундаментальные нормы, создающие правовую основу для Национального удостоверяющего центра (НУЦ): определение и назначение сертификата (ч. 1), порядок утверждения Положения о системе и определения оператора (ч. 2, 3), структура системы (ч. 4) и виды сертификатов (ч. 5), порядок установления требований уполномоченным органом (ч. 6), правила бесплатной выдачи сертификатов госорганам и иным организациям (ч. 7), полномочия для некоммерческих организаций и регистраторов/хостинг-провайдеров (ч. 9, 10).
🔹01.07.2027 - начало практического внедрения, вступают в силу нормы для ключевых участников рынка:
- для разработчиков: обязанность предустанавливать сертификаты корневого НУЦ в средствах криптозащиты (ч. 11) и определенном ПО (ч. 12).
- для государства: обязанность госорганов обеспечить возможность взаимодействия с использованием сертификатов НУЦ (ч. 13).
🔹01.01.2028, этап коммерциализации: вступают в силу финальные положения.
- платные сертификаты: норма, разрешающая взимать плату с коммерческих организаций за выдачу сертификатов (ч. 8), сами правила установления размера этой платы начинают применяться уже с 01.07.2027.
- Правительство России получает право устанавливать случаи обязательного использования сертификатов НУЦ (ч. 14).

Законодатель выбрал поэтапный подход: сначала создается система и её базовые правила (2027), затем на ключевые группы накладываются обязанности по её использованию (середина 2027), и в последнюю очередь вводятся коммерческие нормы и возможность полного обязательного перехода (2028).

С учётом озвученной даты 1 сентября 2027 года, как создания НУЦ, приведенные сроки должны сдвинуться вправо, ждём внесения законопроекта в Госдуму.

✍️ "Об ЭП и УЦ"

✍️PKI и OSINT

PKI и OSINT - может ли одна сфера использовать другую? Я хоть и прочитал пару книг по бизнес-разведке, осинтером не являюсь. Но разве это мешает рассмотреть, как можно использовать PKI для OSINT?

OSINT - сбор, анализ и распространения информации, полученной из общедоступных источников. PKI - инфраструктура открытых ключей. И там и там есть про открытость и общедоступность, итак, PKI глазами осинтера:
🔹Поиск по реестрам УЦ.
🔹Файлы сертификатов с ПДн из ЭП.
🔹МЧД и цепочка получения персональных данных.

1. Реестры УЦ
Ещё 5-7 лет назад многие УЦ выкладывали на свои сайты реестры excel, содержащие информацию о выданных сертификатах, либо просто
УЦ предоставляли доступ к реестру сертификатов. Причины - неоднозначные трактовки ч. 3 ст. 15 63-ФЗ и 1138 приказа Минцифры России, согласно которым АУЦ обязан предоставлять безвозмездно любому лицу по его обращению сведения, содержащиеся в реестре квалифицированных сертификатов.

2. Файлы с электронными подписями
Самый простой метод сбора, скачиваем с условных госзакупок файл подписи, загружаем в e-trust и видим содержание сертификата - ФИО, СНИЛС, ИНН ФЛ, адрес электронной почты и т.д. Действительность подписи проверять необязательно.

3. Получение ПДн с использованием МЧД
Самый интересный способ, достаточно знать номер МЧД и получить не только данные из сертификата, но и паспортные данные (пока ещё).

✍️ "Об ЭП и УЦ"

✍️Простая электронная подпись и "рекомендации" Банка России (часть 3)

В прошлом году Банк России разместил на своем сайте рекомендации "Недостаточное информирование клиентов при подписании документов простой электронной подписью" (спасибо подписчику за ссылку). Прочитав их задаёшься вопросом - а сам Банк России достаточно информирован по данному вопросу?

В рекомендациях говорится, что банки и микрофинансовые организации активно используют ПЭП, например, код из SMS, для подписания договоров.

На что обращается внимание:
1️⃣ Не показывают документы перед "подписанием", условия объясняют "на словах".
2️⃣ Одним кодом подписывается целый пакет документов разом: от договора до согласия на рекламу.

Как должно быть (по рекомендациям ЦБ):
🔹Документы показывают ДО подписания - на телефоне, планшете или бумаге.
🔹Код используется только для тех документов, которые вы увидели и с которыми согласились.
🔹SMS с кодом должна содержать не просто цифры, а указание, что именно вы подписываете.

📣Самое главное - Банк России ничего не говорит про норму части 2 статьи 6 63-ФЗ и случаи признания электронного документа, подписанного ПЭП, равнозначным документу на бумажном носителе, подписанному собственноручной подписью.

часть 1, часть 2

✍️Об ЭП и УЦ

Госзакупки, ЕСИА и блокировки❌

Последствия цифровизации не заставили себя ждать и чтобы пользователи не обрывали линию поддержки Госзакупки разместили с тегом "критическое" новость "Авторизация в личных кабинетах ЕИС в сфере закупок для организаций, зарегистрированных с использованием ЕСИА". Причина - блокировки на 72 часа со стороны Госуслуг в целях защиты пользователей после самостоятельного восстановления доступа к учетной записи.
 
❓Почему вообще блокируют? Внятного пояснения нет, только общее описание:

При подозрительных действиях в вашем личном кабинете на Госуслугах портал ограничивает вход на другие сайты, а также в приложение «Госключ». Система портала автоматически распознаёт такие действия исходя из схем мошенников по взлому учётной записи.
К таким событиям с высоким риском относятся, например:
🔹вход в учётную запись с нового устройства
🔹восстановление пароля
Ограничение нужно для защиты ваших личных данных

Зашёл сам на Госуслуги с компьютера вместо телефона - получил блок.

При подозрительных действиях с учётной записью ЕСИА блокируется вход на "чувствительные ресурсы" (к которым, кстати, относится и Госключ). Норма была введена законом о борьбе с кибермошенничеством.

✅Минцифры в рамках общественного обсуждения второго пакета законопроекта об антифроде учло предложение канала о расширении способов восстановления доступа к учётной записи ЕСИА новым способом - с использованием квалифицированной электронной подписи. Законопроект прошел оценку регулирующего воздействия, но согласование его норм ещё продолжается.

🚀Об ЭП и УЦ

Почему стыдно за Госключ Минцифры. Акт второй

В августе мы словили знатный испанский стыд. Позволим себе процитировать себя же:

Не проводя никаких опросов и исследований, не анализируя уязвимость одного решения, презирая принципы конкуренции Минцифры решило, что лучше знает, как бизнесу подписывать свои документы.

Тут же вспоминается закрытый для всех удостоверяющих центров, но доступный для Госключа сервис по проверке биометрических данных из загран паспорта.

Нам тогда показалось, что дно достигнуто, но, как часто бывает, тут снизу постучали.

В приведенном письме целый зам руководителя Минцифры собирает операторов ЭДО, чтобы заставить их использовать подписать соглашение о намерении использовать Госключ.

"Почему же это плохо? Ведь инструмент надо развивать, а операторы - это правильный институт для тиражирования" - может спросить нас читатель. Дадим пару комментариев, почему нас так задевают подобные действие сотрудников гос органов.

1. Подписать соглашение о намерении надо именно с использованием Госключа.
Само по себе такое требование - это чистой воды популизм, ничего общего не имеющий с удобством сервиса. Кстати, очень много говорит сама формулировка этого пункта. Там же просто кровь из глаз. Как можно настолько не читать что пишешь и подписываешь - загадка.
Минцифры предлагает ген директорам сбегать в налоговую ножками и получить себе сертификат ЮЛ в Госключе или найти какого-то зама и выдать ему МЧД. Кстати, не раскрывается вопрос, а можно ли сотруднику получить в Госключе НЭП.

2. В программе предполагается (смотри пункт 2), что зам министра планирует операторам рассказывать про "Планы операторов электронного документооборота по расширению внедрения и применения технологии мобильной электронной подписи «Госключ» на 2026 год". Ну а потом уже можно самих операторов послушать.

3. Минцифры - единственный орган власти, который не согласовал проект федерального закона об операторах ЭДО, потому что "не видит в нём смысла". Чисто потребительский подход: на уровень федерального закона мы вас не пустим, но там, где нам надо, мы вас попользуем. Кажется, что операторам на встрече надо просить что-то у Минцифры взамен своего согласия продвигать Госключ.

4. Если сервис хороший, то им будут пользоваться без административного ресурса. Тот же ЕПГУ - действительно удобный инструмент для решения многих задач, аналога которому в мире особо нет.
Но даже использование административного ресурса для достижения каких-то своих показателей может быть тоньше и красивее.

5. Ну и не будем забывать, что многие крупные операторы являются удостоверяющими центрами. И именно Минцифры решила, что УЦ не надо иметь доступ к сервису удаленной идентификации по заграну с биометрией, потому что такой технологией должен обладать только Госключ. Лицемерие чистой воды...

6. А само соглашение бессмысленно и тоскливо. Чего стоит хотя бы пункт:

2.1. Министерство в рамках реализации Соглашения выражает следующие намерения:
2.1.1. обеспечить функционирование платформы подписания документов в соответствии с требованиями законодательства Российской Федерации;

То есть, если бы не соглашение, то такого намерения у Минцифры бы не было?

Ну а операторам, конечно, не позавидуешь. Это какие же надо иметь ... скилы, чтобы регулятору в лицо сказать, что ваш продукт нам не особо-то нужен, мы на нем не заработаем, скорее наоборот, вы потом нас же заставите платить за каждую транзакцию. А ещё объяснить, что следующий год и так наполнен работой через край и отрывать разработчиков для хотелок Минцифры - решение плохое.

В общем снова цитируем себя же: "Стыдно, господа, стыдно".

🚀 ЭДО для бизнеса

#минцифры #госключ #эп