Tekhnonacional

Tekhnonacional

На Пикабу
6684 рейтинг 11 подписчиков 5 подписок 202 поста 42 в горячем

Риски самостоятельной перезаписи ЭП на старый токен: что важно знать

Электронная подпись (ЭП) играет ключевую роль в работе с документами в цифровом формате. Однако, если срок действия вашего сертификата ЭП истёк, важно правильно подойти к его продлению. Один из распространённых вопросов — можно ли использовать старый токен для самостоятельной перезаписи сертификата? Давайте разберёмся.

Риски самостоятельной перезаписи ЭП на старый токен: что важно знать Информационная безопасность, IT, Российское производство, Электронная подпись, Программа

Почему перезапись на старый токен — это риск?

Во первых нужно учитывать износ оборудования

Токен, на котором хранится ключ электронной подписи, со временем изнашивается. Повторное использование старого токена повышает риск его поломки в самый неподходящий момент.

Во вторых, присутствует риск компрометации данных

Если токен был ранее использован для хранения ключей ЭП, есть вероятность его компрометации (например, доступ третьих лиц). Использование старого носителя увеличивает вероятность утечки данных.

В третьих, возможна несовместимость с новыми стандартами

С каждым годом требования к безопасности данных ужесточаются, а программное обеспечение обновляется. Старый токен может не поддерживать новые криптографические алгоритмы или стандарты, что приведёт к отказу в обслуживании.

В четвертых, присутствуют законодательные ограничения

Некоторые удостоверяющие центры (УЦ) могут отказать в перезаписи сертификата на старый токен, если он не соответствует текущим требованиям. Это добавит затрат и времени на исправление ситуации.

Почему лучше обновить токен?

Полная замена токена при истечении срока действия ЭП — это гарантия:

• Долговечности: новый токен прослужит весь срок действия нового сертификата.

• Безопасности: исключается риск использования скомпрометированного оборудования.

• Соответствия законодательству: новый токен соответствует актуальным стандартам УЦ.

Рекомендации по обновлению ЭП

Проверяйте срок действия вашего сертификата и готовьтесь к обновлению за 2-3 недели до истечения.

Перед визитом в УЦ проверьте исправность токена. Если он повреждён или устарел, сразу закажите новый.

Обращайтесь только в аккредитованные удостоверяющие центры для получения актуального оборудования.

В случае возникновения вопросов, связанных с перезаписью или обновлением, проконсультируйтесь с технической поддержкой вашего УЦ.

Своевременное обновление токена и сертификата позволит вам избежать сбоев в работе и сохранит доступ ко всем необходимым цифровым сервисам.

Показать полностью

Группа банков планирует создать роуминг для проведения платежей по всем существующим QR-кодам

Сбербанк, Т-банк и Альфа-банк хотят создать платежный роуминг, чтобы проводить операции по всем существующим на рынке QR-кодам .  Это может стать альтернативой единому QR-коду, который планирует внедрить ЦБ.

Группа банков планирует создать роуминг для проведения  платежей по всем существующим QR-кодам IT, Информационная безопасность, Предпринимательство, Интернет-банкинг, Сбербанк, Российское производство, QR-код, Услуги, Роуминг

Сейчас одни банки не умеют считывать QR-код других банков. Поэтому есть предложение  не ограничивать количество операторов QR на рынке, а провести работы по сопряжению платформ, чтобы бесшовно передавать клиентов между несколькими операторами.

Если банк будет понимать, что его QR-код пытаются считать с помощью приложения, которое не может это сделать, но может считывать другой QR-код, то банк сделает подмену ссылки на платформу от НСПК, чтобы обработать платеж, что, по мнению представителей объединения, является «элементарной доработкой».

Банки, при этом, будут получать определенный доход за то, что они «перекидывают» пользователя на другую платформу.

В идеале ситуация видится такой: клиент вообще не думает, как платить, так как ему доступны все инструменты, включая цифровой рубль.

Показать полностью 1

Получить токен ЭП для россиян стало возможно за рубежом

С 1 июля 2024 года у граждан России, проживающих в Армении, Киргизии, Казахстане и Узбекистане, появится возможность получить токен ЭП для использования усиленной квалифицированной электронной подписи. Эта мера, предложенная Министерством иностранных дел РФ, направлена на обеспечение доступа к государственным и муниципальным услугам россиянам за границей, учитывая текущие санкционные ограничения.

Получить токен ЭП для россиян стало возможно за рубежом Политика, Информационная безопасность, IT, Электронная подпись, БРИКС, Криптография

Проект будет действовать до конца 2025 года и позволит россиянам дистанционно подтверждать учетные записи на портале «Госуслуги», взаимодействовать с банками и подписывать юридически значимые документы. Квалифицированные сертификаты ключей проверки электронной подписи можно будет оформить в филиалах структур МИД в Армении и Киргизии, а также в представительствах Россотрудничества в Казахстане и Узбекистане.

Электронная подпись предоставляет пользователям возможность безопасно подтверждать личность и подписывать документы. Получив токен ЭП, россияне за рубежом смогут решить проблемы, связанные с недоступностью отечественных цифровых сервисов. Нужно учитывать, что подобная ЭП можно пользоваться лишь для частных целей — применить ее как ИП или руководитель компании, например чтобы подписать электронную декларацию по УСН, не получится.

Результаты пилотного проекта будут оценены в 2025 году, и возможно, его действие расширят на другие страны.

Как получить токен ЭП за границей:

Для этого в Армении и Киргизии можно будет обратиться в информационно-консультационные центры при консульствах а в Казахстане и Узбекистане — в офисы Россотрудничества .

Заявителям понадобится:

  • Внутренний или загранпаспорт

  • СНИЛС

  • ИНН

Сотрудники пунктов по защищенному каналу связи направят запрос на изготовление сертификата КЭП в удостоверяющий центр в России. А удостоверяющий центр по такому же каналу перешлет сертификат в пункт приема, где его запишут на флешку и передадут заявителю

Показать полностью 1

RuStore обогнал App Store по числу пользователей в России

Российский магазин приложений установлен уже на 80 миллионах устройств, и в нём доступно 50 тысяч приложений, 30% из которых — иностранные.

RuStore обогнал App Store по числу пользователей в России IT, Импортозамещение, Информационная безопасность, Российское производство, Мобильные телефоны, Приложение на Android, Промышленность, Telegram (ссылка)

С февраля 2023 года, когда платформа заработала полноценно, пользователи скачали приложения и игры более 300 млн раз. RuStore предлагает уникальный для российских пользователей контент – например, «Госуслуги» и приложения российских банков, которые нельзя найти в других маркетплейсах.

Ставка на предустановку на Android-устройствах и интерес со стороны зарубежных разработчиков делают RuStore заметным игроком на рынке, который активно привлекает как пользователей, так и бизнес.

Потенциал в российской платформе видят и иностранные разработчики. Например, в 2024 году китайские разработчики в 5 раз увеличили расходы на продвижение в RuStore, вложив 60 млн рублей.

Показать полностью

Как правильно пользоваться ЭП токеном

За последние несколько месяцев количество новостей о преступлениях информационных мошенников заметно выросло. Преступники пользуются наивностью пользователей и их низкой осведомленностью в области информационной безопасности. Действительно, не обладая четким пониманием, как работает система и как пользоваться ЭП токенами, люди начинают нервничать, переживать за свои накопления и моментально попадают в зону интересов мошенников, легко поддаваясь их влиянию. При этом мошенники, по сути, все делают руками самих же пострадавших.

Как правильно пользоваться ЭП токеном Информационная безопасность, IT, Электронная подпись, Киберпреступность, Импортозамещение, Госуслуги, Токены, Криптография, Длиннопост

Например, один из последних случаев, расследованных в Тульской области, показал, что информационные преступники не только похищают денежные средства, но и заставляют людей нарушать общественный порядок. 24 декабря в Кимовске полицейские задержали 68-летнюю местную жительницу, использовавшую пиротехническое изделие в помещении одного из офисов банка.

Накануне бабушке позвонили и сообщили, что являются представителями ресурсоснабжающей организации, а также, что в квартире женщины необходимо произвести срочную замену приборов учета (счетчиков), на что женщина согласилась. Затем поступило Смс-сообщение с цифровым кодом, который она назвала неизвестному и разговор был прерван. Как в последствии выяснилось, данный код был необходим злоумышленникам для следующего этапа их преступного замысла - получения доступа к личному кабинету электронного портала «Госуслуги». Далее поступил еще один вызов от неизвестного, представившегося в ходе беседы работником некой контролирующей организации под названием «Роснадзор». На этот раз мужчина сообщил, что она стала жертвой мошенников и попросил зайти в свой личный кабинет электронного портала «Госуслуги», где женщина обнаружила доверенность на получение электронной подписи, которую не оформляла. Об этом она сообщила собеседнику. После чего, пенсионерка отправилась банк для снятия денег со счета, что, естественно не удалось. Под влиянием стресса и манипуляции мошенников, бабушка купила пиротехнику и зажгла ее в помещении банка.

История и смешная, и грустная. Очевидно, что бабушка не представляет никакой угрозы, однако все могло быть иначе, если бы пенсионерка знала о базовых принципах ИБ и пользовании ЭП токеном. Первой и основной проблемой этого кейса и многих других подобных, это отсутствие токена как такового. Если бы бабушка пользовалась ЭП токеном, то подобная схема бы не сработала.

Флешка и Токен

Это разные вещи. Токен, хоть визуально и похож на флеш-карту, обладает встроенной дополнительной защитой. На все токенах установлен пароль — стандартный пин-код из восьми цифр. Он общеизвестный, поэтому, чтобы защитить свои данные, перед началом работы замените пин-код на собственный. Не используйте для этого даты рождения родных и близких — такие пароли можно подобрать. Будьте осторожны со сложными комбинациями — забытый пин-код нельзя восстановить. При этом мы не советуем записывать пароль, но если вы решите это сделать, храните листочек с паролем в защищенном месте.
ЭП, записанная на обычную флешку, хоть и может быть дополнительно запаролена, все равно не будет обладать аналогичным уровнем безопасности.

На большинстве токенов стоят средства криптографической защиты информации (СКЗИ), которые проходят проверку в ФСБ. Они есть, например, на Рутокене ЭЦП 3.0. Также токены проходят проверку Федеральной службы по техническому и экспортному контролю (ФСТЭК). Эта служба проверяет, чтобы на устройстве не было незадекларированный возможностей.

Флешки дополнительно не проверяют на безопасность. Поэтому если этот носитель попадет в руки злоумышленников, они смогут взломать пароль на ней.
Некоторые токены содержат встроенный криптопровайдер.

Такие токены сертифицируются ФСБ и могут быть использованы без отдельного криптопровайдера на компьютере.

Вход на Госуслуги по электронной подписи
Вход на Госуслуги с помощью ЭП токена является самым безопасным. Ниже даем быструю и простую инструкцию
1. Перейдите на сайт портала: https://www.gosuslugi.ru/
2. На главной странице портала щелкните по ссылке Личный кабинет.
3. На странице для входа в личный кабинет щелкните по ссылке Вход с помощью электронной подписи.
4. Если токен не подключен к компьютеру, то подключите его и нажмите Готово.
5. Если в браузере отобразилось окно Ошибка: не установлен Плагин, то необходимо перейти в Дополнительные настройки.
6. Если в браузере отобразилось окно для выбора сертификата ключа проверки ЭП, то щелкните по необходимому сертификату.
7. Введите PIN-код устройства и нажмите Продолжить.
8. Если в браузере отобразилось окно с сообщением о том, что вход с помощью ЭП отключен, то перейдите к процедуре настройка учетной записи.
9. Если в браузере отобразилась главная страница портала Госуслуги, то значит все настроено и вы можете продолжить работу с его сервисами.

Перешлите эту статью вашим родственника и друзьям, которые все еще не пользуются дополнительными средствами ИБ защиты. Простая инструкция, как пользоваться ЭП токеном, поможет обезопасить ваши данные, деньги и нервы.

Показать полностью 1

Генассамблея ООН приняла новую Конвенцию против киберпреступности

Процедура прошла этой ночью или днём по Нью-Йорку. Резолюция о конвенции была принята консенсусом, то есть без голосования, как до этого произошло и в профильном Третьем комитете Генассамблеи. Итоговый проект можно посмотреть здесь

Генассамблея ООН приняла новую Конвенцию против киберпреступности Политика, Информационная безопасность, Законопроект, ООН, Киберпреступность, Конвенция

Идея глобального правового инструмента для борьбы с преступлениями в сфере информационных технологий и угрозами в интернете имеет долгую историю. Отправной точкой можно Будапештскую конвенцию , утвержденную в 2001 году Советом Европы и ставшую первым международным договором регионального уровня в этой области

С 2010 года Россия начала  выступать за разработку глобальной конвенции о борьбе с киберпреступностью на уровне ООН. В 2019 году, после почти 10 лет подготовки, Россия предложила Генассамблее ООН официально запустить переговоры по разработке новой конвенции. Российскую инициативу поддержали почти 50 стран, в том числе союзники по ОДКБ, Индия, Китай и ЮАР. Оппонентами же выступили западные страны, которые стремились расширить состав участников Будапештской конвенции и закрепить за ней статус основного инструмента сотрудничества в сфере борьбы с киберпреступностью.

По итогу дипломатической схватки перевес голосов оказался в пользу России и ее единомышленников: 79 «за», 60 «против». Для разработки конвенции был создан спецкомитет, который из-за пандемии фактически начал работать лишь в 2022 году.

В ООН отмечают, что расследование транснациональных киберпреступлений часто зависит от электронных доказательств, которые могут находиться в разных юрисдикциях, что создаёт трудности для следствия. Конвенция упрощает доступ к таким данным и обмен ими.

Страны-участники также получат поддержку через круглосуточную сеть оперативной помощи. К этой сети можно будет обращаться для содействия расследованиям, установлению личности преступников, аресту, изъятию преступных доходов, а также для предоставления правовой помощи и осуществления экстрадиции.

Конвенция стала первым глобальным соглашением, которое призвано защитить детей от сексуального насилия с использованием информационных технологий. Документ стимулирует страны к оказанию помощи и защите жертв, включая реабилитацию, компенсацию и удаление незаконного контента.

Наконец, Конвенция требует от государств разрабатывать меры по снижению угроз киберпреступности. Это включает в себя обучение для работников государственного и частного секторов, программы реабилитации для правонарушителей, поддержку жертв и другие инициативы.

«Запуск механизмов, предусмотренных Конвенцией, позволит нанести сокрушительный удар по информационной преступности, масштабы которой увеличиваются в геометрической прогрессии» - в частности говорилось  в обращении представителя России, выступавшего на правах инициатора непосредственно перед принятием конвенции.

Церемония подписания конвенции пройдёт в 2025 году в Ханое.

Показать полностью

Голосовые вызовы в приложениях могут быть ограничены

Из-за роста активности мошенников в мессенджерах власти не исключают  введение ограничений на звонки в них. Обсуждается как полная блокировка голосовых вызовов в приложениях, так и запрет на звонки из-за границы. Сейчас, по оценкам операторов связи, около 40% вызовов в мессенджерах совершают мошенники, при этом примерно 70% из них поступают из-за рубежа.

Операторы связи говорят, что не могут без дополнительных инструментов блокировать звонки в мессенджерах и подобное ограничение возможно только на уровне Роскомнадзора.

Голосовые вызовы в приложениях могут быть ограничены Политика, IT, Информационная безопасность, Законопроект

Российские власти инвестировали много средств в построение суверенного интернета и инфраструктуру для фильтрации информации.  Теперь полученные инструменты можно применять к любым проблемам, например к мошенничеству. Это же и самый простой путь: запретить и все дела.

Однако успех мошеннических схем зависит не только и не столько от канала коммуникации, сколько от качественной подготовки и изучения жертвы. Атаки не были бы столь успешны и многочисленны, если бы в распоряжении не было такого огромного объёма персональных данных.

Между тем, из-за бесчисленных успешных взломов и сливов баз данных, а также с помощью разнообразных сервисов злоумышленникам не составляет труда составить базовый профиль на свою жертву (ФИО, контактные данные, родственники, адрес и телефон, наличие счетов в банках и пр.), что существенно повышает эффективность социальной инженерии для кражи денег или, например, при организации диверсий.

Проблема утечек персданных вроде бы признаётся, но в основном в декларативном порядке. Конечно, нельзя сказать, что совсем ничего не делается. Например, увеличение штрафов за допущение утечек создаёт стимул для организаций больше инвестировать в обеспечение безопасности. Но, по сути, государство усилило кнут, не предложив пряник, что неизбежно будет подталкивать организации к сокрытию инцидентов и перекладыванию ответственности. Также по-прежнему ничего не сделано для того, чтобы граждане были в курсе того, что их данные из какого-то сервиса утекли их данные: у организаций нет обязанности уведомлять клиентов  и они не несут никакой ответственности за утаивание или сообщение неверных данных об утечке.

Показать полностью 1

Компания по обеспечению кибербезопасности из США признана не желательной в России

Сегодня утром Генеральная прокуратура России сообщила о признании нежелательной деятельности Recorded Future, - американской компании в сфере кибербезопасности.  Компания специализируется  на киберразведке.

Компания по обеспечению кибербезопасности из США признана не желательной в России Политика, Информационная безопасность, Киберпреступность, Прокуратура, IT

Основанием для вынесения вердикта, согласно пресс релизу Ген. Прокуратуры, стало то, что сотрудники компании в процессе своей деятельности активно взаимодействуют с ЦРУ и разведслужбами других государств,  а также  обеспечивают информационно-техническую поддержку развернутой Западом пропагандистской кампании против России.

«Организация участвует в сборе и анализе данных о действиях Вооруженных Сил РФ. Обеспечивает украинским специалистам свободный доступ к программам, используемым для подготовки и проведения наступательных информационных операций против России» - говорится в документе.

Recorded Future названа неправительственной организацией, которая «финансируется за счет американских корпораций»

Это первый случай, когда инфобез-компания получила в России такой статус.

Внесение Recorded Future в список нежелательных организаций может иметь определённые последствия для российских ИБ-компаний. Так, в России предусмотрена административная и уголовная ответственность за участие в деятельности нежелательных организаций, а это, по опыту, включает и распространение любых материалов такой организации, то есть дажепростая  ссылка на отчет Recorded Future может считаться нарушением.

Для журналистов, особенно в профильных изданиях теперь стоит вопрос, можно ли цитировать материалы The Record — медиа Recorded Future, которое в последние несколько лет играло заметную роль в освещении новостей о кибербезопасности. При этом, сам компания может вскоре исчезнуть, путем покупки ее платёжной системой  Mastercard

Показать полностью 1
Отличная работа, все прочитано!