Tekhnonacional

По данным ФСТЭК России, у 47% субъектов критической информационной инфраструктуры (банки, операторы связи, промышленность и т.д.) состояние защиты от киберугроз находится в критическом состоянии. Регулятор отметил, что у 100 работающих государственных информационных систем (ГИС) найдено 1,2 тыс. уязвимостей, большая часть из которых высокого и критического уровня опасности. Замдиректора ФСТЭК Виталий Лютиков назвал типовыми недостатками в защите КИИ среди прочего отсутствие двухфакторной аутентификации.

Эту проблему подтверждает лидер практики продуктов для управления уязвимостями Positive Technologies Олег Кочетов:

«В компаниях сохраняются уязвимости, которые не устраняются на протяжении нескольких лет. Являясь приманкой для злоумышленников, они позволяют хакерам найти брешь в защите компании, закрепиться и не выдавать себя на протяжении нескольких лет, планируя кибератаку».

Специалисты объясняют эту ситуацию тем, что для устранения дыр в системе безопасности нужно технологическое окно, то есть полная остановка ее работы, что в круглосуточном сервисе трудно организовать. К тому же у владельцев таких систем часто отсутствует четко выстроенный процесс работы с уязвимостями: методика их обнаружения и устранения, понимание о периодичности проверки. По их мнению, на практике устранить все уязвимости практически невозможно, а главное — правильно их приоритизировать.

Организации финансового сектора России, при этом, отчитываются, что в значительной степени «закрыли» уязвимости внешнего контура.

Электронная подпись (ЭП) играет ключевую роль в цифровом документообороте, однако в последнее время вокруг её безопасности возникает множество спекуляций. Пользователи сомневаются в надёжности подписи, опасаясь подделок и взломов. Особенно актуален этот вопрос в бизнесе и госструктурах, где подделка подписи может привести к серьёзным юридическим последствиям. В этой статье разберёмся, как проверить подлинность ЭП, какие инструменты для этого использовать и как избежать распространённых ошибок.

Какие ЭП можно проверить самостоятельно

Проверка ЭП токена необходима в случаях, когда цифровые документы подписаны вне систем электронного документооборота (ЭДО). Например:

• Получение работодателем подписанного трудового договора от соискателя.

• Заключение договора между контрагентами через электронную почту.

• Проверка банком подписи налогового инспектора на выписке из ЕГРЮЛ.

Проверке подлежат подписи, содержащие закрытый и открытый ключи:

1. Усиленная неквалифицированная ЭП (НЭП) — требует для юридической силы дополнительного соглашения.

2. Усиленная квалифицированная ЭП (КЭП) — имеет полную юридическую силу согласно законодательству.

Квалифицированные ЭП (КЭП) могут быть:

• Присоединёнными (встроены в документ).

• Отсоединёнными (хранятся отдельно, в файле .sig).

При проверке отсоединённой подписи необходимо загрузить как сам документ, так и его подпись.

Как проверить ЭП токен и подлинность подписи

Существует несколько способов проверки ЭП токена и подписи:

1. Онлайн-сервисы для проверки ЭП

Наиболее удобный способ проверить ЭП токен — воспользоваться онлайн-сервисами, например, порталом Госуслуги:

1. Перейдите на сайт www.gosuslugi.ru.

2. Введите в поиске «Проверка электронной подписи» и выберите соответствующий сервис.

3. Загрузите документ и файл подписи (.sig).

4. Нажмите «Проверить» и дождитесь результата.

Этот сервис проверяет как квалифицированные, так и неквалифицированные ЭП.

2. Проверка подписи в документах Word и Excel

Если документ подписан в Microsoft Word или Excel:

• Нажмите на значок подписи.

• Откройте «Состав подписи» через правый клик мыши.

• В случае успешной проверки отобразится информация о владельце подписи и её действительности.

Если подпись недействительна или документ был изменён после подписания, появится соответствующее предупреждение.

3. Проверка подписи в PDF через КриптоПро

Для проверки подписей в PDF используется КриптоПро PDF совместно с КриптоПро CSP:

• Откройте документ в Adobe Acrobat.

• Нажмите Signatures (Подписи) в левой панели.

• Выберите подпись, нажмите правую кнопку мыши и выберите Validate Signature (Проверить подпись).

После проверки программа отобразит информацию о подписи и сертификате.

Итоги

Чтобы проверить ЭП токен и убедиться в подлинности электронной подписи, можно использовать онлайн-сервисы, встроенные инструменты Microsoft Office и плагины для PDF. Важно помнить, что успешная проверка подтверждает юридическую силу документа и его неизменность после подписания.

Такое популярное сегодня явление, как использование биометрии, естественным образом становится окутанной мифами и домыслами. Сегодня посмотрим им в глаза, чтобы разобраться, когда мы против биометрии, а когда за.

1 – биометрия – самый безопасный способ идентификации и она конфиденциальна.

Биометрические данные копируются, складируются в базы на хранение, а обеспечивает защиту данных государство. Как уже сказано, защита при этом должна быть на должном уровне (чуть ли не криптозащита), но конфиденциальными данные на 100% не останутся никогда. Конфиденциальность в данном случае зависит от закона и ответственного лица. Поэтому на этом этапе ответственность за свои биометрические данные нужно брать в свои руки. Когда уже казалось, что аппаратный токен ушел в утиль, его ценность, как никогда, обнаруживает себя сама. Теперь с развитием использования биометрии защищать свои неотчуждаемые данные необходимо криптографией.

2 – Против биометрии нет приемов: киберпреступники не могут добыть биометрические данные.

Представители прокуратуры России говорят, что киберпреступления сегодня представляют угрозу национальной безопасности, и это тесно связано с масштабной цифровизацией: требования обеспечения безопасности не поспевают за темпами введения информационных технологий. Доступность информации и широкий охват населения не играют на руку пользователям. Неповоротливая бюрократия латает законодательство, пытается привести систему в должное состояние, но киберпреступники гораздо быстрее. Теперь каждый, кто в том или ином виде предоставил свои биометрические данные, может стать объектом или субъектом киберпреступлений или киберпранков. Возвращаемся к пункту 1 и его выводам: неотчуждаемая биометрическая информация должна быть защищена самим сладельцем аппаратным токеном с криптозащитой.

Если у вас украли пароль из сочетания букв/цифр, можно его сбросить и установить другой. С биометрией так не будет. К тому же, часто биометрические данные для хранения дополняются иными, которые также желанны для злоумышленников. Если учесть, что у профессионалов в этой области, в отличие от государства, гораздо меньше ограничений, можно себе представить, что в будущем они могут скопировать или завладеть не только одним параметром, но и цифровой личностью в целом. В этом контексте апаратный токен должен быть всегда, если вы уде пользуетесь биометрией для решения своих бизнес и бытовых вопросов.

К примеру, масштабное введение цифровой системы распознавания лиц и повсеместное видеонаблюдение в Москве связывают с ростом преступлений в цифровой среде. К сожалению, пока что хранение данных находится у нас на таком уровне, что является легкой добычей для хакеров. Ну а применение этому всегда найдется.

3 – вероятность ошибки в распознавании настолько ничтожна, что не бывает от слова никогда

И правда, вероятность очень низкая, но все бывает. Ошибки при биометрическом распознавании бывают двух видов. Первый – система пропускает не того пользователя. Второй – не получается войти вам, хоть вы и зарегистрированы, и биометрию сдали. Здесь все сложно: бывают такие параметры, которые, несмотря на одно из требований биометрии, меняются (вот это неожиданность). Например, ваш голос. Или, скажем, прошли годы и лицо, к сожалению, уже не то. Еще все очень сильно зависит от сканера биометрических параметров, условий эксплуатации, и внешней среды.

Так или иначе, есть системы, которые в тестовом режиме выдают точность 99,9%, а в полевых условиях, к сожалению, их погрешность порядка 20%. То есть, во многом вероятность ошибок зависит от того, какое устройство используется, а это от вас не зависит. Тестовые измерения передовых систем сканирования в любом случай выдают вероятность ошибки 1-2%, незаметные на практике в малых группах. Естественно, при масштабировании биометрии на население целой страны эти ничтожные показатели будут ощутимы.

4 – биометрия – дорога в цифровой концлагерь!

В этом пункте – пара слов в защиту биометрии от полной демонизации. Словосочетанием «Цифровой концлагерь» обычно обозначают тотальный контроль, безраздельную власть над обществом с помощью передовых информационных технологий. Сдали вы биометрию – и все, за вами следят. Пока мы не углубились и речь не пошла о массовом чипировании, остановимся. Если присмотреться к документам и фактам, то станет ясно, что такая степень монструозности – это домыслы: некая степень свободы есть, не все повально подвергаются цифровизации. Другой вопрос, что процесс организован неграмотно. Как обычно, причины не глубже человеческой глупости. Главная цель, конечно, не человек и тотальный контроль над ним, а банальные бабло и выгода: цифровизацией занимается государство и близкие к нему организации, устраиваются тендеры, выделаются деньги из бюджета и нужно показывать важность самого факта введения. Качество проектов сомнительное, множество нюансов вызывают вопросы, а самое главное – скорость: нужно быстрее, быстрее! Но, поверьте, не для того, чтобы за вами, таким распрекрасным, следить. Просто денег надо.

5 – биометрия настолько надежна, что может использоваться как единственный способ идентификации

Биометрические показатели уникальны, начнем с этого. Гарантия безопасности биометрии базируется на необходимости присутствия носителя данных. Надежность обеспечивается еще и сканирующими устройствами: чем современнее сканер, тем выше гарантии, что он не поддастся мошенничеству. Но при этом голосовые данные можно сгенерировать с помощью нейросетей. А за сканер вы, как говорилось выше, уж точно не отвечаете. Однако биометрия может быть неплохим способом подстраховки, если вы хотите себя дополнительно защитить. Учитывая сложность явления вообще, не стоит полагаться на нее одну, а лучше довериться многофакторной аутентификации и дополнительной защите данных: воспользоваться токеном, например, и использовать кодовые слова – да что угодно.

Конечно, это не полный список мифов. Подводя итог, скажем, что в вопросе безопасности всегда лучше исходить из принципа перестраховки. Любая система будет компромиссом между комфортом и безопасностью, и грань очень тонкая. У биометрии, как и у других способов идентификации, недостатков может быть масса. В любом случае, не стоит полагаться на один метод или доверить защиту данных полностью кому-то другому. Скорее будет верным шагом самому себя обезопасить несколькими способами

Сегодня в Ленинском районном суде Саратова прошло новое рассмотрение дела The Tor Project. Суд частично удовлетворил иск прокуратуры и признал запрещенными информацию, содержащуюся в программном приложении Tor Browser, а также само приложение Tor Browser. Приложение из Google Play теперь должны включить в Единый реестр доменных имен, позволяющих идентифицировать сайты с запрещенной информацией.

Изначально прокуратура просила привлечь Google в качестве заинтересованного лица, при этом предъявила к компании отдельные требования, что «с точки зрения процесса неграмотно. Поэтому суд по своей инициативе это исправил, поменял статус компании с заинтересованного лица на ответчика и выделил требования к Google LLC удалить приложение из магазина приложений в отдельное производство, но в решении по основному делу все равно указал на незаконный характер содержания Google Play.

Напомним, что сайт Tor Project, публичные узлы и некоторые мосты были заблокированы в РФ еще в декабре прошлого года.

Юристы «Роскомсвободы» сообщили, что подадут апелляционную жалобу на это решение, в которой будут настаивать на том, что доступ к приложению не может быть ограничен по решению суда, так как нет норм, запрещающих работу приложений VPN, анонимайзеров и их аналогов с функционалом обхода блокировок

https://xakep.ru/2022/07/28/one-more-ban-for-tor-browser/