Пишут, что Департамент здравоохранения Москвы 🏥 планирует до 2027 года сделать резервные копии всех медицинских сведений из ЕМИАС... на бумаге. Если не придираться к цитате юриста, что:

"Требования к хранению персональных данных вынуждают дублировать сведения из ЕМИАС в бумажном виде для хранения в архивах"

(таких требований в законодательстве лично мне не известно), то эта история очень показательная ☝️ Последние годы российское здравоохранение активно продвигает электронный формат медицинских документов – введены правовые нормы, разрешающие или стимулирующие отказ от бумажного документооборота, а в нормативных актах прямо указано, что при хранении электронных медицинских документов должна быть организована резервная копия и возможность восстановления. При этом эксперты критикуют избыточное дублирование бумажной и электронной формы: 📄

"Эксперты НФ призвали исключить дублирование бумажных и электронных документов в здравоохранении".

Решение Депздрава идет вразрез с трендом. Почему? Если отбросить невозможное (надо срочно потратить неизрасходованный до конца года миллиард), то видится мне несколько причин: ✍️
1️⃣ Опасение, что резервные копии (электронные) не позволяют гарантировать восстановление. На практике крупные цифровые проекты часто сталкиваются с проблемами при резервировании – устаревшие форматы, миграции, отказ оборудования, человеческий фактор. Возможно, чиновники делают бумажную копию как "страховку"; если система выйдет из строя, бумага все равно останется (если хранится будет правильно).
2️⃣ Неумение в кибербез или недоверие к тем, кто это делает. В такой ситуации, бумажная копия может рассматриваться как менее уязвимая "офлайн"-страховка (хотя у нее свои риски: пожар, истирание, контроль версий, аудит изменений и т.д.).
3️⃣ Нежелание идти в ЭДО с его непостоянными требованиями и необходимостью постоянно перевыпускать ключи ЭП. Оставлю свое же предположение без комментариев 😊
4️⃣ Переходный этап / сохранение "legacy"-процессов. Медицинские учреждения часто имеют "привычку" бумажной работы, ведения бумажных карт. И даже при электронной системе документооборота могут поддерживать бумагу "на всякий случай" или из-за сопротивления изменениям. Помню в одном госоргане бухгалтера взбунтовались при попытке перевести их на Астру. Директору поставили ультиматум: "или Астра и ты без зарплаты или мы на Винде, но все как ты привык". Директор не стал сопротивляться, хотя по бумагам там 100%-е импортозамещение операционных систем и офисного ПО 😂
5️⃣ Возможно, существует бюджет на бумагу, заинтересованные подрядчики, "архивные" услуги, что стимулирует создание бумажных копий.

Если верно любое из первых двух предположений, то это плохой знак 👎 Государство не верит в кибербез, потому что не умеет выстраивать процессы. Вот тут в новом канале по ИБ об этом тоже упоминается. Одно дело в чеклисте проставить галочку "наличие бэкапа" и совсем другое дело выстроить процесс резервного копирования с регулярной проверкой возможности восстановления данных в заданное время 👎

Возможно, госорган не в состоянии выполнить растущее число разрозненных нормативных требований по ИБ от разных регуляторов ☹️ В любом случае если это станет трендом (а вот тут Евгений пишет о схожих проблемах), то это нехорошо; я уже привык к Госуслугам (ЕМИАСом не пользуюсь – раз в год только зайду посмотреть, сколько неоказанных мне в реальности услуг на меня навесили), с ними реально стало удобно и число походов по всяким госорганам за справками сократилось многократно 📉

ЗЫ. Спасибо подписчице, что подкинула новость в комментариях 🙏

#стратегия

Помните историю про отключение банков от СМЭВ при отсутствии аттестации ФСТЭК? 🗂 История получает свое развитие. Банки получили от Минцифры письмо, в котором говорится о риске отключения от ЕСИА при отсутствии СКЗИ класса КС3 (VPN и средство ЭП). Не знаю, что стоит за этим письмом (не инцидент же), но описанная в нем логика прослеживается достаточно давно. Например, ФСТЭК еще с 2022-го года считает, что внутренний нарушитель есть всегда, а значит по линии ФСБ 🇷🇺 – это уже модель нарушителя Н3 и средства криптографической защиты не ниже класса КС3. А в 2019-м году на Магнитке зампред ЦБ, Ольга Скоробогатова, прямо говорила, что по их мнению все банки должны использовать СКЗИ классом не ниже КС3.

Отдельной вишенкой на этом "торте" 🍰 является предупреждение от Минцифры 🔢 о том, что если кто-то не исполнит описанные требования, то доступ к ЕСИА может быть ограничен, а к нарушителю может быть отправлена проверка ФСБ 👮

Но, как мне кажется, банки 🏦 – это только начало и требование применения КС3 будет распространено на все компании, подключающиеся к ЕСИА. Что это значит для большинства компаний? Например, запрет на виртуализацию и облака, в которых КС3 просто нельзя реализовать из-за требований ФСБ к криптографии этого класса защиты. В свою очередь это приводит нас к перестройке архитектуры решений, пересмотру используемых решений, росту затрат... А учитывая, что в ЕСИА/ЕБС сегодня загоняют многих, то 🕺

#регулирование #криптография #тенденции

✍️Только у меня глаз задёргался от формулировки из письма Минцифры?

С использованием сертифицированного ФСБ России средства электронной подписи (далее – СЭП), имеющего класс не ниже КСЗ, при этом техническое решение, использующее данное СЭП, должно пройти оценку влияния на СКЗИ в соответствии с требованиями Приказа ФСБ России от 9 февраля 2005 г. № 66 «Положение ПКЗ-2005»

Открываем реестр сертифицированных СКЗИ и читаем, чему там должно быть соответствие:

соответствует Требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, класса КС3 и может использоваться для криптографической защиты (шифрование и имитозащита данных, передаваемых в IP‑пакетах по общим сетям передачи данных) информации, не содержащей сведений, составляющих государственную тайну

ни слова про средства электронной подписи (796 приказ ФСБ России, как например для HSM), криптошлюз КС3 - только на соответствие СКЗИ.
Безграмотность Минцифры уже не удивляет.

📣Мифы не только про электронную подпись

Вирусные твиты «тупят» ИИ, пишет BIS Journal с ссылкой на исследование учёных из Университета Иллинойса, Массачусетского технологического института и Сингапурского университета управления.

А у нас высказывания депутатов "тупят" СМИ. Чего только стоит фраза, процитированная федеральными СМИ (РИА Новости, Ведомости):

"С 1 июля 2026 года в России начнет функционировать новая правовая норма, позволяющая использовать биометрические данные при совершении дистанционных сделок с недвижимостью. Простыми словами это значит, что граждане смогут подтверждать свою личность с помощью биометрических данных - отпечатков пальцев, лица, радужной оболочки глаза или другого биометрического признака - без необходимости физического присутствия на сделке по купле-продаже, оформлению ипотеки и аренде"

Нейросети это запомнили и уже выдают ответы про отпечатки пальцев и радужную оболочку глаза.

Как на самом деле. Если открыть закон о Единой биометрической системе, то можно увидеть только два фактора биометрии:
🔹изображение лица человека, полученное с помощью фотовидеоустройств;
🔹запись голоса человека, полученная с помощью звукозаписывающих устройств.

О чем на самом деле речь - летом был подписан Федеральный закон 133-ФЗ, вступающий в силу с 1 июля 2026 года, в котором говорится:

сторонами договора об отчуждении объекта недвижимости, если соответствующее заявление и прилагаемые к нему документы в форме электронных документов и (или) электронных образов документов подписаны усиленной квалифицированной электронной подписью заявителей при условии идентификации сторон договора с использованием государственной информационной системы «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных»

✅ Документы подписываются КЭП, идентификации через ЕБС🗿 🗣

📣Google ужесточает правила для TLS-сертификатов

Важная новость от GlobalSign на фоне ужесточения политики Chrome.

🔹Chrome, и Mozilla объявили о планах прекратить доверие к корневым TLS-сертификатам, созданным более 15 лет назад. 

Браузеры постепенно перестанут доверять корневым сертификатам старше 15 лет.
График для GlobalSign:
🔹15 апреля 2025 — отзыв доверия к GlobalSign R1 (выпуск уже прекращен).
🔹15 апреля 2027 — Ключевая дата для корня R3. Выпуск 200-дневных сертификатов под ним будет прекращен до 27 августа 2026.
🔹Далее по графику — будут отозваны R5 (в 2029) и современный R6 (через 15 лет с даты создания).

🔹Google Chrome вводит правило, согласно которому публичные TLS-сертификаты, выданные после августа 2026 года, смогут иметь только одно «расширенное назначение ключа» (EKU) — ServerAuth. Это основа HTTPS.

Под вопросом расширение ClientAuth, которое используется для входа на корпоративные порталы, VPN и в API с помощью сертификатов вместо логина/пароля. Такие сертификаты перестанут доверять в Chrome.

Что дальше?
1. Пока ничего: GlobalSign будет использовать старые «многоцелевые» корневые сертификаты, чтобы использовать сертификаты с ClientAuth до августа 2026.
2. Но готовиться заранее: компания планирует перейти раньше этого срока. Для клиентской аутентификации они рекомендуют свой продукт IntranetSSL, не подверженный этим ограничениям.

TLS-сертификаты становятся«одноцелевыми» — только для сайтов. Аутентификация клиентов уходит в специализированные PKI-продукты.

⚡️ СМЭВ ввел лимиты для банков

С 24 октября 2025 года по 31 декабря 2025 года СМЭВ 3 установил ограничения для кредитных организаций по доступу к виду сведений "Предоставление необходимой для уплаты информации".

🔹Лимит: 10 обращений в секунду
🔹Метод: SendRequestRequest
🔹Категория: "Кредитные организации", "Банковской платежный агент" и "Платежный агент"

❌Превышение лимита приведет к временной блокировке отправки запросов через СМЭВ с ошибкой SMEV-100.

Когда для банков введут платный доступ лимит сохранится?

После запуска сервиса могут появиться десятки поддельных страниц или сайтов газовых компаний.

Пользователю могут предлагать «ускоренное оформление договора» или «обновление электронной подписи» и вместе с этим, очевидно, выманивать паспортные данные и реквизиты банковских карт. Нужно максимально быть внимательными.

☑️ Подписывайтесь на MAX

#сенаторшейкин
#советфедерации
#цифровойсенатор

Еще один способ, которым пользуются мошенники, - подделка ЭП. Они могут убедить пользователя выдать доверенность на "представителя компании" или установить сомнительное приложение якобы для подписания документов, в результате чего ЭП окажется в чужих руках, объяснил Шейкин.

Подделать электронную подпись - невозможно.

🚀Об ЭП и УЦ