Post content
На том же форуме Комитет информационной безопасности МЦРИАП РК озвучил ряд мер, которые планируется предпринять для усиления кибербезопасности нашей страны. Они были разделены на три группы: правовые, организационные, технические. Хочу подробней поговорить только об одной технической мере: «Использование облачного ЭЦП и биометрической идентификации, а также QR подписания при этом исключив выпуск и использование ЭЦП на файловых носителях информации в НУЦ РК». Отказ от ключей ЭЦП на файловых носителях я, конечно же, приветствую, но тут крайне важны детали. 1. Думаю, что это на первом этапе это должно касаться только физических лиц. 2. Исключать надо не использование, а выпуск ключей ЭЦП на файловых носителях. Срок их действия — один год. Ранее выпущенные ключи ЭЦП на файловых носителях постепенно выйдут из оборота. 3. Важно понимать, что на данный момент подписание при помощи QR-кодов — это то же самое подписание при помощи ключей ЭЦП на файловых носителях, только хранятся они в файловой системе мобильного устройства. 4. Каким образом биометрическая идентификация относится к подписанию при помощи ключей ЭЦП — не совсем понятно. Особенно, в контексте имеющейся информации, что примерно за 1000 долларов США можно изготовить маску, позволяющую злоумышленнику пройти идентификацию по лицу жертвы. 5. Никакого внимания не уделено использованию ключей ЭЦП на защищённых носителях. Уверен, если бы МЦРИАП так же активно продвигал использование защищённых носителей ключей ЭЦП, как это делается с так называемой облачной ЭЦП, биометрией и QR, давно наступило бы счастье. Я уже начинаю подозревать, что это саботаж со стороны регулятора. 6. Вместе с отказом от использования ключей ЭЦП на файловых носителях необходимо добавить в информационные системы обязательную поддержку всех поддерживаемых NCALayaer’ом видов защищённых носителей ключей ЭЦП (я об этом не устаю говорить уже более двух лет, но воз и ныне там). Это не потребует от владельцев информационных систем миллионных вложений.