Джакарта, ЕГАИС, ИБ, еТокен, Токены

Эксперты предложили отдать надзор за розничной продажей алкоголя РАР

Приветствую, читатель!

Национальный союз защиты прав потребителей считает необходимым передать Росалкогольрегулированию полномочия контролировать розничную продажу алкогольной продукции для снижения доли фальсификата. Об этом журналистам сообщил глава ассоциации Павел Шапкин.
"Если передать от Роспотребнадзора полный контроль за розницей в том числе Росалкогольрегулированию, то можно было бы исключить те напитки, которые не соответствуют тем минимально установленным требованиям, которые для них придумал законодатель, чтобы отделить их от хорошей продукции", - пояснил он.
Для этого нужно внести изменения в КоАП. "Фактически эффективного контроля нет, тем более, что у нас разделены сферы контроля между Роспотребнадзором и Росалкогольрегулированием именно по алкогольной продукции", - отметил Шапкин.
Он уточнил, что сейчас Росалкогольрегулирование контролирует производителей и оптовый оборот, а Роспотребнадзор является единственным ведомством, которое имеет право составлять протокол об административных правонарушениях.
"То есть Росалкогольрегулирование не может пойти и составить протокол об административном правонарушении по факту продажи некачественной продукции в рознице. Оно может привлечь к ответственности производителя, а производитель говорит, что первый раз видит эту бутылку, и это контрафакт, и надо ловить злоумышленников, поэтому возникают чисто технические сложности", - сказал Шапкин.
По его словам, значительная доля фальсификата встречается в том числе в сфере продаж винных напитков. Например, зачастую производители используют при их изготовлении менее 50% виноматериалов, необходимых по законодательству. При этом серьезного контроля, как правило, не ведется, заключил глава союза.
Джакарта, ЕГАИС, ИБ, еТокен, Токены

Про утечки

Приветствую, читатели!
За последний обозримый промежуток времени утекли данные из 3 очень важных для нас сфер: транспорт/логистика (РЖД), экономика/финансы (Сбер), связь/коммуникации/интернет (Билайн).  Что это: целенаправленная атака или просто безалаберность и дремучесть в сфере защиты информации?  И сегодня же обнаружил смехотворный и нелепый способ слива госномеров связи чиновников через портал госзакупки.
Что касается Сбербанка. То спасибо им за условную прозрачность, вот вышла новость об очередном сливе инфы – 5000 человек с обнародованными данными. Нашли уже виновного, давайте поверим в то, что тут сыграл человеческий фактор. Однако, на мой взгляд, продажа сотрудником базы выглядит наивно. Уже потому, что утечки продолжается. Сомневаюсь, что после всего случившегося, данные продолжили бы публиковаться.
Про РЖД. По немногочисленной информации, так как РЖД все еще совково-уставная компания, известно, что почти миллион человек были «слиты» на просторы интернета со своими данными. Тут катастрофично то, что помимо снилсов и телефонов, слились фото. То есть помимо обезличенных Иванов Иван Ивныч, есть фото конкретного Иванова Ивана Иваныча с его персональными данными. Что обозначает возможности виртуального клонирования личности и использование ее в неблагонадежных целях. По данным СК, в РЖД подтвердили, что произошел несанкционированный взлом серверов компании.
Про Билайн. Данные почти 9 000 000 пользователей с 2016 года оказались на просторах интернета.  ФИО, адреса и номера договоров, в т.ч.т и скрытых. Журналисты Ведомостей «проверили» себя и нашли базу актуальной. Это относится и к пользователям только интернета, или только ТВ и т.д.
Даже если сайты наш Роскомнадзор и заблокирует, циркуляция БД в интернете/дарк нете все равно останется.
Такая информация может иметь немалую ценность для мошенников, использующих социальную инженерию. Кроме того, такую информацию можно объединить с данными из других баз, что позволит преступникам собрать полный «профиль» жертвы.
На каком-то банальном бытовом уровне наши люди пока еще не понимают, что любые данные сегодня – это ценнейший ресурс.
Для меня важно понять, насколько данные проблемы можно решить, обязав, например, использовать для всех процессов так или иначе связанных с персональными данными электронную подпись.  М.б. это сделает весь оборот данными в разы безопаснее? Так же вопрос: стандарт электронной подписи. У нас это все регулируется ФСБ, регулируется, где и какая подпись может быть использована.  Для ЭДО один токен, для ЕГАИС другой, для банкинга третий и т.д.  Наличие стандартов и ГОСТов электронной подписи обеспечивает контроль за безопасностью и прочее. Например, есть уже устоявшееся мнение, что если нужен токен для ЕГАИС, то это Рутокен ЭЦП 2.0. Потому что соответствует всем стандартам, нормам и т.д., имеет сертификаты. Для персонального использования простой смертный рядовой человек не подумает запрашивать токены, для защиты своих данных на компе и прочее. Почему? Потому что нет понимания, что любая информация даже рядового гражданина может быть ценной и является ей.
Джакарта, ЕГАИС, ИБ, еТокен, Токены

Минфин предложил повысить минимальную закупочную цену на спирт

Приветствую, читатели!

Минфин России предложил повысить минимальную закупочную цену на спирт до 57 рублей с 49 рублей за 1 л, говорится в пояснительной записке к проекту приказа, размещенной на федеральном портале проектов нормативных правовых актов.
"После установления в конце 2015 г. минимальных цен на этиловый спирт, произведенный из пищевого сырья, в размере 49 рублей за 1 л безводного спирта (приказ Росалкогольрегулирования от 21 сентября 2015 г. N 283), указанная минимальная цена не индексировалась. Так, проектом приказа предлагается установить минимальную цену на этиловый спирт, произведенный из пищевого сырья, в размере 57 рублей за 1 л безводного спирта", - говорится в проекте.
Указанная цена сформирована путем индексации на суммарный уровень фактической инфляции в 2016-2018 годах и прогнозный уровень инфляции на 2019 год в размере 3,8%.
Предполагается, что приказ вступит в силу с 1 января 2020 года.
Росалкогольрегулирование в конце 2015 года повысило минимальную цену на этиловый спирт из пищевого сырья с 43 до 49 рублей за 1 л. Тогда сообщалось, что цена повышается в связи с увеличением тарифов на газ и электроэнергию в 2015 году относительно 2014 года, а также с учетом изменения стоимости основного пищевого сырья при производстве этилового спирта и индексации цен с учетом инфляции.
Джакарта, ЕГАИС, ИБ, еТокен, Токены

Как цифры перевести в цифру: ЭДО в банках и фин организациях

Приветствую, читатели!
На фоне обрушения защиты таких техно гигантов как Сбер, Билайн и РЖД, наши парламентарии не теряют надежд на светлое цифровое будущее. Вот оптимистичная новость о том, что ЭДО в банках могут полностью заменить реальные бумаги. Помимо банков, в законе также упомянуты и финансовые рынки. Соответствующий законопроект планируется внести на рассмотрение в уже вот-вот в этом месяце.
Этот законопроект парламентарии уже вносили на рассмотрение Госдумы в марте этого года. Правда, его раскритиковали представители правоохранительных органов, и документ пришлось доработать. О новом варианте законопроекта по ЭДО рассказал  председатель Комитета Госдумы по финансовому рынку Анатолий Аксаков.
«Мы хотели подготовить закон об электронном документообороте для всех отраслей, — рассказал Аксаков. — Но сейчас решили сконцентрироваться на финансовом рынке, потому что банки жалуются, что им приходится тысячи квадратных метров держать, чтобы эту бумагу хранить, хотя там есть документы, которые уже никому не нужны, их никто не проверяет».
Действительно, кипы и тонны бумаг это неудобно, как минимум, и не безопасно в том числе. Хранения важных доков только на бумаге делает их уязвимыми в плане хранения. Помимо физического безвозвратного разрушения (огонь, например), они могут быть похищены. Защита в данном случае может быть только физической: сейф, хранилище, архив.  В общем, я веду к тому, что электронный документ на сегодняшний день может быть лучше защищен, если используются средства СКЗИ.
Это не может не радовать, так как это означает расширение применения электронной подписи и увеличение ее роли как в нашей повседневной жизни, так и в банковском секторе.
Но сегодня прочитал новость на РБК https://www.rbc.ru/technology_and_media/18/10/2019/5da876a89a79472c0bcd51a3?from=from_main
Охренеть, опять все хотят свести к логинам-паролям и смс-кам. Вместо того, чтоб банкам и другим фин институтам использовать нормальные СКЗИ и неизвлекаемые ключи электронной подписи, хотят все свести к одной зеленой кнопке.
Сейчас банки хранят в электронном виде внутренние приказы, распоряжения, служебные записки, технические задания, а ещё документы, связанные с внутренними финансовыми операциями. В цифровом формате банки выдают клиентам платёжные поручения и выписки из счёта. Многие банки используют для этих целей СМС-пароли, хотя  по запросу они могут предоставлять и более существенные варианты защиты ваших данных, насколько я знаю в ДБО для юридических лиц повсеместно используются токены с неизвлекаемыми ключами и нормальные криптографические средства.
Посмотрим, как будет обстоять дело дальше, но однозначно, что ЭДО необходим и что для надлежащего контроля кому-то необходимо задуматься над обязательным использованием неизвлекаемых ключей электронной подписи в банковском и финансовом секторах.
Джакарта, ЕГАИС, ИБ, еТокен, Токены

Рынок ЭЦП в Латинской Америке

Приветствую, читатели!

Продолжаю свою серию материалов по обзору различных мировых рынков ЭЦП. Некоторое кремя назад выпустл первую вводную статью, посвященную нашему российскому рынку. Сегодня пришло время следующей публикации, посвященной Латинской Америке.

Рынок ИБ Латинской Америки

ИБ Рынок Латинской Америки по состоянию на 2015 г. оценивался в 5,44 млрд долл. США. Ожидается, что к 2020 г. он вырастет почти вдвое до 10,42 млрд долл. США. Этот регион рекордсмен по темпам роста рынка многофакторной аутентификации. Но и параллельно с этим фактом, латиноамериканский регион характеризуется высоким уровнем киберпреступлений. В частности, Бразилия по числу киберпреступлений занимает 5 место в мире и 3 в регионе (Северная и Южная Америки) сразу после США и Канады. Аргентина занимает 6 место в регионе по числу киберпреступлений.

Во всех случаях речь идет преимущественно о банковском мошенничестве, DOS-атаках и фишинге. В таких странах как Бразилия, Чили, Колумбия, Эквадор и Перу вопросы кибербезопасности включены в политическую повестку, что является одним из драйверов роста рынка ИБ в регионе. Вообще, этот сектор находится в стадии формирования и в целом в стадии роста и развития.

Чтобы минимизировать угрозы требуются инвестиции в многофакторную аутентификацию и инфраструктуру ИБ. Аутентификация считается одним из наиболее эффективных профилактических решений для борьбы с киберугрозами таких как фишинг и кража личных данных. Банки Латинской Америки часто применяют одноразовые пароли по СМС, капчи и т.п.

E-invoicing в Латинской Америке

Обращение электронных счетов заметно помогает странам в борьбе с неуплатой налогов. В Бразилии уровень проникновения электронных счетов составляет 90%, их используют 1,4 млн компаний, а Мексика является мировым лидером по использованию e-invoicing. Страна почти завершила оцифровку всех процессов, имеющих отношение к налогообложению. Тут обязательно электронное взаимодействие с налоговыми органами как для компаний, так и для частных лиц. Благодаря цифровизации всех налоговых процессов страна увеличила налоговые поступления в бюджет более чем на треть. Сейчас власти Мексики развивают межрегиональный обмен электронными документами со странами-соседями, а также с США и Канадой.

В Чили развитие e-invoicing только начинается. До 2016 г. применение электронных счетов в стране было добровольным. Их выставляли 420 тыс. компаний (по итогу за 2016 г.). Сегодня 88% счетов в стране выставляются электронным способом. Чили, на ряду с Бразилией и Мексикой, является региональным лидером по использованию e-invoicing.

В Перу, как и в Бразилии, электронные счета применяются довольно широко – 85% организаций используют e-invoicing. Помимо этого, в стране паспорт гражданина выдается на смарт-карте, которая поддерживает ЭП, а также с его помощью можно участвовать в голосовании. Помимо привычных аппаратных носителей ключей ЭП в стране очень развита софтверная ЭП.

Несмотря на то, что Латинская Америка входит в число мировых лидеров по применению e-invoicing, 60–70% электронных счетов все равно распечатываются и отправляется в адрес получателя наряду с электронными документами. Возможно в ближайшем будущем обычные ККТ в рознице могут быть заменены электронным по аналогии с Россией, однако точной ифнормации мне найти не удалось. Скорее всего это пока проект.

ЭП в Латинской Америке

Это логично, что в разных странах региона электронная подпись понимается по-разному . Так, например, в Аргентине electronic signature (электронная подпись) не то же самое, что и digital signature (цифровая подпись), хотя в некоторых странах Латинской Америки это синонимы. Цифровую подпись в Аргентине можно считать аналогом КЭП, а вот понятие «электронная подпись» - более широкое, которое может включать в себя в том числе и нажатие кнопки «Принять» (относительно правил использования, политики конфиденциальности и т.п.), сюда же входят и ПИН-коды, выдаваемые банками для он-лайн банкинга. «Легализовать» электронную подпись в Аргентине могут между собой юрлица, для взаимодействия с которыми такая ЭП создавалась. Легализация происходит путем подписания соглашения. Естественно, такая электронная подпись не может быть пригодна более ни для какого электронного взаимодействия, кроме как между участниками этого соглашения.

В Латинской Америке принято не совсем такое же деление на физлиц и юрлиц как у нас в России. Выдача КЭП физлицу подразумевает, что некто Иванов И.И. получает эту КЭП для личных целей, например, для ежегодной подачи налоговой декларации. В то же время, тот же самый Иванов И.И., будучи менеджером по развитию в компании ООО «Рога и Копыта» может (и, зачастую, должен, если это необходимо в рамках исполнения служебных полномочий), получить КЭП как представитель/сотрудник указанной компании. Это можно назвать «корпоративной» КЭП. КЭП для юр.лиц подразумевает, что такая подпись выдается компании, т.е. фактически, бренду или торговой марке. Такими КЭП могут подписываться и договора в том числе.
 
Джакарта, ЕГАИС, ИБ, еТокен, Токены

80% всего покупаемого в России алкоголя составило пиво

Приветствую, читатели!

Компания Nielsen выяснила, как изменились за последние три года предпочтения россиян при покупке алкоголя и других продуктов. Так, 84% населения пересмотрели свой рацион питания, в том числе и привычки в употреблении алкоголя.

Из них 65% уменьшили потребление сахара, 53% — жиров, а 67% увеличили количество потребления натуральных и полезных продуктов. Эти цифры дополнило исследование Gfk: 28% россиян стараются покупать фермерские продукты, 22% — товары с пометками био», «органик» или «эко».
Кроме того, россияне все чаще отказываются от водки. За год люди начали покупать больше шампанского, джина и виски. Но лидером по продажам является пиво — оно занимает долю 80% в натуральном выражении, обеспечивая всему алкогольному сегменту средний чек в 186 руб. 10% от общего объема все еще занимает водка, а на третьем месте — игристое вино с долей рынка в 4%.
Джакарта, ЕГАИС, ИБ, еТокен, Токены

Власти поддержали идею убрать из выдачи «Яндекса» нелегальный алкоголь

Приветствую, читатели!


РАР) считает «фильтрацию поисковой выдачи и контроль над контекстной рекламой по запросам с релевантными ключевыми словами» со стороны интернет-компаний эффективной мерой борьбы с нелегальной онлайн-торговлей алкоголем. Это следует из письма замруководителя службы Елены Афанасенко в ответ на обращение члена фракции «Единая Россия» в Госдуме Виктора Зубарева. Копия письма есть у РБК, его подлинность подтвердил представитель пресс-службы РАР.

В июле 2019 года Зубарев направил письма главе Роскомнадзора, Росалкогольрегулирования, руководству «Яндекса» и «ВКонтакте», в которых предложил усилить контроль за интернет-ресурсами, нелегально продающими алкоголь. В частности, он попросил интернет-компании, используя собственные компетенции, усилить легитимную фильтрацию поиска и увеличить контроль за снижением и исключением незаконных позиций из поисковой выдачи. Кроме того, депутат рассчитывает, что поисковики усилят контроль за системой контекстной рекламы, а также за латентной рекламой сервисов типа «доставка напитков круглосуточно», появляющаяся в органической поисковой выдаче после 23:00.
Что происходит с блокировкой «алкогольных» ресурсов
По данным Group-IB за 2018 год, объем рынка онлайн-торговли алкоголем вырос на 23%, или почти на 400 млн руб., и составил до 2,1 млрд руб. Спрос на покупку алкоголя в интернете за год вырос более чем на 35%, а на покупку с доставкой — на 30%.
В июне 2018 года Росалкогольрегулирование наравне с Роскомнадзором получило право досудебной блокировки ресурсов, торгующих спиртным онлайн. Согласно письму Афанасенко, с того момента (по состоянию на 29 июля) было принято более 5,3 тыс. решений о наличии на страницах сайтов запрещенной информации и заблокировано 1,4 тыс. ресурсов.


Но вынесенное решение и последующее включение сайта в реестр Роскомнадзора не предполагает его автоматическое удаление из поисковой выдачи, и пользователь сможет зайти на ресурс, например, используя VPN, пояснил советник юридической фирмы «Томашевская и партнеры» Роман Янковский. В конце 2017 года Роскомнадзор разослал поисковым системам требования удалить из результатов выдачи уже заблокированные сайты, а также подключиться к реестру, чтобы оперативно получать информацию о новых ресурсах, которые попали под блокировку. Однако не все сайты, противоречащие закону, действительно удаляются из выдачи, поэтому вполне логично, что регулятор старается наладить сотрудничество с ИТ-компаниями, отметил адвокат.
«Но регулирование интернета, как и контроль за оборотом алкоголя, возложены на ответственные ведомства, и именно они должны решать, какие сайты считать законными, а какие — нет. Поисковик не должен блокировать ресурс, который пока не признан незаконным, по собственной инициативе. Возникает вопрос: почему службы перекладывают на «Яндекс» и другие поисковики часть своих обязанностей?» — недоумевает Янковский.
В «Яндексе» от комментариев отказались.
Подробнее на РБК:
Джакарта, ЕГАИС, ИБ, еТокен, Токены

ЕГАИС будет контролировать минимальные цены при отгрузке

Приветствую, читатели!
С 21 августа 2019 года в ЕГАИС для профилактики возможных нарушений в части фиксации сведений об отгрузке продукции с указанием цены продукции меньше установленной минимальной отгрузочной цены будет запущен контроль цен.


При попытке опубликования сведений с нарушениями законодательства система откажет в фиксации документа и отправит соответствующую электронную квитанцию. РАР также сообщает, что ограничения не будут действовать при отгрузке между местами осуществления деятельности одного юридического или физического лица.
Джакарта, ЕГАИС, ИБ, еТокен, Токены

Борьба за рынки: что происходит на российском рынке токенов

Приветствую читатели!
За все то время, что я веду свой блог, рынок токенов и смарт карт изменил существенно свой облик. Я сейчас говорю о нашем российском рынке. Поэтому и появилась такая вот идея сравнить, что произошло, как изменилась расстановка сил игроков рынка, кто устоял, кто не смог и почему?


Когда я впервые написал свой первый пост в ЖЖ, был 2017 год. На тот момент рынок товенов уверенно был разделен на российский сектор и иностранных поставщиков. Российский сектор был представлен компаниями Актив Софт, Аладдин Р.Д., ISBC, Шипка. Иностранный игрок был один – Gemalto.

Российские компании орагнически условно разделили продуктовый рынок.

Так ISBC имеет небольшой объем токенов и смарт карт, преимущественно занимаясь более продвинутыми технологиями, расширяя продуктовый технологический портфель интересными инновациями.
Прямыми конкурентами остались Актив Софт и Аладдин Р.Д., который активно боролись за рынок ЕГАИС (что для меня ближе всего в рассмотрении), скорее всего они активно конкурируют и в других сфера (ДБО, например, смарт карты и т.д.)

Что же касается единственного иностранного игрока, Gemalto, то тут ситуация подучилась крайне занимательная. Сначала неудобный скандальчик произошел с его партнером по бизнесу – Аладдин Р.Д., который перестал в одностороннем порядке продавать eToken, параллельно скопировав его в свой собственный продукт JaCarta. Gemalto заключает договор с Tesis и вроде бы все должно быть хорошо.

Отечественная криптография параллельно становится все более развитой и оформленной с точки зрения законодательства. За этот период мы вошли в фазу внедрения своих собственных национальных криптографических стандартов. Все компании обязаны им соответствовать и получать необходимые сертификаты соответствия в 6-ом отделе ФСБ России. Такие жесткие меры обусловлены курсом государства на импортозамещение и развитие собственной криптографической базы, которая будет независимой от внешних экономических и политических факторов.

Не все отечественные компании могут сказать, что они выпускают 100% российский продукт. Например, Рутокен (Актив) полностью наш токен: начиная от железа, заканчивая софтом. Про токен JaCarta (Аладдин Р.Д.) такое на 100% сказать не могу, потому как многие комплектующие по официальным источникам куплены за рубежом (Тайвань, Израиль и т.д.). Тем не менее оба эти производителя имеют жесткие соответствия согласно требованиям ФСБ России к СКЗИ, что и делает их конкурентоспособными.

К сожалению, Gemalto эту войну за российский рынок со временем проиграла. Мировой гигант не может соотвтетствовать всем и сразу. На сегодня Gemalto все так же продает на территории России токены eToken, однако они не являются сертифицированными ключами и могут быть использованы в ограниченных случаях.
Смотря на мировой опыт, мы можем сказать, что внедрение собственных стандартов криптографии и жесткие требования к иностранным производителям - это нормальная ситуация. Например, Китай пошел точно по такой же схеме разработки и внедрения внутригосударственных стандартов криптографии. Это позводило сохранить рынок для местного бизнеса и технологий. Индия пошла по иному пути, когда отсутствие регулирования СКЗИ позволяет продавать любые токены в любой торговой точке, например, в магазине «1000 мелочей»


Таким образом, наше законодательство обеспечило внутренний рынок работой еще на 10-20 лет вперед, способствуя развитию нашей школы криптографии, наших технологий и т.д.
Джакарта, ЕГАИС, ИБ, еТокен, Токены

Стали известны участники рабочих групп при экспертном совете РАР

Приветствую, читатели!

Экспертный совет при Росалкогольрегулировании сформировал рабочие группы, которые будут участвовать в доработке законодательства, в том числе в подготовке изменений в техрегламент «О безопасности алкогольной продукции» и предложений по «регуляторной гильотине».
Были сформированы рабочие группы по пивоваренной продукции и слабоалкогольным напиткам, по спиртовой и ликероводочной продукции, по винодельческой продукции, а также по оптимизации обязательных требований в сфере производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции.
Руководителем рабочей группы по пивоваренной продукции и слабоалкогольным напиткам стал исполнительный директор Союза российских пивоваров Вячеслав Мамонтов.