В банках операционисты тоже небольшие деньги получают.
Но тем не менее банки им вполне себе доверяют. Через операционистов, почитай, все деньги банка и проходят. Мошенничества там довольно редки.
Правда? Тут недавно был пост про то, как якобы из зеленого банка слили инфу и у человека вдруг образовалась компания с долгами. А пару дней назад сообщали о бегстве кассира с семьей и 2.5 млн. руб.
Единственное чем могут «пугать» работника при уходе к конкурентам — коммерческая тайна. Если он подписывал на старом месте такой документ (а его часто дают подписать и он абсолютно законен), либо положение о КТ включено в трудовой договор, то в теории уходящему сотруднику могут заявить, что использование на новом месте информации полученной на старом месте не законно.
На самом деле, доказать, что человек разгласил коммерческую тайну достаточно сложно, да и её границы в ряде случаев размыты. Я не могу припомнить серьезных случаев уголовного преследования.
Но HR-ы тем не менее пугают и некоторые верят.
Хорошо знаю одну очень большую и достаточно успешную компанию в сфере ИТ, которая поднялась на том, что сделала текучку основой бизнеса. Набирались мальчики и девочки, агрессивно продавали, на их зарплатах вовсю экономили (могли заставить написать на январь заявление об отпуске за свой счет и обязать приходить на работу). Народ уходил, на их места приходили новые…
Зато все руководители были «в шоколаде». Такая политика компании.
Вопрос только в том, что с ЭП выданными до прекращения работы УЦ нужно будет разбираться отдельно. Сам факт отзыва сертификата не сделает подписи выданные до этого момента недействительными. Он только предотвратит возможность подписывать новые документы.
Теоретически может быть три варианта:
1. Руководство УЦ заинтересовано в выдаче ключей ЭП злоумышленникам
2. УЦ работает в соответствии с законодательством, в котором не предусмотрен целый ряд важных ситуаций
3. В УЦ работают нечистые на руку люди, которые могут помочь злоумышленникам
Вы предлагаете передать все функции государству. В этом случае пункт 1 скорее всего будет пофиксен, но вот только вероятность его я оцениваю чуть ниже, чем нулевую.
Чтобы разобраться с пунктом 2 нужно, чтобы в написании закона приняли участие профессионалы, ведь там и другие интересные проблемы присутствуют. А УЦ тут не при чем.
И даже если верен пункт 3, то где гарантии, что точно такие же люди не придут работать в государственные УЦ?? Только там выявлять их будет намного сложнее. Разве что проверять каждый день на полиграфе…
Очень весело получится. У тысяч добросовестных клиентов перестанет работать ЭП.
Хотя согласно 63-ФЗ именно так и получится, если будет выявлено нарушение законодательство и у УЦ будет отозвана лицензия
6. Сертификат ключа проверки электронной подписи прекращает свое действие:
3) в случае прекращения деятельности удостоверяющего центра без перехода его функций другим лицам;
Формально, согласно закону ФЗ-63 — да, ответственность владельца. По факту, мало кто, даже из сферы ИТ понимает что такое токен и почему его необходимо использовать.
Риски использования и хранения ключей ЭП нигде не объясняют и не учат им противостоять. А из тех, кто знает что такое токен, многие ли знают, что есть варианты с криптоядром и без оного. Отличие в том, что из токена без криптоядра ключи всё равно можно извлечь, если подсмотреть PIN-код владельца. Ну или перехватить ключи в памяти ПК, куда они передаются для подписания документов.
А как вы думаете, все ли web-сервисы поддерживают работу с токенами с криптоядром?
А теперь сравните с европейским законодательством, где квалифицированной электронной подписью (КЭП) может считаться только та, что вычислена на аппаратном криптографическом устройстве (токене, смарт-карте или HSM). Наше законодательство дает большую свободу, но если что — все шишки валятся на владельца ключей.
Интересно, что обсуждается только незаконная выдача ключей ЭП, а ведь незаконное копирование (фактически кража) ключей не менее опасно. Если незаконно выдали, то хоть какие-то «хвосты» остаются, а вот если со флэшки скопировали — то не будет никаких доказательств, что сомнительные заявления подписал не владелец, а злоумышленник.
Учитывая, что многие хранят ЭП не на защищенных токенах, вероятность такого развития событий мягко говоря «не нулевая».
Работал когда-то давно ИТ-инструктором. Во время лабораторных работ поднимается рука, подхожу. Студент говорит, что у него окно ошибки появилось, что делать? «Где оно?» — спрашиваю. «Закрыл» — говорит. «А что там было написано?». «Да я не посмотрел...»
Кнопка, говорите…
Нет. В случае с Google это FIDO U2F. Google брендирует токены и продает их под маркой Titan. Для 2ФА в операционных систтемах и веб-приложениях стоит использовать криптографические токены. А что TOTP, что HOTP постепенно отмирают…
Ну так я в конце и написал — только токены, только хардкор.
Я думаю, что Гугл исходит из предположения, что большинство пользователей токены покупать не станут. А тут хоть какая-то защита.
А вообще да, двухэтапная (даже не двухфакторная) аутентификация по SMS — прошлый век.
Франция обращала взор в более давние времена, когда Наполеон Первый разбил прусские войска. А так да — многие хотели реванша за прошлые обиды, еще больше хотело территориального передела.
Одна из причин той бойни была в том, что каждая из стран считала себя той самой молодой и конкурирующей сверхдержавой. У многих стран в прошлом были громкие победы и все они считали, что «можем повторить».
И кстати, так ли сильно развилась наука и техника именно в процессе той войны? В процессе подготовки к ней да, развивалась быстро.
На мой взгляд, России в этой истории нужно вести себя достаточно аккуратно. Да, с одной стороны есть недоказанные обвинения США и огульные запреты для Huawei.
Но с другой стороны есть великий китайский файрвол, есть запрет деятельности Google в Китае.
Не хочу обсуждать чьи претензии более справедливы, а в чьих обвинениях больше правды — но уверен, что России стоит действовать в своих собственных интересах. И может быть я проглядел — но помогал ли Китай Лаборатории Касперского, которую также несправедливо обвинили? Многие ли в Китае говорили — «сегодня Касперский, завтра Huawei»?
Повторюсь, России нужно думать о своих интересах. Развивать собственную элементную базу, собственную мобильную систему Аврора, активно поддерживать тех производителей аппаратных решений, которые производят их в России, а не ввозят из-за рубежа.
Токен статическим электричеством так просто не убить. Но допустим, что он у вас упал под асфальтоукладочный каток и погиб смертью храбрых. Что делать?
Если почта рабочая, то пойти к администратору и он выдаст вам новый токен и выпишет новый сертификат.
Если почта типа Gmail, то воспользоваться механизмом восстановления и пересоздать ключи и сертификат заново на новом токене.
Задам встречный вопрос — а вот вы потеряли ключи. Означает ли это, что дверь нужно держать открытой как раз на такой случай?
У большинства серьезных компаний есть политика нераскрытия внутренней кухни. Вы никогда не узнаете кто виноват в конкретном косяке. Более того, в наиболее критичных случаях, виновного сотрудника даже не уволят сразу, поскольку в этом случае будет понятен виновный.
Компания может признать вину (взрыв Galaxy Note 7), не признать вину, но загладить ее (зеленые экраны Huawei Mate 20 Pro), не признать вину, по крайней мере сразу (потеря связи iPhone 4). Но в любом случае коммуницировать с сообществом покупателей будут либо топы, либо никто (втихую поменяют устройство).
Потому что успехи и неудачи принадлежать корпорации, а не отдельному человеку.
В этом случае проблема, на мой взгляд, скорее в том, что маркетологи (цель которых — продать) рекламируют облако (не только от Яндекса) как абсолютно надежное.
А реальность, увы, гораздо сложнее…
Было бы интересно узнать, есть ли в США аналог наших санитарных норм, регулирующих время нахождения детей за экраном монитора? Потому что головная боль, слезящиеся глаза, ухудшение зрение — это не страшилки, а вполне реальные последствия для тех, чье зрение еще не сформировалось до конца. Тем более, что ноутбуки им скорее всего купили не с лучшими экранами. (Да, я понимаю, что эти дети дома не вылезают из смартфонов, но одно дело просто смотреть на ролики или фотки и другое, всматриваться, пытаясь учиться).
Странно, что не подумали о решениях на базе электронной бумаги. Они вполне поддерживают интерактив.
На самом деле, доказать, что человек разгласил коммерческую тайну достаточно сложно, да и её границы в ряде случаев размыты. Я не могу припомнить серьезных случаев уголовного преследования.
Но HR-ы тем не менее пугают и некоторые верят.
Зато все руководители были «в шоколаде». Такая политика компании.
1. Руководство УЦ заинтересовано в выдаче ключей ЭП злоумышленникам
2. УЦ работает в соответствии с законодательством, в котором не предусмотрен целый ряд важных ситуаций
3. В УЦ работают нечистые на руку люди, которые могут помочь злоумышленникам
Вы предлагаете передать все функции государству. В этом случае пункт 1 скорее всего будет пофиксен, но вот только вероятность его я оцениваю чуть ниже, чем нулевую.
Чтобы разобраться с пунктом 2 нужно, чтобы в написании закона приняли участие профессионалы, ведь там и другие интересные проблемы присутствуют. А УЦ тут не при чем.
И даже если верен пункт 3, то где гарантии, что точно такие же люди не придут работать в государственные УЦ?? Только там выявлять их будет намного сложнее. Разве что проверять каждый день на полиграфе…
Хотя согласно 63-ФЗ именно так и получится, если будет выявлено нарушение законодательство и у УЦ будет отозвана лицензия
Риски использования и хранения ключей ЭП нигде не объясняют и не учат им противостоять. А из тех, кто знает что такое токен, многие ли знают, что есть варианты с криптоядром и без оного. Отличие в том, что из токена без криптоядра ключи всё равно можно извлечь, если подсмотреть PIN-код владельца. Ну или перехватить ключи в памяти ПК, куда они передаются для подписания документов.
А как вы думаете, все ли web-сервисы поддерживают работу с токенами с криптоядром?
А теперь сравните с европейским законодательством, где квалифицированной электронной подписью (КЭП) может считаться только та, что вычислена на аппаратном криптографическом устройстве (токене, смарт-карте или HSM). Наше законодательство дает большую свободу, но если что — все шишки валятся на владельца ключей.
Учитывая, что многие хранят ЭП не на защищенных токенах, вероятность такого развития событий мягко говоря «не нулевая».
Кнопка, говорите…
Я думаю, что Гугл исходит из предположения, что большинство пользователей токены покупать не станут. А тут хоть какая-то защита.
А вообще да, двухэтапная (даже не двухфакторная) аутентификация по SMS — прошлый век.
И кстати, так ли сильно развилась наука и техника именно в процессе той войны? В процессе подготовки к ней да, развивалась быстро.
Но с другой стороны есть великий китайский файрвол, есть запрет деятельности Google в Китае.
Не хочу обсуждать чьи претензии более справедливы, а в чьих обвинениях больше правды — но уверен, что России стоит действовать в своих собственных интересах. И может быть я проглядел — но помогал ли Китай Лаборатории Касперского, которую также несправедливо обвинили? Многие ли в Китае говорили — «сегодня Касперский, завтра Huawei»?
Повторюсь, России нужно думать о своих интересах. Развивать собственную элементную базу, собственную мобильную систему Аврора, активно поддерживать тех производителей аппаратных решений, которые производят их в России, а не ввозят из-за рубежа.
Если почта рабочая, то пойти к администратору и он выдаст вам новый токен и выпишет новый сертификат.
Если почта типа Gmail, то воспользоваться механизмом восстановления и пересоздать ключи и сертификат заново на новом токене.
Задам встречный вопрос — а вот вы потеряли ключи. Означает ли это, что дверь нужно держать открытой как раз на такой случай?
Компания может признать вину (взрыв Galaxy Note 7), не признать вину, но загладить ее (зеленые экраны Huawei Mate 20 Pro), не признать вину, по крайней мере сразу (потеря связи iPhone 4). Но в любом случае коммуницировать с сообществом покупателей будут либо топы, либо никто (втихую поменяют устройство).
Потому что успехи и неудачи принадлежать корпорации, а не отдельному человеку.
А реальность, увы, гораздо сложнее…
Странно, что не подумали о решениях на базе электронной бумаги. Они вполне поддерживают интерактив.