Tekhnonacional

Электронные контракты и онлайн-сервисы растут, а вместе с ними — фишинг и утечки данных. Не удивительно, что тема безопасного использования токенов остается актуальной, так как и со стороны компаний, и со стороны сотрудников, уровень осведомленности о базовых принципах ИБ все еще остается низким. Мошенники же активно пользуются фишинговыми «двойниками» сайтов и приложений, вызывая множественные утечки данных и финансовые потери.

На фоне запуска цифровых сервисов мошенники создают фейковые страницы, чтобы похищать данные и платежи. Параллельно фиксируется рост утечек персональных данных, а штрафы за несообщение об утечке и сам факт компрометации персданных выросли. Поэтому знать, как пользоваться токеном с электронной подписью, — это вопрос правовой и финансовой безопасности.

Что такое токен и чем он лучше «файловой» ЭП. Криптографический токен — аппаратный носитель (USB), где хранится закрытый ключ и сертификат. Ключ не покидает устройство: подпись формируется внутри токена, что снижает риск кражи по сравнению с хранением ключа на диске ПК.

Как пользоваться токеном с электронной подписью: чек-лист из 7 шагов.

1. Подготовьте рабочее место. Скачайте официальные драйверы и криптопровайдер для вашей модели токена и ОС. Проверьте актуальность корневых и промежуточных сертификатов, корректность времени на ПК.

2. Проверьте носитель и PIN. При первом подключении смените заводской PIN на сложный, ограничьте число попыток ввода, храните PUK/админ-код отдельно от устройства.

3. Установите сертификат и привяжите его к профилю. Убедитесь, что сертификат квалифицированный, реквизиты верны, срок действия актуален, статус отзыва (CRL/OCSP) — «действителен».

4. Настройте рабочие системы. В браузере/ПО включите поддержку криптопровайдера, в корпоративной системе задайте политику подписи (алгоритм, профиль, отметка времени).

5. Подписывайте правильно. Скачайте документ, проверьте хеш/реквизиты, выберите токен и нужный сертификат, убедитесь, что проставлен штамп времени и запись есть в журнале событий.

6. Хранение и ротация. Держите токен офлайн, когда не используете, никому не передавайте. За 30–45 дней до истечения срока начните выпуск нового сертификата.

7. Верификация на стороне получателя. Принимая документы, проверяйте валидность сертификата, цепочку доверия, статус отзыва и штамп времени.

Три типовых сценария атаки и защита.

1. Фишинговый «двойник» сервиса. Переходите только по закладкам и официальным ссылкам, не вводите PIN на сторонних страницах, проверяйте домен.

2. Инцидент у контрагента и массовая утечка. Пропишите в договоре требования к штампу времени, аудиту логов и срокам уведомления, держите готовый сценарий отзыва сертификатов и выпуска новых.

3. Социальная инженерия. Никогда не сообщайте PIN/PUK по телефону или почте; «проверки» только через официальный саппорт.

На фоне фишинговых «двойников» и рекордных утечек данных вопрос «как пользоваться токеном с электронной подписью» — это про юридическую силу документов и управляемый риск. Настройте носитель, дисциплину PIN, верификацию сертификатов и процедуру отзыва — и ваша электронная подпись будет исправно работать.

26 октября в Ханое 65 государств подписали первую в мире Конвенцию ООН против киберпреступности . От России документ подписал генеральный прокурор Александр Гуцан.

Конвенция против киберпреступности должна помочь странам противодействовать растущей угрозе киберпреступности в условиях, когда злоупотребление информационно-коммуникационными технологиями способствует совершению таких преступлений, как терроризм, торговля людьми, финансовые преступления и контрабанда наркотиков.

Цель конвенции – повысить эффективность мер по предотвращению киберпреступлений, укрепив международное сотрудничество в этой сфере и способствуя наращиванию потенциала, особенно в развивающихся странах.

Проект конвенции был разработан еще 5 лет назад Генеральной прокуратурой Российской Федерации при координирующей роли МИДа.

Статья 11 — Неправомерное использование устройств

1. Каждое Государство-участник принимает такие законодательные и иные меры, какие могут потребоваться, с тем чтобы признать в соответствии со своим внутренним законодательством в качестве уголовных правонарушений, когда такие деяния совершаются умышленно и неправомерно:

a) получение, производство, продажу, приобретение для использования, ввоз, распространение или предоставление иным способом:

б) устройств, включая программное обеспечение, разработанных или адаптированных прежде всего для целей совершения какого-либо из преступлений, признанных таковыми в соответствии со статьями 7–10 настоящей Конвенции; или пароля, реквизитов доступа, электронной подписи или аналогичных данных, позволяющих получить доступ ко всей информационно-коммуникационной системе или любой ее части;

Основные положения Конвенции включают:

1.Создание первого глобального механизма для сбора, обмена и использования электронных доказательств в отношении всех тяжких преступлений (ранее единые международные стандарты в этой сфере отсутствовали);

2.Введение уголовной ответственности за киберпреступления, а также за правонарушения, связанные с онлайн-мошенничеством, сексуальной эксплуатацией детей в интернете и вовлечением детей в противоправную деятельность в сети;

3.Признание – впервые в международном праве – преступления несанкционированного распространения интимных изображений;

4.Создание первой в мире круглосуточной глобальной сети для оперативного сотрудничества между государствами;

5.Признание необходимости развития возможностей государств для эффективного расследования киберпреступлений.

Следующий шаг — ратификация документа национальными парламентами. Конвенция вступит в силу после одобрения 40 государствами.

На «Евразийском конгрессе по защите данных 2025» заместитель руководителя Роскомнадзора Милош Вагнер заявил о начале разработки отраслевых стандартов в сфере обработки персональной информации. Нововведение направлено на формирование единых и понятных правил для организаций, которые работают с данными граждан и стремятся соблюдать законодательные требования.

Число операторов, зарегистрированных в официальном Реестре, за 3 года выросло почти в 4 раза. Если в 2022 году в нём числилось около 700 000 компаний и ИП, то сейчас в реестре — более 2,5 млн записей. Каждая из них содержит подробную информацию о том, какие именно категории данных обрабатываются, для каких целей, в каких объёмах и на каком правовом основании.

В ответ на такую динамику регулятор решил предложить бизнесу стандартизированные подходы к работе с персональной информацией.

Ожидается, что в будущие стандарты войдут:

🔹перечень допустимых для сбора категорий данных;

🔹максимально допустимый объём таких данных;

🔹список допустимых оснований для обработки;

🔹возможные источники получения информации;

🔹требования к порядку уничтожения данных;

🔹рекомендации по взаимодействию с субъектами данных.

Новые стандарты будут встроены в правовое поле, соответствовать действующему законодательству и учитывать как интересы бизнеса, так и права граждан. Документ станет своего рода «пошаговой инструкцией» для компаний, которые намерены работать в правовом поле и минимизировать регуляторные риски.

Инициатива уже получила концептуальную поддержку в Министерстве цифрового развития, Министерстве экономического развития и других федеральных органах власти. Разработка и внедрение стандартов будут вестись с учётом отраслевой специфики и актуальных вызовов в сфере цифровизации.

С учетом того, за последние годы разгулялись мошенники вопрос стандартизации защиты персональных данных не просто назрел – он перезрел. Но, поглядим, насколько профильные специалисты справятся с этой непростой задачей.

В Москве заведено первое уголовное дело по признакам преступления, предусмотренного ст. 274.4 УК РФ. Подозреваемый уже задержан, полиция пытается установить все эпизоды противоправной деятельности и личности соучастников. Новая статья УК, криминализирующая оформление и передачу абонентских номеров третьим лицам из корыстных побуждений либо с целью оказания помощи преступникам, вступила в силу 1 сентября текущего года. Самое суровое наказание по ней — до трех лет лишения свободы.

Согласно материалам дела, задержанный житель Химок решил подзаработать и с подачи своего знакомого начал посещать офисы операторов связи, заключая договоры на оказание услуг по поддельным доверенностям различных организаций. Следуя инструкциям, молодой человек передавал полученные абонентские номера в управление третьим лицам. За каждую успешную покупку симки ему обещали заплатить 9 тыс. рублей. При обыске полиция изъяла у задержанного смартфоны, сим-карты, документы и другие предметы, имеющие доказательственное значение.

Первый пошел, как говорится. Наше мнение: чем больше информации будет распространяться о судах и реальных сроках для подобных персонажей, тем спокойнее будет обычным гражданам.

Пользователи мессенджера МАХ теперь могут оформить Цифровой ID по упрощённой схеме — достаточно иметь водительское удостоверение, добавленное в приложение Госуслуг. Такой вариант Цифрового ID можно использовать только для подтверждения возраста. Цифровой ID — это электронный аналог бумажных документов. Он позволяет подтверждать, например, возраст или определённый статус — студента, родителя с несколькими детьми и т. д. Проверка личности осуществляется с помощью динамического QR-кода в профиле мессенджера.

Доступ к сервису открыт всем пользователям старше 18 лет. Создать Цифровой ID можно тремя способами:

🔺 через подтверждённую биометрию,

🔺 с помощью загранпаспорта нового образца,

🔺 по водительскому удостоверению.

Если используется вариант с водительскими правами, процесс выглядит так:

1️⃣ открыть в профиле МАХ раздел «Цифровой ID» и нажать «Создать»;

2️⃣ подтвердить вход по лицу или отпечатку пальца;

3️⃣ перейти в Госуслуги и выбрать подтверждение личности по водительским правам;

4️⃣ сделать селфи;

5️⃣дождаться уведомления о готовности ID.

Пилотный запуск функции состоялся 15 сентября. Цифровой ID уже можно использовать для подтверждения возраста при покупке товаров с ограничением по возрасту — в частности, на кассах самообслуживания в ряде крупных торговых сетей в Москве, Санкт-Петербурге, Краснодаре и других городах.

В России растет число автоматизированных атак с использованием ботнетов, расположенных на территории страны. За год их вклад в общий объем вредоносного бот-трафика, по оценке Servicepipe, увеличился с 5 до 39%.

Суммарно за девять месяцев 2025 года эксперты i зафиксировали около 410 тыс. атак с ботнетов — против 305 тыс. за такой же период в прошлом году. Российские боты, используемые для проведения DDoS-атак, взлома аккаунтов брутфорсом, рассылки спама, зачастую имеют московскую или питерскую прописку, однако в этом году их доля снизилась на 15 п. п., до 50%.

Остальные генераторы вредоносного трафика располагались в Подмосковье, Новосибирске, Казани и Екатеринбурге. «Самые большие по количеству IP ботнеты атаковали из Новосибирской области. У одного сразу 40% зараженных устройств были зафиксированы в этом регионе. Ботнет использовал комбинацию IoT и маршрутизаторов, количество зараженных устройств оценивалось в несколько тысяч.

Атаки были направлены в основном на телеком-компании; на пике вредоносный трафик превысил 100 Гбит/с». Эксперт полагает, что выбор Новосибирска в данном случае связан с открытием нескольких крупных ЦОД в регионе. К тому же аренда мощностей здесь дешевле в сравнении ЦФО, а дальность позволяет оставаться в тени до момента атаки.

Стоит помнить, чтобы управлять зараженными устройствами на территории России, злоумышленникам необязательно тоже находиться в ее пределах. Ботоводы могут действовать из-за рубежа, а для обхода блокировок по географическому признаку использовать подмену адресов, прокси и виртуальные машины.