Tekhnonacional

В мобильных приложениях 13 банков из перечня системообразующих появится новая функция, позволяющая клиентам оперативно сообщать о финансовых операциях, совершённых без их ведома. В Банке России её назвали «спецкнопкой для пострадавших от мошенников».

Банки, будут обязаны добавить в свои мобильные приложения функционал, который позволит клиентам оперативно заявлять о мошенническом переводе. Также можно будет получить от банка электронную справку о такой операции для обращения в полицию. Новые требования предусмотрены положением (http://www.cbr.ru/Queries/UniDbQuery/File/90134/6262) Банка России.

Если человек напрямую обращается в полицию, в мобильном приложении он сможет ответить на вопрос кредитной организации, совершал ли он операцию под влиянием мошенников. При таком порядке взаимодействия сотрудники правоохранительных органов запрашивают данные (http://www.cbr.ru/press/event/?id=17142) в Банке России.

Кроме того, с 1 октября этого года все банки должны принимать обращения от граждан, которые через банкомат перевели наличные деньги на счета мошенников с помощью токенизированных карт. (https://cbr.ru/information_security/pmp/05022025/) При этом неважно, является пострадавший клиентом этого банка или нет. Хищение денег через токенизированные карты — это сейчас одна из самых распространенных мошеннических схем.

Напомним, что с 1 сентября регулятор предоставил банкам право ограничивать снятие наличных в банкоматах при возникновении сомнений в характере операций. Кроме того, Банк России утвердил перечень признаков подозрительных транзакций.

С 29 марта все банки также будут обязаны уведомлять родителей или законных представителей несовершеннолетних клиентов в возрасте от 14 до 18 лет о выдаче им карты, а также обо всех операциях по счету ребенка. Способ информирования прописывается в договоре с банком.

Правительство обновило правила федерального госнадзора в сфере электронной подписи. Для индивидуальных предпринимателей это означает больше прозрачности в процедурах и проверках, а также — понятный чек-лист, как получить токен ЭП и настроить квалифицированную подпись. Базовый документ — постановление Правительства РФ от 29.08.2025 № 1308, которое вносит правки в Положение о федеральном госконтроле (надзоре) в сфере электронной подписи (утверждено ПП РФ № 1044 от 29.06.2021).

Что именно изменилось

Постановление № 1308 уточняет полномочия должностных лиц, формат и состав контрольных (надзорных) мероприятий, а также профилактические инструменты (включая профилактические визиты) в сфере ЭП. Цель — повысить предсказуемость проверок и единообразие требований к участникам рынка, в том числе ИП, которые используют квалифицированные электронные

Почему это важно: когда регламенты контроля описаны чётко, легче планировать, где и как хранить ключи, как подтверждать статусы сертификатов и что покажет проверка при валидации вашей подписи. Положение № 1044 теперь действует с учётом новых правок от 29.08.2025.

Другие изменения в законе об электронной подписи

Весной 2025 вступили в силу изменения к 63-ФЗ «Об электронной подписи» (ФЗ № 94-ФЗ от 21.04.2025). Они, среди прочего, расширили перечень лиц и структур, для которых может выпускаться квалифицированный сертификат ключа проверки ЭП, а также определили дополнительные полномочия госорганов (в частности, Казначейства) в инфраструктуре ЭП. Для ИП это означает, что цепочка участников и процедур вокруг ЭП стала формализованное.

Как ИП получить токен ЭП в 2025 году: пошаговая схема:

1.Определитесь с типом подписи. Для юридически значимых действий нужна усиленная квалифицированная электронная подпись (УКЭП). Для ИП сертификаты УКЭП выдаёт УЦ ФНС России и его доверенные лица. Если не уверены, у нас в сблоге есть несколько статей, посвященных тому, как выбрать токен для ЭП.

2.Проверьте учётку на Госуслугах. У ИП должна быть подтверждённая запись, данные должны совпадать с документами (паспорт, ИНН, СНИЛС). (Подтверждение личности ускорит выпуск сертификата в УЦ ФНС.)

3.Подготовьте носитель: понадобится криптографический токен/смарт-карта, совместимые с УЦ ФНС и установленными криптосредствами. Покупайте у проверенных поставщиков, с поддержкой актуальных ГОСТ и драйверов под вашу ОС.  

4.Запишитесь на выпуск сертификата в УЦ ФНС. Возьмите паспорт, ИНН/СНИЛС; следуйте инструкции УЦ. Сертификат УКЭП запишут на ваш токен.

5.Установите ПО и драйверы. Поставьте криптопровайдер, плагин для проверки ЭП, обновите корневые сертификаты доверия. Проверьте тестовой подписью. (Тонкость: после изменений в надзоре от 29.08.2025 грамотная локальная проверка — must have.)

6.Настройте «долгую» проверяемость. Для документов длительного хранения используйте расширенные форматы (например, добавляйте отметку времени и сведения о статусе сертификата на момент подписания — OCSP/CRL), чтобы подпись корректно верифицировалась спустя годы. Это снизит риски при проверках в будущем. Подробнее читайте нашу статью о проверках «старых» ЭП.

Сотни тысяч сотрудников российских компаний оказались повинны как минимум в трети кибератак на фирмы, в которых работают. Значительная доля кибератак на российские компании становится следствием безалаберности сотрудников и их неподкованности в вопросах кибербезопасности. Работники регулярно используют рабочую почту для регистрации на различных внешних сайтах и к тому же применяют для каждой из них один и тот же пароль. Именно такие действия дают старт 33% всех кибератак на российские копании. Треть всех попыток хакеров проникнуть в ИТ-инфраструктуру того или иного предприятия в России, будь то компания на 10 человек или корпорация со штатом в десятки тысяч сотрудников, начинается с многоразового пароля к аккаунтам с паре с корпоративной почтой.

По результатам аудита 700 тыс. корпоративных пользовательских профилей в российских компаниях  выявилась следующая картина: на различных сайтах в даркнете на постоянной основе публикуются сообщения о новых утечках, и в некоторых случаях они подкрепляются целыми базами данных. Эти данные покупаются хакерами. В утечке могут содержаться адрес рабочей почты сотрудника и пароль, которые совпадают с аутентификационными данными от корпоративных ресурсов. Это особенно опасно, если неуникальный пароль используется в учетных записях с повышенными привилегиями (например, с правами администратора) или у сотрудника есть доступ к чувствительной информации.

Даже если владелец одного из нескольких профилей с повышенными привилегиями уволится из компании, часто доступ к ним ему не закрывают. Бывший работник располагает привилегированным доступом к ИТ-инфраструктуре месяцами даже годами – в 50% случаев срок действия таких профилей никогда не истекает, а сами они не деактивируются автоматически. Все это делает корпоративные учетные записи особенно уязвимыми, особенно если хакер, купивший или просто скачавший базу данных с паролями, получит доступ именно к таким профилям.

Проконтролировать каждого работника в отдельности, чтобы те не использовали корпоративный адрес для регистрации на внешних ресурсах, компаниям удается не всегда. Одно из решений проблемы – технология централизованного управления привилегированными учетными записями. Также можно настроить автоматический отзыв прав и обязательную смену паролей через установленные системным администратором промежутки времени.

Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России (УБК МВД) предупреждает о новой схеме мошенничества, основанной на перехвате платёжных данных через функцию демонстрации экрана.

Как сообщает (https://t.me/cyberpolice_rus/4051) официальный телеграм-канал УБК МВД «Вестник киберполиции России», злоумышленники ищут потенциальных жертв среди людей, которые подыскивают работу или подработку. Чаще всего аферисты предлагают вакансию помощника для пожилого человека, в обязанности которого входит закупка продуктов и лекарств. После этого мошенники переводят общение в мессенджер, где передают списки покупок и якобы отправляют деньги для их оплаты. Чтобы внушить доверие, жертве направляют поддельное СМС-сообщение от банка о переводе средств. Таким образом создаётся иллюзия реальной финансовой операции и укрепляется вера в «работодателя».

Под предлогом контроля расходов аферисты просят включить демонстрацию экрана. Это позволяет им перехватывать реквизиты онлайн-банка, включая коды из СМС или push-уведомлений, используемые для двухфакторной аутентификации.

В УБК МВД напомнили: ни при каких обстоятельствах нельзя включать демонстрацию экрана при общении с незнакомыми людьми. Популярность этой мошеннической техники резко выросла в 2024 году. По данным Банка России, на такие схемы приходилось до 20% дистанционных хищений, общий ущерб составил около 1 млрд рублей.

Электронная подпись (ЭП) раньше была не очень необходима самозанятым и маленьким ИП-шникам, однако теперь ситуация поменялась. Все больше и больше индивидуальных предпринимателей от малых до средних интегрируют информационную безопасность в свою бизнес-инфраструктуру. Одним из таких решений является использование токенов ЭП для ИП. Можно перечислить множество бенефитов, от логичного и самого очевидного электронной подписи документов и отправки их контрагенту за считанные минуты до заполнения деклараций для налоговой и налаживание ЭДО с клиентами и поставщиками.

Этим сфера применения токена ЭП для ИП не ограничивается:

Расширение спектра пользования электронными услугами: выписки из Росреестра, отправка заявлений в налоговую и тд.;

Участие в госзакупках по 44-ФЗ или 223-ФЗ на любой площадке;

Работа с системами ЕГАИС и Честный знак.

У документов, подписанных ЭП, такая же юридическая сила, как у бумажных. Их можно предъявлять в суде или налоговой, если возник спор по отгрузкам или налогам.

В чем отличие ЭП для ИП от ЭП для физического лица?

Сертификат ЭП ИП, в отличие от сертификатов физлиц, включает основные регистрационные данные предпринимателя, в том числе ОГРНИП. Если у ИП есть сотрудники, то для них, при необходимости, выпускаются электронные подписи физлиц. Чтобы сотрудники могли подписывать документы от лица ИП, на них оформляется машиночитаемая доверенность (МЧД).

В зависимости от статуса владельца, ЭП имеет свои особенности:

Учитывая все выше перечисленное, нужно понять какой токен ЭП нужен именно для вашего ИП.

Существует три вида подписи:

Простая электронная подпись (ЭП)

Усиленная неквалифицированная электронная подпись (УНЭП)

Усиленная квалифицированная электронная подпись (УКЭП или КЭП)

Для взаимодействия с государственными органами и участия в юридически значимом документообороте индивидуальные предприниматели используют только квалифицированную электронную подпись (КЭП).

УНЭП не подходит для сдачи отчетности в государственные органы. Ее можно применять только для внутреннего и кадрового документооборота. В некоторых случаях УНЭП можно использовать для работы с контрагентами, но для этого требуется специальное соглашение между сторонами.

Как получить токен КЭП для ИП

Минцифры предложило  не наказывать за кибератаки на запрещённые сайты.

На фоне борьбы с цифровыми аферами Министерство цифрового развития подготовило законопроект, который радикально дополняет Уголовный кодекс положениями о злонамеренных действиях в ИТ-среде. 26 августа на официальной платформе regulation.gov.ru появился проект документа, предусматривающий введение новой статьи 272.2 — «Злостное воздействие на информационную систему, информационно-телекоммуникационную сеть, компьютерную информацию или сеть электросвязи».

Согласно содержанию законопроекта, вводящему в УК новую статью 272.2, под уголовное преследование могут попасть любые преднамеренные действия, нарушающие стабильность ИТ-сред и вызывающие уничтожение, блокировку или повреждение цифровых данных. В проекте уточняется, что речь идёт о DDoS-атаках, применении вирусов-вайперов, шифровальщиков и других видов воздействия, в том числе с участием искусственного интеллекта. Если результатом таких действий становится существенный ущерб или создаётся угроза его возникновения, предлагается наказывать по новому составу.

При этом наибольший общественный резонанс вызвало примечание к статье, прямо освобождающее от ответственности тех, кто направляет атаки против ресурсов, доступ к которым ограничен по решению властей. Фактически это означает, что вмешательство в работу сайтов, признанных нежелательными или попавших под блокировку, не будет рассматриваться как преступление по данной норме.

По этому поводу есть разные мнения от различных экспертов. Одни хотят все запретить, другие говорят, что это отличный полигон для тренировок и нарушение вражеской инфраструктуры, в общем, мнения экспертов разошлись. Но если законопроект будет принят в таком виде, то можно будет безнаказанно взламывать сайт Пентагона и DDOS-ить «Миротворец».