ЭЦП и биометрия: как защитить цифровую личность в Казахстане
Цифровая идентичность казахстанца сегодня держится на двух столпах: ЭЦП (электронной цифровой подписи) и биометрических данных. Эти технологии открывают доступ к государственным услугам, банковским операциям и юридически значимым документам. Но именно поэтому они становятся всё более привлекательной мишенью для киберпреступников. В 2024 году АРРФР зафиксировал значительный рост случаев несанкционированного использования ЭЦП при дистанционном оформлении кредитов и переводе активов.
Что такое ЭЦП в Казахстане и как она работает
ЭЦП в Казахстане выдаётся Национальным удостоверяющим центром (НУЦ РК) через ЦОН или портал pki.gov.kz. Технически ЭЦП — это пара криптографических ключей: закрытый (хранится у владельца) и открытый (публичный). При подписании документа закрытый ключ создаёт уникальную электронную метку; получатель проверяет её подлинность с помощью открытого ключа. Это обеспечивает юридическую значимость электронных документов.
Существуют два основных формата хранения ЭЦП:
- Программный ключ (файл .p12) — хранится на компьютере, USB-накопителе или в облаке. Удобен, но уязвим: файл может быть скопирован или похищен.
- Аппаратный токен (eToken, Rutoken) — физическое устройство с защищённым чипом. Закрытый ключ не покидает устройство, что делает кражу значительно сложнее.
Как мошенники получают ЭЦП без ведома владельца
Несколько типичных сценариев компрометации ЭЦП зафиксированы казахстанскими специалистами по кибербезопасности:
- Фишинговые сайты egov.kz: жертва загружает файл ЭЦП на поддельном сайте, вводит пароль — злоумышленники получают полный доступ.
- Троянское ПО: вредоносная программа на компьютере жертвы копирует файл .p12 и перехватывает пароль при вводе.
- Социальная инженерия: мошенник представляется сотрудником банка или ЦОН, просит «верифицировать» ЭЦП, передав файл и пароль в чат.
- Атака через ЦОН: в редких случаях злоумышленники через коррумпированных посредников перевыпускают ЭЦП на своё устройство, используя поддельные биометрические данные.
«В 2024 году зафиксированы десятки случаев, когда кредиты на несколько миллионов тенге были оформлены полностью дистанционно с использованием похищенной ЭЦП жертвы. Некоторые пострадавшие узнавали о кредитах только при обращении за новым займом.»
Биометрическая аутентификация в казахстанских банках
Казахстанские банки активно внедряют биометрию — распознавание лица и отпечатков пальцев — для верификации клиентов при дистанционном обслуживании. Liveness-detection (определение «живости») — ключевой элемент защиты: система требует от пользователя моргнуть, повернуть голову или произнести случайную фразу, чтобы убедиться, что перед камерой живой человек, а не фотография или видеозапись.
Атаки на биометрию:
- Атака с использованием фото/видео: применяется поверхностная или неграмотно настроенная liveness-система.
- Deepfake-атаки: синтезированное видеоизображение лица жертвы используется для обхода упрощённых систем верификации.
- Утечка биометрических шаблонов: в отличие от пароля, биометрию нельзя «сменить» при компрометации базы данных.
Сравнение методов аутентификации
| Метод | Уровень безопасности | Риск компрометации | Восстановление при взломе |
|---|---|---|---|
| Пароль | Низкий | Высокий (фишинг, перебор) | Простое изменение |
| SMS OTP | Средний | Средний (SIM-своппинг) | Блокировка SIM |
| Программная ЭЦП | Средний-высокий | Средний (кража файла) | Отзыв и перевыпуск |
| Аппаратный токен | Высокий | Низкий (нужен физический доступ) | Замена токена |
| Биометрия + liveness | Высокий | Низкий при хорошей liveness | Не восстанавливается при утечке шаблона |
Что делать при компрометации ЭЦП
Если вы подозреваете, что ваша ЭЦП попала в чужие руки:
- Немедленно подайте заявку на отзыв (аннулирование) сертификата через портал НУЦ РК: pki.gov.kz или лично в ЦОН.
- Смените пароли на всех сервисах, где использовалась скомпрометированная ЭЦП.
- Проверьте через egov.kz историю действий, совершённых от вашего имени (запросы, подписанные документы).
- Обратитесь в ваш банк для проверки возможных несанкционированных операций.
- Подайте заявление в полицию.
Подробнее о двухфакторной защите читайте в статье о двухфакторной аутентификации. О безопасности при дистанционном банковском обслуживании — в материале удалённая идентификация в банках.
ЭЦП и биометрия — мощные инструменты цифровой безопасности, но только при правильном использовании. Храните файл ЭЦП как физические ключи от квартиры: никогда не передавайте третьим лицам, не загружайте на чужих компьютерах и не вводите пароль на незнакомых сайтах. При малейших признаках компрометации — немедленный отзыв сертификата в АРРФР или НУЦ РК.
Столкнулись с блокировкой по антифроду?
Если ваша карта или счёт заблокированы, оставьте заявку — мы поможем разобраться.
Оставить заявкуПохожие статьи
Open banking в Казахстане: безопасность API и защита финансовых данных
14 августа 2025 г.
Кибербезопасность малого бизнеса в Казахстане: практическое руководство
7 мая 2025 г.
Как защитить корпоративный банковский счёт: полный гид для казахстанского бизнеса
9 мая 2024 г.
Кибер-страхование в Казахстане: что покрывает полис и чего не покрывает
3 апреля 2024 г.