# ЭЦП и биометрия: как защитить цифровую личность в Казахстане > Электронная цифровая подпись и биометрия стали основой казахстанской цифровой идентичности. Узнайте, как мошенники похищают ЭЦП, что делать при компрометации и как работает liveness-защита. - **Дата публикации:** 2025-04-25 - **Автор:** Дәурен Абдрахманов - **Язык:** Русский - **Теги:** кибербезопасность, Казахстан, банки, антифрод, AML --- Цифровая идентичность казахстанца сегодня держится на двух столпах: _ЭЦП_ (электронной цифровой подписи) и биометрических данных. Эти технологии открывают доступ к государственным услугам, банковским операциям и юридически значимым документам. Но именно поэтому они становятся всё более привлекательной мишенью для киберпреступников. В 2024 году Национальный банк зафиксировал значительный рост случаев несанкционированного использования ЭЦП при дистанционном оформлении кредитов и переводе активов. ## Что такое ЭЦП в Казахстане и как она работает ЭЦП в Казахстане выдаётся Национальным удостоверяющим центром (**НУЦ РК**) через ЦОН или портал pki.gov.kz. Технически ЭЦП — это пара криптографических ключей: закрытый (хранится у владельца) и открытый (публичный). При подписании документа закрытый ключ создаёт уникальную электронную метку; получатель проверяет её подлинность с помощью открытого ключа. Это обеспечивает юридическую значимость электронных документов. Существуют два основных формата хранения ЭЦП: - **Программный ключ (файл .p12)** — хранится на компьютере, USB-накопителе или в облаке. Удобен, но уязвим: файл может быть скопирован или похищен. - **Аппаратный токен (eToken, Rutoken)** — физическое устройство с защищённым чипом. Закрытый ключ не покидает устройство, что делает кражу значительно сложнее. ![ЭЦП и биометрия: как защитить цифровую личность в Казахстане](/blog/images/eds-i-biometriya-zashchita-1.jpg) ЭЦП и биометрия: как защитить цифровую личность в Казахстане ## Как мошенники получают ЭЦП без ведома владельца Несколько типичных сценариев компрометации ЭЦП зафиксированы казахстанскими специалистами по кибербезопасности: 1. **Фишинговые сайты egov.kz**: жертва загружает файл ЭЦП на поддельном сайте, вводит пароль — злоумышленники получают полный доступ. 2. **Троянское ПО**: вредоносная программа на компьютере жертвы копирует файл .p12 и перехватывает пароль при вводе. 3. **Социальная инженерия**: мошенник представляется сотрудником банка или ЦОН, просит «верифицировать» ЭЦП, передав файл и пароль в чат. 4. **Атака через ЦОН**: в редких случаях злоумышленники через коррумпированных посредников перевыпускают ЭЦП на своё устройство, используя поддельные биометрические данные. > «В 2024 году зафиксированы десятки случаев, когда кредиты на несколько миллионов тенге были оформлены полностью дистанционно с использованием похищенной ЭЦП жертвы. Некоторые пострадавшие узнавали о кредитах только при обращении за новым займом.» ## Биометрическая аутентификация в казахстанских банках Казахстанские банки активно внедряют биометрию — распознавание лица и отпечатков пальцев — для верификации клиентов при дистанционном обслуживании. _Liveness-detection_ (определение «живости») — ключевой элемент защиты: система требует от пользователя моргнуть, повернуть голову или произнести случайную фразу, чтобы убедиться, что перед камерой живой человек, а не фотография или видеозапись. Атаки на биометрию: - **Атака с использованием фото/видео**: применяется поверхностная или неграмотно настроенная liveness-система. - **Deepfake-атаки**: синтезированное видеоизображение лица жертвы используется для обхода упрощённых систем верификации. - **Утечка биометрических шаблонов**: в отличие от пароля, биометрию нельзя «сменить» при компрометации базы данных. ## Сравнение методов аутентификации Метод Уровень безопасности Риск компрометации Восстановление при взломе Пароль Низкий Высокий (фишинг, перебор) Простое изменение SMS OTP Средний Средний (SIM-своппинг) Блокировка SIM Программная ЭЦП Средний-высокий Средний (кража файла) Отзыв и перевыпуск Аппаратный токен Высокий Низкий (нужен физический доступ) Замена токена Биометрия + liveness Высокий Низкий при хорошей liveness Не восстанавливается при утечке шаблона ## Что делать при компрометации ЭЦП Если вы подозреваете, что ваша ЭЦП попала в чужие руки: 1. Немедленно подайте заявку на **отзыв (аннулирование) сертификата** через портал НУЦ РК: **pki.gov.kz** или лично в ЦОН. 2. Смените пароли на всех сервисах, где использовалась скомпрометированная ЭЦП. 3. Проверьте через egov.kz историю действий, совершённых от вашего имени (запросы, подписанные документы). 4. Обратитесь в ваш банк для проверки возможных несанкционированных операций. 5. Подайте заявление в полицию. Подробнее о двухфакторной защите читайте в статье [о двухфакторной аутентификации](/blog/dvukhfaktornaya-autentifikatsiya). О безопасности при дистанционном банковском обслуживании — в материале [удалённая идентификация в банках](/blog/udalennaya-identifikatsiya-banki). ЭЦП и биометрия — мощные инструменты цифровой безопасности, но только при правильном использовании. Храните файл ЭЦП как физические ключи от квартиры: никогда не передавайте третьим лицам, не загружайте на чужих компьютерах и не вводите пароль на незнакомых сайтах. При малейших признаках компрометации — немедленный отзыв сертификата в Национальный банк или НУЦ РК.