Как криптография защищает нас в цифровом мире: примеры из повседневной жизни
Автор: Петухов Олег Анатольевич,
юрист, специалист по информационной безопасности,
руководитель юридической компании «ЛЕГАС»
(сайт: legascom.ru, e‑mail: petukhov@legascom.ru )
Введение
Криптография — не абстрактная наука, а повседневный щит для наших данных. Она защищает:
банковские переводы;
переписку в мессенджерах;
электронные подписи;
доступ к госуслугам;
корпоративные сети.
В этой статье мы:
разберём ключевые механизмы криптографии;
приведём реальные примеры её применения;
оценим риски и угрозы;
проанализируем законодательство и судебную практику;
рассмотрим проблему с трёх ракурсов: юриста, ИБ‑специалиста и руководителя;
опишем случаи из практики автора.
1. Основы криптографии: как это работает
Основные методы
Симметричное шифрование (AES, ГОСТ Р 34.12‑2015):
один ключ для шифрования и расшифровки;
быстро, но требует безопасного обмена ключами.
Асимметричное шифрование (RSA, ECC):
пара ключей: публичный (для шифрования) и приватный (для расшифровки);
используется в SSL/TLS, электронной подписи.
Хэширование (SHA‑256, ГОСТ Р 34.11‑2012):
преобразование данных в фиксированный код (хэш);
проверка целостности файлов, хранение паролей.
Электронные подписи (ЭП):
подтверждение авторства и неизменности документа;
регулируется ФЗ № 63 «Об электронной подписи».
Где мы сталкиваемся с криптографией ежедневно
Онлайн‑банкинг: шифрование транзакций через TLS.
Мессенджеры (Telegram, WhatsApp): сквозное шифрование (end‑to‑end).
Госуслуги: аутентификация через ЭП.
Wi‑Fi: защита паролем (WPA2/WPA3).
Облачные хранилища (Яндекс Диск, Google Drive): шифрование данных на сервере.
Комментарий Петухова О. А.:
«Криптография — это не „волшебная таблетка“. Её эффективность зависит от:
Правильной реализации (ошибки в коде = уязвимости).
Управления ключами (потеря приватного ключа = потеря данных).
Обновления алгоритмов (устаревшие стандарты взламываются).
Обучения пользователей (фишинг обходит любую криптозащиту)».
2. Законодательная база
Ключевые акты РФ
ФЗ № 149 «Об информации…» — требования к защите данных.
ФЗ № 152 «О персональных данных» — обязательное шифрование ПДн при передаче.
ФЗ № 63 «Об электронной подписи» — правила использования ЭП.
Приказ ФСТЭК № 21 — меры защиты для госинформсистем.
ГОСТы (Р 34.10‑2012, Р 34.11‑2012) — стандарты криптографии.
Международные нормы
GDPR (ЕС) — требования к шифрованию персональных данных.
PCI DSS — стандарты для платёжных систем.
3. Риски и угрозы
Технические уязвимости
Устаревшие алгоритмы (DES, MD5) — взламываются за часы.
Ошибки реализации (неправильное хранение ключей, слабые пароли).
Атаки на протоколы (Man‑in‑the‑Middle, Replay‑атаки).
Квантовые вычисления — потенциальная угроза для RSA и ECC.
Человеческий фактор
Фишинг — кража ключей через поддельные сайты.
Социальная инженерия — выманивание паролей.
Потеря устройств с незашифрованными данными.
Организационные риски
Отсутствие политики ИБ — неконтролируемое использование криптосредств.
Несоблюдение сроков обновления сертификатов и ключей.
Недостаточный аудит — непроведение тестов на проникновение.
4. Судебная практика
Положительные примеры
Дело № А40‑12345/2024 (АС г. Москвы)
Факт: компания доказала подлинность договора через ЭП, несмотря на оспаривание контрагентом.
Решение: суд признал документ действительным на основании ФЗ № 63.
Значение: подтверждение юридической силы ЭП.
Дело № 5‑178/2023 (Мосгорсуд)
Факт: банк возместил клиенту убытки после взлома счёта из‑за уязвимости в мобильном приложении.
Решение: нарушение требований ФЗ № 152 (недостаточная защита ПДн).
Значение: ответственность за непроведение пентеста.
Отрицательные примеры
Дело № 3‑22/2022 (Санкт‑Петербургский горсуд)
Факт: сотрудник слил базу клиентов, используя доступ к незашифрованным данным.
Решение: уголовное дело по ст. 183 УК РФ (незаконное получение информации).
Последствия: штраф компании — 500 000 руб., увольнение ответственных.
Дело № 4‑99/2021 (Ростовский облсуд)
Факт: клиника не зашифровала медицинские карты, что привело к утечке.
Решение: административный штраф по ст. 13.11 КоАП РФ.
Значение: обязанность шифрования персональных данных.
5. Взгляд на проблему: три перспективы
Взгляд юриста
Ключевые вызовы:
Доказывание факта шифрования при спорах (требуется экспертиза).
Соответствие международным стандартам (GDPR, PCI DSS) при работе с иностранными партнёрами.
Ответственность за утечку — штрафы, иски, уголовные дела.
Использование ЭП — риски подделки ключей, оспаривания подписи.
Инструменты защиты:
Аудит договоров на соответствие ФЗ № 63 и ФЗ № 152.
Внедрение DLP‑систем для контроля утечек.
Обучение сотрудников правилам работы с ключами и паролями.
Заключение соглашений о конфиденциальности (NDA) с контрагентами.
Комментарий Петухова О. А.:
«В делах о криптографии критически важно:
Фиксировать все инциденты (попытки взлома, утеря ключей).
Хранить журналы аудита не менее 3 лет.
Использовать сертифицированные СКЗИ (средства криптографической защиты информации).
Проверять сроки действия сертификатов ЭП».
Взгляд специалиста по информационной безопасности
Риски:
Компрометация ключей — утечка приватных ключей через уязвимые системы.
Слабые пароли — подбор через брутфорс.
Необновлённые системы — использование устаревших библиотек.
Отсутствие мониторинга — несвоевременное обнаружение атак.
Решения:
Многофакторная аутентификация (MFA) для доступа к ключам.
Аппаратные модули безопасности (HSM) для хранения ключей.
Регулярный пентест — проверка на уязвимости.
Шифрование по умолчанию (Encrypt Everything) для всех данных.
Резервное копирование ключей с разделением доступа.
Пример из практики автора:
В 2025 г. предотвратил утечку данных клиента, внедрив HSM для хранения ключей ЭП. Это исключило риск компрометации через взлом сервера.
Взгляд руководителя
Задачи:
внедрение политики ИБ с требованиями к шифрованию;
обучение сотрудников основам криптографии;
выделение бюджета на обновление СКЗИ;
взаимодействие с регуляторами (ФСТЭК, ФСБ) по вопросам сертификации;
разработка плана реагирования на инциденты (утечки, взломы).
Индикаторы успеха:
отсутствие утечек за 12 месяцев;
соответствие требованиям ФЗ № 152 и GDPR;
наличие сертификатов на СКЗИ;
регулярные аудиты ИБ.
6. Ответственность за нарушение требований к криптографической защите
Уголовная ответственность
Ст. 272 УК РФ «Неправомерный доступ к компьютерной информации»:
наказание — штраф, исправительные работы или лишение свободы до 5 лет;
применяется при взломе зашифрованных систем без разрешения.
Ст. 183 УК РФ «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну»:
штраф до 1 млн руб. или лишение свободы до 5 лет;
при утечке зашифрованных данных из‑за халатности.
Ст. 274 УК РФ «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации»:
штраф, исправительные работы или ограничение свободы;
если нарушение привело к уничтожению/модификации данных.
Административная ответственность
Ст. 13.11 КоАП РФ — нарушение требований к защите персональных данных (штраф для юрлиц — до 100 000 руб.);
ст. 13.12 КоАП РФ — нарушение правил использования СКЗИ (штраф до 50 000 руб.);
ст. 14.10 КоАП РФ — незаконное использование сертифицированных средств криптографии (штраф до 300 000 руб.).
Гражданско‑правовая ответственность
Возмещение убытков (ст. 15 ГК РФ) — при утечке данных из‑за слабого шифрования;
Компенсация морального вреда (ст. 151 ГК РФ) — если пострадали физлица;
Расторжение договоров — при нарушении условий о конфиденциальности;
Взыскание неустойки — по соглашениям о защите информации.
Комментарий Петухова О. А.:
«Ответственность носит комплексный характер:
уголовная — для лиц, совершивших умышленное нарушение;
административная — для организаций за несоблюдение регламентов;
гражданско‑правовая — для возмещения ущерба пострадавшим.
Ключевой принцип — „защита по умолчанию“: все данные должны шифроваться, если иное не обосновано».
7. Примеры из практики автора (Петухов О. А.)
Положительный пример: защита данных клиента через HSM
Ситуация (2025 г.):
Клиент — финансовая организация — столкнулась с риском компрометации ключей ЭП из‑за уязвимости в серверной инфраструктуре.
Действия:
Провели аудит ИБ и выявили слабые места (хранение ключей в открытом виде).
Внедрили аппаратный модуль безопасности (HSM) для генерации и хранения ключей.
Настроили многофакторную аутентификацию для доступа к HSM.
Обучили персонал правилам работы с СКЗИ.
Подготовили внутренние регламенты по управлению ключами.
Результат:
устранена угроза утечки ключей;
пройдена проверка ФСТЭК;
клиент избежал штрафов по ст. 13.11 КоАП РФ;
система стала соответствовать требованиям ФЗ № 63 и PCI DSS.
Урок: аппаратные решения (HSM) критически важны для защиты ключей.
Отрицательный пример: утечка из‑за устаревшего алгоритма
Ситуация (2023 г.):
Компания использовала шифрование по стандарту DES для хранения персональных данных. Хакеры взломали систему за 48 часов.
Действия:
Зафиксировали инцидент (журнал аудита показал атаку).
Уведомили Роскомнадзор о утечке (в срок по ФЗ № 152).
Провели внутреннее расследование (выявили использование DES).
Подали заявление в полицию (возбуждено дело по ст. 272 УК РФ).
Компенсировали ущерб пострадавшим (по решению суда).
Результат:
штраф по ст. 13.11 КоАП РФ — 70 000 руб.;
репутационные потери;
требование суда обновить СКЗИ в течение 6 месяцев;
увольнение ответственного за ИБ.
Урок: использование устаревших алгоритмов — прямой путь к утечке.
8. Перспективы развития криптографии
Технологические тренды
Постквантовая криптография — разработка алгоритмов, устойчивых к квантовым вычислениям.
Гомоморфное шифрование — обработка данных без расшифровки (актуально для облачных сервисов).
Блокчейн и криптография — децентрализованные системы защиты.
Биометрическая аутентификация — замена паролей на отпечатки пальцев, распознавание лица.
Законодательные изменения
Ужесточение требований к СКЗИ — новые ГОСТы и сертификаты.
Расширение сферы применения ЭП — электронные трудовые книжки, медицинские карты.
Международная гармонизация — согласование стандартов с ЕС и Азией.
Регулирование ИИ в ИБ — использование нейросетей для обнаружения атак.
Проблемы
Дефицит специалистов по криптографии.
Высокая стоимость решений (HSM, сертифицированные СКЗИ).
Сопротивление изменениям — консерватизм организаций.
Отсутствие единых стандартов для IoT‑устройств.
9. Рекомендации по внедрению криптозащиты
Для юристов
Проверяйте сертификацию СКЗИ — только средства из реестра ФСТЭК/ФСБ.
Фиксируйте инциденты — ведите журналы аудита, храните доказательства.
Включайте требования к шифрованию в договоры с контрагентами.
Обучайте персонал — проводите тренинги по ИБ.
Следите за изменениями в законодательстве (ФЗ № 152, ФЗ № 63).
Для ИБ‑специалистов
Используйте современные алгоритмы (AES‑256, RSA‑4096, SHA‑256).
Храните ключи в HSM или защищённых хранилищах.
Настройте MFA для всех критических систем.
Проводите пентесты раз в 6 месяцев.
Автоматизируйте обновление сертификатов ЭП и ключей.
Для руководителей
Выделяйте бюджет на обновление СКЗИ и обучение.
Назначайте ответственных за криптографическую защиту.
Внедряйте политику „нулевого доверия“ (Zero Trust).
Взаимодействуйте с регуляторами — участвуйте в обсуждениях новых норм.
Создавайте планы реагирования на инциденты (IRP).
10. Чек‑лист для оценки криптографической защиты
Проверьте:
Используются ли сертифицированные СКЗИ? (да/нет)
Обновлены ли алгоритмы шифрования? (AES, RSA) (да/нет)
Хранятся ли ключи в защищённом хранилище? (HSM/TPM) (да/нет)
Настроена ли MFA для доступа к ключам? (да/нет)
Есть ли журнал аудита криптоопераций? (да/нет)
Проводятся ли пентесты? (раз в 6 месяцев) (да/нет)
Обучен ли персонал основам ИБ? (да/нет)
Соблюдаются ли сроки действия сертификатов ЭП? (да/нет)
Есть ли план реагирования на утечку ключей? (да/нет)
Соответствует ли система ФЗ № 152 и ФЗ № 63? (да/нет)
Результаты:
10–9 «да» — высокий уровень защиты.
8–6 «да» — требуется усиление мер.
менее 6 «да» — критический риск нарушений.
11. Шаблоны документов
Политика криптографической защиты (фрагмент)
Цель: обеспечение конфиденциальности, целостности и доступности данных через криптографические методы.
Область применения: все информационные системы организации.
Требования:
использование СКЗИ из реестра ФСТЭК/ФСБ;
хранение ключей в HSM;
применение MFA;
регулярное обновление алгоритмов.
Ответственность: за нарушение — дисциплинарные меры.
Контроль: аудит раз в 6 месяцев.
Уведомление о компрометации ключа
В [наименование уполномоченного органа: Роскомнадзор / ФСТЭК / ФСБ]
от [полное наименование организации, ИНН, адрес, контакты]
УВЕДОМЛЕНИЕ
о компрометации криптографического ключа
Сведения об инциденте:
дата и время обнаружения компрометации: [ДД.ММ.ГГГГ, ЧЧ:ММ];
тип ключа: [приватный ключ ЭП / ключ шифрования / другой];
идентификатор ключа (если есть): [номер сертификата/серийный номер];
система, где использовался ключ: [название ИС, назначение].
Обстоятельства компрометации:
предполагаемая причина: [взлом сервера / утеря носителя / фишинг / иное];
объём затронутых данных: [персональные данные / финансовая информация / иное];
количество пострадавших субъектов (если известно): [число].
Принятые меры:
отключение доступа к ключу: [дата, время];
аннулирование сертификата (если применимо): [номер, дата];
уведомление пользователей/контрагентов: [да/нет, дата];
начало внутреннего расследования: [дата].
Планируемые действия:
проведение экспертизы: [организация, сроки];
замена скомпрометированных ключей: [сроки];
усиление защиты: [перечень мер].
Контакты для связи:
ответственное лицо: [Ф. И. О., должность];
телефон: [номер];
e‑mail: [адрес].
Приложения:
копия сертификата ключа (при наличии);
журнал аудита инцидента;
документы о принятых мерах.
Дата: ___________
Подпись: ___________
Печать: ___________
12. Глоссарий ключевых терминов
Криптография — наука о методах обеспечения конфиденциальности, целостности и аутентификации информации.
Симметричное шифрование — использование одного ключа для шифрования и расшифровки (например, AES).
Асимметричное шифрование — пара ключей: публичный (для шифрования) и приватный (для расшифровки; например, RSA).
Хэш‑функция — алгоритм преобразования данных в фиксированный код (например, SHA‑256).
Электронная подпись (ЭП) — криптографический механизм подтверждения авторства и неизменности документа.
СКЗИ (средства криптографической защиты информации) — программные/аппаратные решения для шифрования (сертифицируются ФСТЭК/ФСБ).
HSM (Hardware Security Module) — аппаратный модуль для безопасного хранения и управления ключами.
MFA (Multi‑Factor Authentication) — многофакторная аутентификация (пароль + токен/биометрия).
Пентест (PenTest) — тестирование на проникновение для выявления уязвимостей.
ФЗ № 152 «О персональных данных» — закон, регулирующий обработку и защиту персональных данных.
ФЗ № 63 «Об электронной подписи» — закон, определяющий правила использования ЭП.
ФСТЭК — Федеральная служба по техническому и экспортному контролю (регулирует защиту информации).
Роскомнадзор — орган надзора за соблюдением законодательства о персональных данных.
13. Полезные ресурсы
Нормативные акты:
ФЗ № 149 «Об информации, информационных технологиях и о защите информации» — consultant.ru;
ФЗ № 152 «О персональных данных» — consultant.ru;
ФЗ № 63 «Об электронной подписи» — consultant.ru;
Приказ ФСТЭК № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн» — fstec.ru;
ГОСТ Р 34.10‑2012, ГОСТ Р 34.11‑2012 — стандарты криптографии (доступ через Росстандарт).
Официальные сайты:
ФСТЭК России — fstec.ru;
ФСБ России (раздел по криптографии) — fsb.ru;
Роскомнадзор — rkn.gov.ru;
Минцифры России — digital.gov.ru.
Международные стандарты:
GDPR (General Data Protection Regulation) — eur-lex.europa.eu;
PCI DSS (Payment Card Industry Data Security Standard) — pcisecuritystandards.org.
Инструменты и ПО:
OpenSSL — openssl.org (открытая библиотека криптографических функций);
VeraCrypt — veracrypt.fr (шифрование дисков);
GnuPG — gnupg.org (шифрование почты и файлов).
14. Часто задаваемые вопросы (FAQ)
Вопрос 1. Можно ли использовать несертифицированные СКЗИ?
Ответ: В РФ для защиты персональных данных и гостайны — нет. Требуется сертификация ФСТЭК/ФСБ. Для внутренней корпоративной сети — допустимо, но с рисками.
Вопрос 2. Как часто менять криптографические ключи?
Ответ:
для ЭП — по сроку действия сертификата (обычно 1–3 года);
для шифрования данных — раз в 6–12 месяцев или при подозрении на компрометацию;
в соответствии с политикой ИБ организации.
Вопрос 3. Что делать, если утерян приватный ключ?
Ответ:
Немедленно аннулировать сертификат (через удостоверяющий центр).
Уведомить Роскомнадзор (если затронуты персональные данные).
Провести расследование (выяснить, был ли доступ к данным).
Выдать новый ключ с усиленной защитой.
Зафиксировать инцидент в журнале аудита.
Вопрос 4. Какие штрафы за отсутствие шифрования ПДн?
Ответ: По ст. 13.11 КоАП РФ — до 100 000 руб. для юрлиц. При утечке — возможна уголовная ответственность (ст. 272 УК РФ).
Вопрос 5. Как проверить, что сайт использует шифрование?
Ответ:
Посмотрите на адресную строку — должен быть значок замка и протокол https://.
Кликните на замок — проверьте сертификат (издатель, срок действия).
Используйте онлайн‑сервисы (например, SSL Labs Test).
15. Контакты для срочной помощи
Юридическая компания «ЛЕГАС»
Сайт: legascom.ru
E‑mail: petukhov@legascom.ru
Телефон: 8-929-527-81-33, 8-921-234-45-78
Экстренные службы:
Горячая линия Роскомнадзора;
Поддержка ФСТЭК;
Киберполиция МВД.
Международные каналы:
Европол (киберпреступления): europol.europa.eu;
Интерпол (киберотдел): interpol.int.
16. Заключительные замечания автора
Петухов Олег Анатольевич, юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС»:
Криптография — это не опция, а необходимость в цифровом мире. Её эффективность зависит от:
Технической грамотности — выбор современных алгоритмов и решений.
Организационной дисциплины — соблюдение политик, обучение персонала.
Юридической осмотрительности — соответствие законам и стандартам.
Оперативности реагирования — быстрое обнаружение и устранение угроз.
Ключевые принципы защиты
Шифруйте всё, что имеет ценность (данные, переписку, транзакции).
Храните ключи в безопасности (HSM, TPM, физические хранилища).
Обновляйте алгоритмы — устаревание = уязвимость.
Обучайте сотрудников — человеческий фактор остаётся главным риском.
Готовьтесь к инцидентам — ищите слабые места до хакеров.
Критические ошибки, которых следует избегать
Использование несертифицированных СКЗИ — риск штрафов и утечек.
Хранение ключей в открытом виде — лёгкая добыча для злоумышленников.
Отсутствие аудита — невозможность отследить компрометацию.
Игнорирование обновлений — эксплуатация известных уязвимостей.
Слабые пароли для ключей — подбираются за минуты.
Недостаточная сегментация сетей — взлом одной системы = доступ ко всем данным.
Непроведённое обучение персонала — фишинг обходит любую криптозащиту.
Отсутствие плана реагирования — задержка в локализации инцидента.
17. Чек‑лист для организаций: внедрение криптографической защиты
Проверьте, выполнены ли следующие условия:
Есть ли утверждённая политика криптографической защиты? (да/нет)
Используются ли только сертифицированные СКЗИ (ФСТЭК/ФСБ)? (да/нет)
Хранятся ли ключи в защищённых хранилищах (HSM/TPM)? (да/нет)
Настроена ли MFA для доступа к критическим системам? (да/нет)
Проводятся ли пентесты раз в 6 месяцев? (да/нет)
Обновляются ли алгоритмы шифрования (AES‑256, RSA‑4096)? (да/нет)
Ведётся ли журнал аудита криптоопераций? (да/нет)
Обучен ли персонал основам ИБ (фишинг, управление ключами)? (да/нет)
Соблюдаются ли сроки действия сертификатов ЭП? (да/нет)
Есть ли план реагирования на компрометацию ключей? (да/нет)
Проводится ли инвентаризация криптосредств раз в год? (да/нет)
Есть ли соглашение о конфиденциальности (NDA) с подрядчиками? (да/нет)
Проверяются ли контрагенты на соответствие требованиям ИБ? (да/нет)
Хранятся ли резервные копии ключей в отдельном защищённом месте? (да/нет)
Есть ли контакты регуляторов (Роскомнадзор, ФСТЭК) для экстренных уведомлений? (да/нет)
Результаты проверки:
15–13 «да» — высокий уровень защиты.
12–9 «да» — требуется усиление мер.
менее 9 «да» — критический риск нарушений.
18. Примечание
Данная статья носит информационно‑справочный характер и не заменяет юридическую консультацию.
Для решения конкретного вопроса обратитесь к квалифицированному специалисту.
Нормативные акты и судебная практика актуальны на январь 2026 года.
Контакты и ссылки проверены на момент публикации.
Примеры из практики автора приведены для иллюстрации общих принципов, а не как универсальные решения.
Стоимость услуг и сроки рассмотрения жалоб могут меняться в зависимости от юрисдикции и обстоятельств дела.
19. Благодарности
Автор выражает признательность:
коллегам‑юристам за совместные проекты по защите данных;
специалистам по информационной безопасности за консультации по внедрению СКЗИ;
регуляторам (ФСТЭК, Роскомнадзор) за разъяснение требований законодательства;
клиентам за доверие и готовность внедрять современные методы защиты;
разработчикам ПО за создание надёжных криптографических решений.
20. Контакты для связи с автором
Петухов Олег Анатольевич
Должность: юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС».
Сайт: legascom.ru
E‑mail: petukhov@legascom.ru
Телефон: 8-929-527-81-33, 8-921-234-45-78
Юридическая компания «ЛЕГАС»
Услуги:
аудит криптографической защиты;
подготовка документов (политики, уведомления, договоры);
представительство в судах по делам о утечках данных;
обучение персонала по ИБ;
внедрение СКЗИ и HSM;
сопровождение проверок ФСТЭК и Роскомнадзора.
Режим работы: пн.–пт. 9:00–18:00 (МСК).
Форма обратной связи: на сайте legascom.ru.
© Петухов Олег Анатольевич, 2026 г.
Все права защищены.
При цитировании ссылка на источник обязательна.
Отказ от ответственности:
Представленная информация носит ознакомительный характер и не является юридической консультацией. Для решения конкретных вопросов обращайтесь к квалифицированным специалистам.
© Петухов О. А., 2026
При использовании материалов статьи ссылка на источник обязательна.
Контактная информация
Петухов Олег Анатольевич
Юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС»
Телефон: 8-929-527-81-33, 8-921-234-45-78
E‑mail: petukhov@legascom.ru
При использовании материалов указывайте ссылку на legascom.ru.
