Секретный код: только для твоих глаз. Гайд по безопасной передаче данных

Для передачи персональных данных и временных паролей критически важно использовать только защищённые каналы связи.

Универсального ответа нет, так как выбор зависит от вашего местоположения и типа данных, но большинство популярных мессенджеров (Telegram, WhatsApp) для этих целей не подходят.

Вот варианты решений, разделенные по принципу их работы и надежности:

🇷🇺 Если вы в России и обязаны соблюдать 152-ФЗ

С 1 марта 2025 года штрафы за нарушения выросли до 3 млн рублей. Использование иностранных мессенджеров (Telegram, WhatsApp, Viber, Signal) для передачи документов с персональными данными (ФИО, паспорт, ИНН) является нарушением, так как их сервера находятся за пределами РФ, и вы не можете контролировать маршруты пересылки данных.

Можно использовать только сервисы с серверами в РФ:

• Почта и мессенджеры: Яндекс 360 для бизнеса, VK WorkSpace (бывший Mail.ru), МойОфис.Облако.
• Корпоративные платформы: TrueConf Server (работает внутри вашей сети, данные не уходят во внешние облака, включен в реестр российского ПО).
• Системы ЭДО: СБИС, Контур.Диадок. Они предназначены именно для юридически значимого документооборота.

🔒 Если важна максимальная конфиденциальность (вне юрисдикции РФ)

Если вы не связаны требованиями российского закона о локализации данных, обратите внимание на мессенджеры с доказанной безопасностью.

• Signal — лучший выбор для рядового пользователя. Сквозное шифрование по умолчанию для всего, открытый исходный код. Требует номер телефона для регистрации.
• Threema — анонимность. Не требует номера телефона или почты, платный (покупка приложения), серверы в Швейцарии. Важно: с 1 января 2025 года в России госсектору и финансистам запрещено использовать иностранные мессенджеры (включая Threema) для работы с клиентами.
• Session — децентрализация. Не требует никаких личных данных (только ID), работает через распределенную сеть узлов, что усложняет сбор метаданных.
• Element (протокол Matrix) — полный контроль. Децентрализованная сеть, вы можете поставить свой сервер и управлять данными самостоятельно.

⚠️ Спорные варианты (с нюансами)

• Telegram: Не обеспечивает сквозное шифрование в обычных чатах по умолчанию — его нужно включать вручную в режиме "Секретный чат". С точки зрения российского закона о ПДн, он является иностранным мессенджером и не разрешен для передачи персональных данных.
• WhatsApp: Сквозное шифрование есть по умолчанию, но он собирает много метаданных и принадлежит Meta (запрещена в РФ как экстремистская).
• MAX: Новый российский мессенджер. По данным "Лаборатории Касперского", он запрашивает меньше разрешений, чем конкуренты, и имеет встроенную защиту.

Как передавать временные пароли (OTP)

Временные пароли (одноразовые коды) лучше вообще не передавать, а генерировать их специальными средствами.

• Никогда не используйте SMS. Протокол SS7 устарел, коды легко перехватить через подмену SIM-карты или атаки на сети операторов.
• Используйте приложения-аутентификаторы:
  Google Authenticator, Authy, Keeper и другие генерируют коды локально на вашем устройстве (TOTP). Код не передается по сети, значит, его невозможно перехватить.
• Если нужно передать пароль другому человеку:
  Используйте менеджеры паролей со встроенным шарингом (например, Keeper).
  Если иного выхода нет, отправляйте частями по разным каналам (половину в одном месте, половину — в другом) и используйте самоуничтожающиеся сообщения (где есть — в Signal или секретных чатах Telegram).

Итог:

Если вы в России и передаете паспортные данные — используйте VK WorkSpace или Яндекс.Почту.

Если просто хотите защитить личную переписку с паролями — ставьте Signal.

А для хранения и ввода паролей всегда используйте приложения-аутентификаторы, а не SMS.

А какими вы пользуетесь мессенджерами?

Как вы защищаете персональные данные личные и коллег?

Делитесь в комментариях.

Книги (много, выбрал основные)

🇷🇺 Для соблюдения российского законодательства (152-ФЗ)

Если ваша задача — не просто защитить переписку, а делать это в рамках правового поля РФ (особенно для бизнеса), эти книги станут настольными.

• Д. А. Скрипник. «Обеспечение безопасности персональных данных» (2024)
  Крайне актуальное пособие, которое рассматривает тему именно через призму российских законов. Здесь вы найдете разбор ключевых терминов, прав и обязанностей оператора персональных данных, а также этапы построения системы защиты данных в соответствии с требованиями регуляторов.

• А. А. Максуров. «Юридическая технология обеспечения безопасности и защиты персональных данных в сети Интернет» (2025)
  Это монография для тех, кому нужен глубокий юридический анализ. Книга исследует стратегии и тактики защиты личной информации в сети, анализирует международное и европейское право, а также российское законодательство по состоянию на сентябрь 2024 года. Незаменима для юристов и ИБ специалистов.

• В. И. Петренко, И. В. Мандрица. «Защита персональных данных в информационных системах. Практикум» (2025)
  Отличное практическое дополнение к теории. Это учебное пособие с практическими занятиями, которое поможет освоить конкретные методы и средства защиты данных в информационных системах.

📚 Базовая теория и введение в профессию

Если вы только начинаете знакомство с темой, обратите внимание на эти учебники.

• А. Е. Фаронов. «Основы информационной безопасности при работе на компьютере» (2024)
  Комплексное учебное пособие, которое охватывает не только технические методы защиты персональных данных, но и психологические аспекты. Книга учит распознавать попытки кражи данных и противостоять злоумышленникам.

• С. А. Нестеров. «Основы информационной безопасности»
  Существует в разных изданиях (для вузов и для СПО). Это классический, хорошо структурированный учебник, который дает системное понимание теоретических основ защиты информации, криптографии и управления рисками.

• Т. М. Пестунова, А. А. Перов. «Информационная безопасность и защита информации: краткое введение и практикум» (2025)
  Еще одно хорошее введение в проблематику с упором на практические навыки. Подойдет для студентов и всех, кто хочет применить знания на практике.

🛡️ Для глубокого понимания защиты и шифрования

• Дэвид Вонг. «Реальная криптография» (2024–2025)
  Это, пожалуй, лучшая книга для старта, если вы хотите понять фундамент. Здесь простым языком, без сложной математики, объясняется, как работают аутентификация, шифрование, хеш-функции и безопасный обмен сообщениями. Автор рассматривает даже современные темы вроде постквантовой криптографии. Идеально для разработчиков, администраторов и просто пытливых пользователей.

• О. Р. Лапонина. «Основы сетевой безопасности: криптографические алгоритмы и протоколы взаимодействия» (2024)
  Более фундаментальный и академичный труд. Книга подробно разбирает алгоритмы шифрования, протоколы аутентификации и механизмы безопасности компьютерных сетей. Это учебное пособие для вузов, которое подойдет тем, кто хочет изучить вопрос на серьезном техническом уровне.

А какие книги вы знаете?

Использовали в работе?

Напишите в комментариях.

Информация, представленная в данной статье, носит исключительно ознакомительный характер. Автор не является юристом или специалистом по информационной безопасности, если это не указано явно.

Выбор программного обеспечения и мессенджеров для передачи персональных данных и конфиденциальной информации осуществляется вами самостоятельно. Автор не несет ответственности за любые прямые или косвенные убытки, потерю данных, нарушение законодательства (включая, но не ограничиваясь, 152-ФЗ «О персональных данных»), а также за возможный перехват информации третьими лицами, возникшие в результате использования упомянутых в статье приложений и сервисов.

Перед передачей критически важной информации убедитесь в соответствии выбранного канала связи требованиям вашей организации и локальному законодательству.

• #152ФЗ
• #персональныеданные
• #законодательствоРФ
• #локализацияданных
• #Роскомнадзор
• #безопасностьбизнеса
• #ITвРоссии

#кибербезопасность #мессенджеры #защитаданных #шифрование #Signal #Telegram #безопасностьвсети #приватность #информационнаябезопасность