Сертификат — это «пропуск» для сайта: если устройство ему доверяет, то в адресной строке браузера появляется замочек, исчезают предупреждения и обмен данными происходит по HTTPS. 

Сертификаты безопасности, такие как SSL/TLS, предназначены для шифрования данных между пользователем и сайтом. Они подтверждают подлинность ресурса и защищают информацию от перехвата. При наличии такого сертификата соединение считается безопасным, что отображается в браузере значком замка рядом с адресом сайта.

Есть сертификат сайта (действует для одного домена, например google.com) и есть корневой сертификат — главный ключ, которому доверяет вся операционная система. Владелец корневого сертификата может выпускать сертификаты на любые сайты. 

После 2022 года многие зарубежные центры сертификации перестали выдавать и продлевать сертификаты для российских сайтов. Госуслуги и банки начали открываться с ошибками. В ответ, Минцифры запустило свой центр сертификации и предложило гражданам доверять его корневому сертификату, чтобы сайты Госуслуг и банков открывались. 

Установка российских сертификатов безопасности вызывает споры. С одной стороны, они позволяют устранить предупреждения браузеров о небезопасном соединении и обеспечивают доступ к сайтам. С другой стороны, существует вероятность, что такие сертификаты могут использоваться для отслеживания или перехвата трафика пользователя. 

Есть вероятность, что если пользователь доверяет корневому сертификату Минцифры, то к его трафику незаметно для него могут получить доступ структуры, обладающие технической возможностью перехвата и имеющие интерес к мониторингу интернет-активности. 

В Казахстане в 2015-2019 году продвигали «национальный» корневой сертификат. После установки сертификата, правоохранительные органы Казахстана получали доступ к трафику пользователей. В ответ Google, Mozilla и Apple заблокировали этот корневой сертификат в своих браузерах.

Технически-возможный сценарий в России. Если у вас установлен корневой сертификат, то, например, при вводе в браузер google.com третьи лица, обладающие технической возможностью перехвата и мониторинга интернет-активности, через подконтрольный DNS могут перенаправить вас на свой сервер. При этом вам показывается настоящий интерфейс Google, и никаких ошибок или предупреждений браузер не выдаёт, поскольку сертификат поддельного сайта подписан тем самым корневым сертификатом. В итоге можно получить доступ к логину и паролю, а все действия на сайте могут просматриваться. 

Чтобы не устанавливать российские сертификаты на всю операционную систему, можно воспользоваться браузерами, в которые уже они уже встроены. Например, можно установить Яндекс браузер, в котором корневой сертификат уже встроен, и использовать его только для тех сайтов, где сертификат обязателен. Но помните: это не убирает риск — все, что вы делаете через Яндекс браузер, может отслеживаться.

Часто удобно использовать официальные мобильные приложения банков и госуслуг — в многие из них сертификат также установлен.

Без российских сертификатов некоторые российские сайты могут отображаться с ошибками или вовсе быть недоступными. Это касается, в первую очередь, государственных и финансовых ресурсов. Пользователю в таком случае придётся либо установить сертификат на всю операционную систему, либо использовать браузеры, в которое установлен сертификат или мобильные приложения сервисов.

1. Установите отдельный браузер только для сайтов, которые не работают без корневого сертификата (Госуслуги, банки). Для всего личного советуем использовать другой браузер.
2. Не устанавливайте корневой сертификат на всю операционную систему. Доверяйте сертификату лишь внутри конкретного браузера. Для бОльшей защищённости используйте виртуальную машину или отдельный смартфон для работы с российскими сайтами.

Общий совет такой: действуйте по принципу наименьшего доверия, а именно ограничивайте установку одним браузером, разделяйте рабочие и личные контексты и, по возможности, переходите на мобильные приложения. Это не снимает угрозу полностью, но ощутимо сокращает возможный ущерб.

Просьба разблокировать телефон на российской границе стала уже стандартной процедурой. Спорить о ее законности на месте бесполезно и контрпродуктивно. Ваша главная задача — спокойно пройти границу, и это на 99% зависит от подготовки.

Это руководство поможет вам подготовить вашу технику, минимизировать риски и сохранить спокойствие.

Если времени мало, пройдитесь по этому списку. Для полного понимания рисков изучите инструкцию целиком.

• Соцсети, чаты, каналы, история поиска и YouTube — почищены от рискованного контента;
• Контакты и фотографии/видео (включая папку «Недавно удаленные») — проверены и очищены;
• Приложения нежелательных СМИ, VPN-сервисы и банковские приложения с историей «опасных» донатов — удалены;
• Face ID / Touch ID — отключены (для предотвращения принудительной разблокировки);
• Установлен сложный пароль на разблокировку (минимум 6 цифр).

Главная стратегия: «Выглядеть скучно, а не стерильно».

Ваша цель — не вызвать подозрений. Абсолютно пустой, «стерильный» телефон может привлечь внимание. Телефон должен выглядеть как устройство обычного человека: есть мессенджеры, пара игр, приложение для заказа такси, несколько нейтральных фотографий. Задача — при беглом осмотре уставшего пограничника показаться ему неинтересным.

Начните подготовку заранее.

Все ценное, что вы удаляете с телефона, предварительно сохраните в облачное хранилище, доступ к которому с телефона будет закрыт.

• Защитите Telegram.

Это самое проверяемое приложение. Удалять его бесполезно — могут заставить скачать и войти заново.

Установите облачный пароль (2FA). Это обязательно. Зайдите в Настройки > Конфиденциальность > Двухэтапная аутентификация. Без этого пароля ваши переписки не защищены. Храните пароль в надежном менеджере, но не в телефоне.

• Почистите контент.

Отпишитесь от всех «опасных» каналов, удалите переписки, чаты и загруженные файлы по стоп-словам.

Вручную или через поиск найдите и удалите из всех приложений (чаты, заметки, браузер) упоминания следующих тем:

• Номера, начинающиеся с +380 в контактах (лучше временно переименовать);
• Военно-политическая лексика и связанные с ней ключевые слова;
• Содержание, затрагивающее политическую оппозицию, военные действия и протестную активность;
• Наименования политических и вооружённых формирований, а также связанных с ними организаций.

Перечень экстремистских организаций можно найти здесь.

Перечень организаций, признанных нежелательными, здесь.

• Проверьте фото, видео и контакты.

Внимательно просмотрите галерею и очистите папку «Недавно удаленные». Удалите все, что может быть неоднозначно истолковано: фото с митингов, с флагами Украины, фото военкоматов и военной инфраструктуры, а также просто мемы, скриншоты новостей.

Не используйте функцию «Скрытые фото» на iPhone! Она легко обнаруживается.

Проверьте записную книжку: могут ли имена или фамилии контактов привлечь внимание? Временно переименуйте их.

• Обязательно очистите историю поиска и просмотров за весь период:

Браузер (Safari, Chrome): История > Очистить историю.

YouTube: Настройки > История и конфиденциальность > Очистить историю просмотров / поиска.

• Удалите или деактивируйте рискованные приложения и аккаунты.

Приложения: Удалите VPN, приложения «нежелательных» СМИ, а также банковские приложения, если в них есть история донатов в фонды, которые могут считаться «вражескими».

Соцсети: Удалите «оппозиционные» посты, материалы с ЛГБТК+ тематикой. Можете временно деактивировать аккаунты Facebook и Instagram (это делается через настройки). Аккаунт VK можно удалить. Это не вызовет подозрений, а восстановление займет немного времени.

• Отключите Face ID и Touch ID.

Это важный шаг, чтобы предотвратить разблокировку телефона без вашего согласия (например, поднеся его к вашему лицу) и исключить автозаполнение паролей.

iPhone: Настройки > Face ID (или Touch ID) и код-пароль > Сбросить Face ID / Отключить Touch ID.

Android: Настройки > Безопасность > Блокировка экрана.

• Установите цифровой пароль не менее 6 знаков.
• Скройте уведомления на заблокированном экране, чтобы содержание сообщений не было видно посторонним.

iPhone: Настройки > Уведомления > Показ миниатюр > Без блокировки.

Android: Настройки > Уведомления > Уведомления на экране блокировки > Не показывать уведомления.

С точки зрения удаления контента те же правила подготовки относятся к ноутбукам и планшетам. Кроме этого, самый надежный способ защиты — полнодисковое шифрование, на телефонах оно всегда включено, а на компьютерах оно может быть выключено.

Windows: Включите BitLocker.

macOS: Включите FileVault.

Продвинутый уровень: Используйте VeraCrypt для создания скрытых зашифрованных контейнеров, которые невозможно обнаружить при стандартной проверке.

Приезжайте в аэропорт заранее. Дайте себе запас времени на случай долгой проверки.

Сохраняйте спокойствие. Вы подготовились. Молча и нейтрально выполняйте требования сотрудника.

Если телефон изымают, а не просто осматривают, вежливо, но настойчиво требуйте составить протокол изъятия, где будут указаны модель, IMEI и причина.

Если на ваших устройствах много потенциально опасного и вы не уверены, что можете все хорошо почистить, тогда возможно, самая безопасная стратегия — путешествовать с отдельным, «чистым» телефоном и компьютером. Но если вы едете с основным, это руководство поможет вам свести риски к минимуму.

В основе ChatGPT — архитектура Transformer: модель разбивает текст на токены (фрагменты слов) и, определив контекст, предсказывает следующий токен. Сначала идёт предобучение на гигантских массивах текстов, а затем — донастройка с помощью диалогов и обратной связи пользователей, чтобы ответы были полезнее и безопаснее.

Кроме того, в сервисах для частных пользователей (например, в личном аккаунте ChatGPT) новые диалоги могут использоваться для улучшения моделей. Это происходит в том случае, если вы не отключили эту функцию в настройках. Для бизнес-продуктов (ChatGPT Team/Enterprise и API) действует иной режим: данные по умолчанию не используются в обучении моделей.

Давайте разберемся, где хранятся данные ваших диалогов.

1) Провайдер 

Данные передаются в компанию, которая предоставляет ИИ сервис. 

Если мы приводим в пример ChatGPT, то его разработчик, компания OpenAI, зарегистрирована в США и подчиняется местным законам. Данные из чатов персонального аккаунта могут быть выданы властям и специальным службам США. При этом, на сегоднящний день крайне маловероятно, что они будут переданы российским структурам.

Данные личных чатов используются для обучения модели. То есть они могут появиться случайно в разговоре с ChatGPT любого человека (это крайне маловероятно, но возможно). В личном чате эту функцию можно отключить, или включить Temporary Chat, который хранится до 30 дней и не используется для тренировки.

Если делиться чатом по ссылке (функция share), то он может попасть в выдачу Google и любой человек, у которого окажется ссылка, сможет получить доступ к содержимому.

ИИ-модели уязвимы к Prompt Injection: злоумышленник вводит вредоносные команды, и модель может выдать чужие диалоги или внутреннюю информацию. Защищаться очень сложно; хотя OpenAI и другие инвестируют в защиту, лучше считать, что всё, что вы отправляете в ИИ-сервисы, может стать публичным.

2) Ваш эккаунт

История ваших чатов хранится в аккаунте на сайте ChatGPT или другой модели, которой вы пользуетесь. Но эккаунт можно захватить, например, через фишинг, повтор паролей, угон сессии, утёкшие API-ключи. Получив доступ к вашему аккаунту, атакующий может посмотреть историю переписки и данные, которыми вы делились в диалогах.

3) Ваше устройство

Если устройство заражено или плохо защищено, злоумышленники могут отслеживать ваши действия, в том числе всё, что вы вводите в чат, с помощью вредоносных программ, небезопасных расширений или утилит для записи экрана.

Вывод: передавать конфидециальную информацию чату небезопасно. Чем выше чувствительность данных, тем жёстче должны быть процессы: минимизация, корпоративные тарифы режим «временного чата», соглашения об обработке данных (DPA) и внутренние политики обращения с ИИ-инструментами. Так же, можно поднимать ИИ-инструменты на своём оборудовании, чтобы исключить утечки (много ИИ-инструментов и инструкций можно найти тут). 

У пользователей есть Data Controls — переключатели, позволяющие управлять историей и использовать (или не использовать) ваши разговоры для улучшения моделей:

1. В веб-версии/десктопе: Профиль → Settings → Data Controls → отключите «Improve the model for everyone» (после этого новые чаты не будут использоваться для обучения).
2. На iOS/Android: меню → Settings → Data Controls → Chat History & Training (тот же переключатель доступен в мобильных приложениях).
3. Временный чат (Temporary Chat) — альтернативный быстрый вариант для разовых запросов: не попадает в историю, не используется для обучения, удаляется в течение 30 дней. Запускается из выпадающего меню в окне чата.
4. Для бизнеса (ChatGPT Team/Enterprise и API) данные по умолчанию исключены из обучения; при необходимости подписывается DPA и настраиваются сроки хранения/резиденция данных.

Сбор и использование личных данных зависит от сервиса и режима использования.

• DeepL (бесплатные сервисы): в условиях использования прямо указано, что загруженный контент может временно обрабатываться для обучения и улучшения нейросетей. То есть вводимые вами тексты потенциально могут стать частью данных для улучшения качества.
• DeepL для бизнеса (Pro/Enterprise): позиция иная — «тексты не хранятся и не используются для обучения без вашего согласия»; заявлены расширенные меры защиты и соответствие требованиям безопасности.
• Google Translate: Google прямо пишет, что «мы собираем информацию о том, как вы используете наши сервисы», и что эта информация может быть применена для совершенствования алгоритмов.
• Google Cloud Translation (корпоративный API от Google): контент используется только для предоставления сервиса; публичной публикации и передачи третьим лицам не происходит. Это отдельный продукт от потребительского «Google Переводчика» на translate.google.com.
• Microsoft Azure AI Translator: заявляет, что данные клиентов не записываются на постоянное хранение во время перевода (нет записи отправленного текста/речи в дата-центрах Microsoft).

Бесплатные «пользовательские» переводчики нередко используют данные для улучшения сервиса, а корпоративные API-продукты крупных разработчиков специально спроектированы так, чтобы не использовать ваш контент для обучения и минимизировать хранение. Если вы работаете с договорами, медицинскими документами, то выбирайте режимы и тарифы с понятными гарантиями (и оформляйте договор об обработке данных).

1) Оцените чувствительность

Если это персональные данные, коммерческая тайна, сведения о здоровье/финансах — избегайте бесплатных потребительских сервисов. Используйте корпоративные планы (ChatGPT Team/Enterprise, API) или локальные решения.

2) Настройте Data Controls — Отключите «Improve the model for everyone», если не хотите делиться диалогами для обучения;
 — Для разовых конфиденциальных запросов пользуйтесь Temporary Chat.

3) Минимизируйте данные

Заменяйте ФИО, номера договоров и другие маркеры псевдонимами. Вставляйте фрагменты, необходимые для ответа, а не целые документы.

4) Следите за каналами и следами 

Не вставляйте секретные данные (ключи API, пароли) в любые чаты. Не загружайте закрытые документы в бесплатные переводчики.

5) Проверьте политику переводчика

Для DeepL — используете ли вы Free (контент может использоваться для улучшения) или Pro/Enterprise (контент не хранится/не используется без согласия).

Для Google — различайте Cloud Translation API (строгие условия обработки) и Google Translate (данные будут использованы для обучения).

Для Microsoft — убедитесь, что работаете через Azure Translator, где нет постоянного логирования переводимого текста.

6) Формализуйте правила 

Для компании — пропишите политику использования ИИ: какие сервисы разрешены, кто может отправлять и какие данные, какие предъявляются требования к анонимизации, запрет на загрузку персональных данных в недоверенные ИИ-инструменты, порядок экспорта/удаления.

7) Не забывайте про «человеческий фактор» 

Нейросети уверенно «галлюцинируют». В критичных задачах (юридическая экспертиза, медицина, финансы) всегда опирайтесь на второе мнение человека и проверяйте первоисточники.

8) Используйте функцию памяти осознанно 

Если включена «память» (Memory), она может запоминать ваши предпочтения; в Data Controls её можно отключить и очистить накопленную информацию.

9) Удаляйте информацию 

Чаты можно удалять или вести их в «временном» режиме. Для личных чатов действует стандартный цикл удаления; в режиме Temporary Chat — автоудаление в 30 дней. 

В России законы дают государству большие полномочия контролировать цифровые коммуникации. Так, закон «Об информации» требует, чтобы определённые сервисы, входящие в реестр ОРИ – организаторов распространения информации, хранили сведения о передаче сообщений, саму переписку и ключи для расшифровки, и выдавали это правоохранительным органам по первому требованию.

Операторы связи обязаны устанавливать оборудование СОРМ и предоставлять правоохранителям все данные о звонках, SMS, подключениях и прочих услугах связи.

По этим правилам у властей на руках почти любая информация о пользователе. Например, в 2023 году российские силовики направили к «Яндексу» десятки тысяч запросов именно по сервисам такси и доставки: почти 20 000 запросов в первой половине года и ещё 22 918 во второй половине. 

Технически российский софт принципиально не отличается от зарубежного. Вопрос лишь в простоте доступа государственных органов к таким данным и том, как именно они их используют — от проведения расследований и предотвращения преступлений до мониторинга активности пользователей и возможного давления на оппозиционно настроенных граждан.

Технически SIM-карта – обычная карта абонента. Но по законам российские операторы обязаны хранить и передавать правоохранителям данные о местоположении абонента, всех звонках и SMS. Даже за границей, если вы заходите в сеть через роуминг российского оператора, ваш звонок и данные в роуминге фиксируются в его системе. Поэтому любая активность – звонки, SMS, интернет-сессии – известна оператору и при необходимости по запросу передаётся спецслужбам. Так что для людей, которые избегают слежку, российские SIM-карты представляют серьёзный риск – даже если их используют вне страны.

• Передача данных в спецслужбы. Любая компания в России должна по закону выдавать ваши данные правоохранителям. Даже простой заказ такси или пиццы даёт доступ к информации о ваших передвижениях и адресах доставки. 
  
  
• Дата-брокеры и реклама. Многие приложения собирают больше информации, чем нужно для работы. Сведения о вашем телефоне, местоположении, предпочтениях могут передаваться маркетинговым агентствам и дата-брокерам - фирмам, которые агрегируют личные данные пользователей из разных источников и продают их рекламодателям или организациям. 

В России развита связка информационных компаний с государством: зарубежные и российские компании (например, Яндекс, VK) продают доступ к целевой рекламе. Такие практики помогают спецслужбам дополнять профиль человека. 

• Системы аналитики и слежки. Существуют автоматизированные системы для мониторинга интернета и соцсетей. Например, российский проект «Демон Лапласа» позволяет круглосуточно собирать и анализировать посты из Facebook, «ВКонтакте», Telegram, СМИ и блогов, чтобы выявлять экстремизм и прогнозировать протестные акции. 
  
  
• Уязвимости и утечки. Даже если сервис собирает минимум данных, его система может дать сбой. Даже если один сервис собирает минимальное количество информации и в нем происходит утечка, например, электронных адресов, ущерб всё равно может быть значительным. Это связано с тем, что утекшие данные могут быть обогащены информацией из других источников. 

• Мобильные приложения. Чаще всего именно они запрашивают доступ к камере, микрофону, контактам, геолокации и другим личным данным. Многие приложения собирают информацию о вас «на всякий случай» и передают её рекламодателям. Активистам стоит тщательно проверять, какие разрешения получает приложение. 
• Мессенджеры. Кроме Российский мессенджеров и сервисов (MAX, VK, ОК, TamTam и т.д.), к которым есть прямой доступ спецслужб, есть другие сервисы, которые могут быть привязаны в российской сим-карте (Telegram, WhatsApp, Signal и тд). Несмотря на шифрование, в этих мессенджерах концентрируется много личной информации: переписки, фото, видео, контакты. Даже если зашифрованный канал надёжен, злоумышленники могут зайти в аккаунт, обойдя 2FA через SMS или «клонирование» SIM-карты. Как мы писали выше, спецслужбы России имеют доступ к SMS-сообщениям на территории России и за её пределами. 
• Браузеры. Веб-браузер хранит историю посещений, куки и может «запоминать» логины и пароли. Если вы пользуетесь Яндекс браузером, то нужно помнить, что Яндекс входит в реестр ОРИ (организаторов распространения информации) и по закону все данные о пользователях могут быть переданы спецслужбам. 

В целом, стоит помнить: удобство и безопасность часто противопоставлены. Живя или работая в России, полностью отказаться от отечественных сервисов и SIM-карт невозможно. Но можно свести риск к минимуму: использовать VPN, шифрование, разделять устройства и тщательно контролировать, какие данные вы раскрываете и кому. Так вы существенно повысите собственную цифровую безопасность и сохраните свободу действий в сложных условиях.