Зайти на Госуслуги – не два байта переслать

C 28 октября 2023 года непременным условием станет дополнительное подтверждение входа на "Госуслуги"

Пока пользователь не выберет один из трех вариантов дополнительной защиты: код из SMS, одноразовый код из стороннего приложения или вход по биометрии, зайти на портал не получится. Министерство цифрового развития связи и массовых коммуникаций (Минцифры) подсчитало, что вторым вариантом (одноразовый код из стороннего приложения) воспользовалась уже половина пользователей "Госуслуг" - более 41 млн человек.

С 28 октября 2023 г. пользователи портала "Госуслуг" смогут один раз войти в аккаунт старым способом, чтобы уточнить данные, например, номер телефона, и выбрать дополнительную защиты. Для тех, кто не установит второй фактор защиты в этот визит, при последующем входе в аккаунт сервер предложит ее варианты.

Что выбрать (мнение специалистов)

SMS

По мнению технического директора Weblock Луки Сафонова, что ни один метод верификации не является абсолютно неуязвимым. Он советует использовать комбинацию различных методов: "SMS-сообщения могут перехватить или скомпрометировать злоумышленники, особенно при использовании устаревшего протокола SS7 для маршрутизации сообщений. SIM-карты злоумышленники могут клонировать или использовать в атаках SIM swap, при которых они перехватывают контроль над номером телефона".

Директор по развитию и цифровой трансформации АО "Разумные деловые технологии" (РДТЕХ) Евгений Осьминин убежден, что "SMS в сравнении с другими, является наиболее уязвимым. Однако, за исключением фундаментальной уязвимости в протоколах Common Channel Signaling System 7, являющихся основой современной системы телефонной связи, которая позволяет злоумышленникам перехватить SMS, остальные риски связаны с организационными аспектами безопасности, неосторожностью пользователя".

Ведущий инженер CorpSoft24 Михаил Сергеев предостерег, при пользовании электронными SIM-картами, поскольку мошенник с помощью социальной инженерии получить SMS-код, позволяющий ему перевыпустить электронную SIM-карту и получать SMS вместо владельца.

Внешние приложения генерации кода для входа в "Госуслуги"

По мнению Алексея Хмельницкого, генерального директора ООО "Рукс Солюшенс" наибольшую защищенность для пользователя может дать технология TOTP (time-based one-time password):

"Эта технология производит аутентификацию с помощью одноразовых паролей, которые генерируются, например, в смартфоне. Ключ для TOTP вообще не передается по каналам связи. Системы аутентификации на основе одноразовых паролей являются самым надежным способом двухфакторной аутентификации. Их использование целесообразно не только для портала "Госуслуг", но и для любых других сервисов, в которых хранятся чувствительные данные клиентов.

Но такой способ не подходит для подтверждения платежных операций из-за отсутствия технической возможности выбора конкретной операции для подтверждения. Если одновременно открыть окно создания, например, платежного поручения с одними реквизитами и суммой, и рядом другое окно - с другими реквизитами, то код из приложения подойдет для всех операций".

Максим Хараск, руководитель отдела отраслевых архитекторов группы компаний Innostage уверен, что в случае приложения опасность наступает только в случае, когда устройство утеряно или там появилось шпионское ПО.


Как утверждает Игорь Корчагин, руководитель департамента информационной безопасности АО: "Информационная внедренческая компания" (разработчик программных продуктов ИВК) тоже наиболее оптимальным методом аутентификации видит получение одноразового кода из специальных приложений, использование которых не снижает общую защищенность, т. к. приложение не обладает обязательными сведениями о логине и пароле». По мнению Корчагина следует использовать ПО отечественных разработчиков - "Яндекс Ключ" или Kaspersky Password Manager.

Биометрия

Директор по развитию и цифровой трансформации АО "Разумные деловые технологии" (РДТЕХ) Евгений Осьминин подчеркнул, что "Безопасность сдачи биометрии через приложения "Госуслуг" высокая, однако более точно оценить ее пока сложно, поскольку сервисы, работающие через специализированное приложение, либо сайт, предполагают использование аппаратного обеспечения пользователя и используют ограниченный набор типов сдаваемых данных.

Биометрические данные из-за неизменности являются чувствительной информацией, позволяющей не только аутентифицировать пользователя сервиса, но идентифицировать конкретного человека. Устранить проблемы, связанные с компрометацией таких данных, гораздо сложнее, чем при использовании иных способов аутентификации".

Чтобы зайти на портал "Госуслуг" с помощью биометрии, ранее нужно было зарегистрировать ее в отделении банка. С 20 октября 2023 г. россиянам стала доступна упрощенная сдача биометрии в Единую биометрическую систему (ЕБС) через мобильное приложение "Госуслуги биометрия" без использования загранпаспорта нового поколения.

Как считает Андрей Саломатин, экс вице-президент "Ренессанс Банка", у значительной части общества есть опасения по поводу утечек данных биометрии: «Но государство, очевидно, заинтересовано в распространении этой технологии, и будет этот процесс всячески стимулировать".

Может показаться, что мера надумана, но в условиях хакерских атак, это разумная перестраховка.