С 28 октября 2023 г. пользователи портала "Госуслуг" смогут один раз войти в аккаунт старым способом, чтобы уточнить данные, например, номер телефона, и определиться с выбором дополнительной защиты. У тех, кто не установит второй фактор в этот визит, при следующем входе в аккаунт появится баннер с вариантами защиты.
Пока пользователь не выберет один из трех вариантов дополнительной защиты: код из SMS, одноразовый код из стороннего приложения или вход по биометрии, воспользоваться порталом не получится. По данным Министерства цифрового развития связи и массовых коммуникаций (Минцифры), второй фактор подключила уже почти половина пользователей "Госуслуг" - более 41 млн человек.
Технический директор Weblock (входит в ГК "Гарда") Лука Сафонов считает, что ни один метод аутентификации не является абсолютно безопасным и рекомендует использовать комбинацию различных методов безопасности для повышения общего уровня защиты: "SMS-сообщения могут перехватить или скомпрометировать злоумышленники, особенно при использовании устаревшего протокола SS7 для маршрутизации сообщений. SIM-карты злоумышленники могут клонировать или использовать в атаках SIM swap, при которых они перехватывают контроль над номером телефона".
"SMS в сравнении с другими, является наиболее уязвимым. Однако, за исключением фундаментальной уязвимости в протоколах Common Channel Signaling System 7, являющихся основой современной системы телефонной связи, которая позволяет злоумышленникам перехватить SMS, остальные риски связаны с организационными аспектами безопасности, неосторожностью пользователя", - объясняет директор по развитию и цифровой трансформации АО "Разумные деловые технологии" (РДТЕХ) Евгений Осьминин.
Ведущий инженер CorpSoft24 Михаил Сергеев отметил, что пользователь должен быть осторожен и с электронными SIM-картами т. к. злоумышленник может с помощью социальной инженерии получить SMS-код, который позволит ему перевыпустить электронную SIM-карту и получать SMS.
Алексей Хмельницкий, генеральный директор ООО "Рукс Солюшенс" (ИТ-компания RooX, специализирующаяся на аутентификации, авторизации и разработке веб-платформ для корпоративного сектора) считает, что наиболее высокой степенью защищенности обладает технология TOTP (time-based one-time password).
"Эта технология производит аутентификацию с помощью одноразовых паролей, которые генерируются, например, в смартфоне. Ключ для TOTP вообще не передается по каналам связи. Системы аутентификации на основе одноразовых паролей являются самым надежным способом двухфакторной аутентификации. Их использование целесообразно не только для портала "Госуслуг", но и для любых других сервисов, в которых хранятся чувствительные данные клиентов. Но такой способ не подходит для подтверждения платежных операций из-за отсутствия технической возможности выбора конкретной операции для подтверждения. Если одновременно открыть окно создания, например, платежного поручения с одними реквизитами и суммой, и рядом другое окно - с другими реквизитами, то код из приложения подойдет для всех операций", - объяснил Алексей Хмельницкий.
Игорь Корчагин, руководитель департамента информационной безопасности АО "Информационная внедренческая компания" (разработчик программных продуктов ИВК) тоже наиболее оптимальным методом аутентификации видит получение одноразового кода из специальных приложений, использование которых не снижает общую защищенность, т. к. приложение не обладает обязательными сведениями о логине и пароле. Игорь Корчагин рекомендует использовать ПО от отечественных разработчиков - "Яндекс Ключ" или Kaspersky Password Manager.
Максим Хараск, руководитель отдела отраслевых архитекторов группы компаний Innostage, объяснят, что в случае приложения опасность наступает только тогда, когда на устройство устанавливается шпионское ПО или происходит потеря устройства.
"Безопасность сдачи биометрии через приложения "Госуслуг" высокая, однако более точно оценить ее пока сложно, поскольку сервисы, работающие через специализированное приложение, либо сайт, предполагают использование аппаратного обеспечения пользователя и используют ограниченный набор типов сдаваемых данных. Биометрические данные из-за неизменности являются чувствительной информацией, позволяющей не только аутентифицировать пользователя сервиса, но идентифицировать конкретного человека. Устранить проблемы, связанные с компрометацией таких данных, гораздо сложнее, чем при использовании иных способов аутентификации", - объяснил Евгений Осьминин.
Чтобы зайти на портал "Госуслуг" с помощью биометрии, ранее нужно было зарегистрировать ее в отделении банка. С 20 октября 2023 г. россиянам стала доступна упрощенная сдача биометрии в Единую биометрическую систему (ЕБС) через мобильное приложение "Госуслуги биометрия" без использования загранпаспорта нового поколения.
На вопрос корреспондента ComNews, есть ли разница, каким способом сдавать биометрию, Андрей Саломатин, экс вице-президент и технический директор "Ренессанс Банка" ответил, что с точки зрения безопасности разницы нет: "Во всех случаях используются различные средства защиты, а данные биометрии в любом случае попадают в единую биометрическую систему (ЕБС) и только там хранятся".
По его словам, полностью биометрия другие способы аутентификации в ближайшее время не заменит, поскольку по поводу технологии и возможных утечек биометрических данных есть сильная озабоченность значительной части общества. "Но государство, очевидно, заинтересовано в распространении этой технологии, и будет этот процесс всячески стимулировать", - заключил Андрей Саломатин.
Юлия Тихонова