На код вперед: на Госуслугах готовят обязательную двухфакторную авторизацию

В 2022 году Минцифры планирует ввести двухфакторную идентификацию по умолчанию на портале госуслуг. Об этом «Известиям» сообщили в пресс-службе ведомства, пояснив, что делается это для дополнительной защиты данных граждан. Им надо будет вводить не только логин и пароль, но и код, который поступит в SMS. Сейчас порядка 90% профилей на «Госуслугах» имеют однофакторную авторизацию, рассказали источники «Известий», близкие к Минцифры. Во время пандемии функционал портала и его посещаемость выросли в разы, что делает ресурс социально значимым. Пользователи оформляют дистанционно кредиты, госвыплаты, получают QR-коды. И могут стать жертвами активизировавшихся мошенников. В ГД поддерживают инициативу Минцифры. Эксперты считают введение обязательной двухфакторной идентификации своевременной мерой, которая вписывается в общемировые тренды.

В два этапа

Период пандемии и развитие дистанционных сервисов значительно продвинуло популярность портала госуслуг. Количество профилей превысило 100 млн, но для входа в примерно 90% из них установлена только однофакторная идентификация, рассказали источники «Известий», близкие к Минцифры. Это означает, что подавляющее большинство людей для доступа ко множеству государственных и финансовых услуг вводят лишь логин (зачастую номер паспорта или СНИЛС) и пароль, как правило, довольно слабый с точки зрения защиты.

Параллельно с расширением функционала растет и интерес к аккаунтам россиян со стороны мошенников, которые могут создать множество проблем, начиная от продажи персональных данных гражданина и заканчивая получением кредита и проведением различных сделок с имуществом.

В Минцифры в ответ на запрос «Известий» сказали, что «сейчас количество учетных записей на портале госуслуг, владельцы которых подключили двухфакторную авторизацию, небольшое», но не привели конкретных чисел. Вторая степень идентификации — подтверждение при помощи кода, который поступает на телефон, привязанный к порталу. В ведомстве напомнили, что пользователь может сам включить второй фактор защиты своих данных на портале госуслуг, это можно сделать в личном кабинете.

Для тех же, кто не озаботится этим, в 2022-м планируется ввести обязательную двухфакторную идентификацию. Как надеются в Минцифры, соответствующие законодательные изменения будут приняты в следующем году.

— Второй фактор авторизации на портале госуслуг, который мы планируем ввести «по умолчанию», поможет дополнительно защитить данные пользователей, предотвратить мошенничества, — пояснили в пресс-службе ведомства.

В Госдуме поддерживают инициативу Минцифры о двухфакторной идентификации пользователей на сайте Госуслуг, заявил «Известиям» глава комитета ГД по информполитике, информтехнологиям и связи Александр Хинштейн.

— Это позволит усилить защиту аккаунтов, — сказал парламентарий.

Как полагает Александр Хинштейн, в следующем году закононопроект о двухфакторной идентификации может быть принят, причем первый шаг на этом пути уже сделан. По словам депутата, во вторник 21 декабря Госдума приняла во втором чтении (в среду планируется третье) поправки о бесплатных SMS-сообщениях при двухфакторной идентификации пользователей Госуслуг. Операторы связи готовы пойти на это ради повышения защищенности граждан от действий мошенников, пояснил он.

Один в интернете не воин

Введение обязательной двухфакторной идентификации профилей — общемировая тенденция в связи с ростом количества и значимости персональной информации, которая содержится в различных профилях пользователей. Так, осенью о такой мере заявила компания Google. Принудительную авторизацию некоторых пользователей, у которых много подписчиков, сейчас проводит Facebook. Опрошенные «Известиями» эксперты считают этот процесс, к которому подключится и портал госуслуг, правильным направлением, поскольку большинство пользователей легкомысленно относятся к защите своих аккаунтов. Например, устанавливают самые примитивные пароли.

— Использовать самый простой способ идентификации и не усложнять себе жизнь — принцип, заложенный природой человеку, поэтому и пользователи не спешат осваивать новые технологии, новые средства защиты и идентификации. И это связано с низким уровнем цифровой гигиены, особенно актуальной для людей старшего поколения как наиболее уязвимого для злоумышленников сегмента, — прокомментировал гендиректор Infosecurity (ГК Softline) Николай Агринский.

Стремительное развитие функционала «Госуслуг», в том числе за счет предоставления различных госвыплат и других мер поддержки, способствует резкому росту численности зарегистрированных пользователей и статусу социально значимого ресурса, отметила руководитель проекта Народного фронта «За права заемщиков» Евгения Лазарева. Причем сейчас к порталу подключаются граждане, которые зачастую не слишком хорошо знакомы с цифровыми технологиями.

— К сожалению, большинство людей несерьезно относятся к поведению в цифровом пространстве, — согласился руководитель направления исследований финансового центра «Сколково-РЭШ» Егор Кривошея. — Во многом это из-за того, что для многих граждан, особенно из старшего поколения, интернет и технологии ассоциируются с ранними применениями, которые чаще всего находятся в индустрии развлечений и игр. Из-за этого многие просто не знают или не задумываются о последствиях до того, как не реализуется неблагоприятный сценарий.

Считается, что самым популярным паролем до сих пор остается «123456». И хотя многие ресурсы такую защиту уже не допускают, эксперты отмечают, что однофакторная авторизация — ненадежный метод. Так, по словам Николая Агринского, сам по себе пароль, даже созданный по всем требованиям информбезопасности, не является стопроцентной гарантией, поскольку может быть скомпрометирован самим пользователем через передачу по незащищенным каналам связи или введен на фишинговом ресурсе.

Страховка от самого себя

Опрошенные «Известиями» эксперты поддерживают планы Минцифры. Двухфакторная идентификация должна стать обязательной, уверена Евгения Лазарева.

— Каждый продукт имеет свой цикл безопасной жизни. Когда «Госуслуги» были площадкой, где можно посмотреть справочную, по сути, информацию, тогда система безопасности защищала лишь некоторый объем персональных данных. Сейчас с расширением функционала растет и уровень угроз — при потере контроля над аккаунтом на портале вполне можно лишиться денег, имущества. Двухфакторная авторизация — это уже обыденность, как в почтовых, так и в банковских приложениях, соцсетях, — подчеркнула она.

По мнению Николая Агринского, это действительно своевременное и рациональное решение, поскольку чаще всего утечки информации являются следствием действий самих пользователей (слабый пароль, один пароль в различных инфосистемах и т.п.).

— Введение дополнительного фактора позволит снизить человеческое влияние, страховать пользователя и усилить защиту от потенциальной компрометации конфиденциальной информации, — полагает эксперт.

Вторая степень идентификации, хотя и не искоренит полностью мошенничество, но позволит существенно снизить его уровень, поддерживает Егор Кривошея. И это стоит небольших дополнительных неудобств в виде необходимости иметь телефон под рукой и чуть более продолжительного времени на вход, уверены эксперты.

Анна Каледина

Тематики: Регулирование, Web, Безопасность

Ключевые слова: информационная безопасность, защита персональных данных, электронные услуги, государственные электронные услуги, Госуслуги