Госуслуги получат двухфакторную аутентификацию

Мин­цифры раз­ра­бота­ло проект пос­та­нов­ле­ния пра­витель­ства, ко­торый пред­ла­гает ввес­ти пра­во для граж­дан ис­поль­зо­вать двух­фактор­ную аутен­ти­фика­цию - при по­мощи био­мет­ри­чес­ких дан­ных или SMS-ко­да - в еди­ной сис­те­ме иден­ти­фика­ции и аутен­ти­фика­ции (ЕСИА) для дос­ту­па к пор­та­лу Го­сус­луг.

Проект постановления устанавливает, что физлицо вправе установить возможность дополнительной защиты доступа к порталам государственных и муниципальных услуг одним из следующих способов: с использованием единой биометрической системы (ЕБС), с использованием введения кода, направленного ему на номер телефона.

Пресс-служба Минцифры России отметила, что использование ЕБС и SMS-кода при входе на портал Госуслуг создаются для достоверной идентификации и дополнительной защиты персональных данных пользователей. "Использование биометрической аутентификации или SMS-подтверждения на Госуслугах будет добровольным. У пользователя сохраняется возможность использовать привычный способ входа на портал", - пояснила пресс-служба министерства.

В конце 2021 г. приняты изменения в Закон "О связи", по которому операторы обязаны бесплатно рассылать SMS с кодами подтверждений для портала госуслуг.

В МТС инициативу поддерживают, поскольку она направлена на повышение защищенности доступа к учетным записям порталов госуслуг. О том, потребуются ли от операторов связи дополнительные затраты на реализацию инициативы, в МТС не ответили. Остальные операторы "большой четверки" на запрос не ответили. По данным источника, близкого к одному из операторов, дополнительные затраты будут, но их размер пока рассчитывается.

Директор по консалтингу ГК InfoWatch Ирина Зиновкина сообщила, что ведение подобной аутентификации может привести к усилению безопасности учетных записей, особенно когда речь идет о ресурсах, на которых хранится особо конфиденциальная для пользователя личная информация. "Двухфакторная аутентификация является, несомненно, плюсом с точки зрения обеспечения безопасности учетных записей, - пояснила она. - Что это значит: для входа в учетную запись на определенном ресурсе потребуется не только пара логин/пароль, которые могут быть скомпрометированы мошенниками, но и дополнительный фактор, например, код из SMS, доступ к которому получить может быть не так просто (на это может повлиять большое количество факторов). Со стороны пользователя дополнительных неудобств такая схема аутентификации не вызывает. Однако, стоит понимать, что эти меры все равно не смогут обеспечить стопроцентную степень защиты: телефон, на который приходит код из SMS, может быть скомпрометирован, либо мошенники получат его при помощи социальной инженерии. Именно поэтому при использовании даже двухфакторной аутентификации должны соблюдаться правила цифровой гигиены".

Архитектор ИТ-компании HFLabs Денис Ишутинов считает, что идея правильная - дать людям возможность использовать усиленные методы аутентификации в ЕСИА. По его мнению, этот шаг давно назрел, что также является последовательным шагом по популяризации биометрических способов аутентификации. Никаких минусов у этого нововведения он не видит.

Менеджер по продажам технических решений Softline Александр Давыдов рассказал, что внедрение двухфакторной аутентификации может привести к разным последствиям: уменьшение вероятности доступа к персональным данным гражданина, повышение уровня доверия к сервису ЕСИА, возможность использования комбинированных факторов аутентификации в том числе беспарольный вариант. "Мера обеспечивает трудно подменяемый вид аутентификации за счет использования личного телефона либо биометрии, - поясняет он. - В качестве плюсов можно выделить три: технология доступна и понятна подавляющему большинству населения, возможность использования старых, кнопочных телефонов, не требуется доступ в интернет на мобильном телефоне. Минусом может быть большая коммерческая нагрузка. Также стоит отметить, что SMS в большинстве случаев сохраняется на телефоне, поэтому если аппарат заражен, то злоумышленник получит доступ ко второму фактору человека. В случае большой нагрузки на сотовую сеть (праздники, выходные) время прихода SMS увеличивается и при ограничении времени сессии может быть уже неактуальной. Основные преимущества биометрии: ее сложно подделать, она не сохраняется в телефоне, есть возможность синхронизации с ЕБС. Но при повреждении или изменении биометрического фактора аутентификация становится невозможна. Также требуется либо дополнительное оборудование (сканер), либо последние модели смартфонов".

Юлия Мель­ни­кова

Тематики: Регулирование, Web, Безопасность

Ключевые слова: информационная безопасность, регулирование, электронные услуги, Госуслуги, Минцифры