Россиянам не придется в обязательном порядке получать универсальную электронную карту (УЭК) или электронную цифровую подпись (ЭЦП) для упрощенного доступа на сайт госуслуг (ЕПГУ). Минтруд разработал законопроект (текст документа есть у «Известий»), который позволяет в упрощенном порядке заходить в личный кабинет на ЕПГУ с помощью страхового номера индивидуального лицевого счета (СНИЛС). Поправки, по замыслу ведомства, должны быть внесены в действующий закон 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования».
По замыслу Минтруда, СНИЛС становится полноценным идентификатором для доступа на ЕПГУ — сегодня в той же роли выступают лишь УЭК и ЭЦП. В пояснительной записке к законопроекту Минтруд указывает, что необходимость законодательных поправок обусловлена тем, что СНИЛС есть у подавляющего числа россиян (его по 27-ФЗ получает каждый гражданин, когда первый раз устраивается на работу; также СНИЛС может получить безработный — предоставив в Пенсионный фонд УЭК). В то же время констатируют в ведомстве, УЭК и ЭЦП есть у менее чем 5% россиян. Логика Минтруда в том, чтобы упрощенным доступом к ЕПГУ могло воспользоваться максимальное число граждан. В ведомстве сообщили, что законопроект будет внесен в правительство до 1 июля 2015 года.
Эксперты, опрошенные «Известиями», указывают, что идея расширить круг тех, кто может воспользоваться упрощенным доступом, является верной. В то же время собеседники констатируют, что СНИЛС не должен являться идентификатором для ЕПГУ, поскольку увеличивает риск мошенничества.
Сейчас россияне для авторизации на ЕПГУ каждый раз вводят идентификационные данные (на выбор: ФИО, номер мобильного телефона, СНИЛС) и пароль (устанавливается самостоятельно после прохождения процедуры регистрации на ЕПГУ; она предполагает дополнительное подтверждение предоставленных персональных данных; код для подтверждения можно получить через «Почту России», «Ростелеком» или в центрах по предоставлению госуслуг — МФЦ, которые, как правило, располагаются в каждом районе; к концу 2015 года в РФ их будет 2,5 тыс. по замыслу Минэкономразвития). Упрощенный доступ для обладателей УЭК и ЭЦП позволяет попасть в личный кабинет на ЕПГУ в один клик, для этого пользователи скачивают себе специальное программное обеспечение (на стационарный компьютер или смартфон) и единожды вводят идентификационные данные и пароли (для УЭК — пин-код, который выдавался вместе с картой; для ЭЦП — пин-код для сертификата электронной подписи). Программа запоминает данные для авторизации, поэтому их ввод больше не требуется.
В пояснительной записке Минтруда говорится, что назрела необходимость сделать полноценным идентификатором СНИЛС, его можно применять в самых широких сферах.
Эксперты позитивно оценивают идею распространить «упрощенку» на максимальное число россиян, но предрекают вспышки мошенничества.
— Мошенники активно крадут пароли, у них есть специальные программы создания и подбора паролей, — говорит источник, близкий к Минкомсвязи. — В то же время данные СНИЛСа россиян не являются закрытой информацией (их можно найти в «Яндексе» и социальных сетях; пользователи их сами фотографируют и выкладывают в интернет). Если пароль в случае со СНИЛСом будет недостаточно защищен, то данные из личных кабинетов россиян могут попасть к мошенникам. Есть негативный опыт по упрощению доступа россиян к личным кабинетам на ЕПГУ. Так, в 2013 году Минкомсвязи решило пойти на поводу у пользователей, сделало менее сложным доступ к порталу, а в результате хакеры зарегистрировали на ЕПГУ пользователя по имени Жерар Депардье и подали от его имени заявление на регистрацию брака в Москве. Для этого мошенники нашли в интернете фотографию, где французский актер демонстрирует свой российский паспорт, и ввели подлинный номер этого документа (http://izvestia.ru/news/558420).
Если меры безопасности по созданию из СНИЛСа идентификатора не будут предприняты, мошенники смогут получить существенный объем персональных данных россиян. Например, сейчас в личном кабинете на ЕПГУ можно выяснить следующие данные пользователя госуслуг: ФИО, паспорт, возраст, ИНН, адрес, телефон, информацию о штрафах ГИБДД, данные о различных платежах (например, ЖКХ), отследить историю всех платежей; узнать, получал ли гражданин уведомления в суд, сведения об исполнительных производствах в отношении его. Если пользователь сам ввел в личный кабинет дополнительную информацию (а настройки личного кабинета это позволяют), то можно также получить сведения о марке авто гражданина, данные о его водительских правах, номера банковских счетов.
В настоящее время число пользователей ЕПГУ — 14 млн человек (население РФ, по данным Росстата, — 146,3 млн человек).
— Законопроект планируется внести в правительство до 1 июля, — рассказали «Известиям» в Минтруде. — Ключевым является вопрос сохранения тайны персональных данных граждан, он находится в компетенции Минкомсвязи.
В Минкомсвязи отказались от комментариев. В Госдуме настороженно восприняли новацию.
— В погоне за упрощением нельзя отказываться от процедуры аутентификации при входе, — уверен зампред думского комитета по экономполитике, инновационному развитию и предпринимательству Виктор Климов.
В Минэкономразвития раскритиковали законопроект Минтруда.
— Он поступил на рассмотрение Минэкономразвития в начале марта 2015 года, — рассказала «Известиям» Елена Лашкина, помощник министра экономического развития Алексея Улюкаева. — Министерство не согласовало документ. Законопроектом предлагается определить СНИЛС в качестве единого идентификатора физического лица при предоставлении ему государственных и муниципальных услуг. При этом в законопроекте отсутствуют отдельные пункты, уточняющие указанные положения, в том числе упрощенный порядок авторизации на ЕПГУ. По нашему мнению, законопроектом Минтруда решаются иные задачи, не относящиеся к функционированию Единого портала госуслуг.
Эксперты также указывают на опасность мошенничества.
— Предполагается, что с течением времени круг доступных гражданину на ЕПГУ госсервисов будет постоянно возрастать, — констатирует председатель Национального совета финансового рынка (НСФР) Андрей Емелин. — Это означает, что при упрощении доступа на ЕПГУ станет возрастать и объем информации, которую будет способен похитить мошенник. Учитывая, что указанная информация относится к наиболее охраняемой у нас категории персональных данных, представляется неоправданно высокорисковым упрощение доступа к такой информации до создания более эффективных механизмов ее защиты.
Специалисты в области защиты данных также уверены, что облегчать доступ к персональным данным — плохая практика.
— Данная инициатива значительно расширит возможности для мошенничества. Использование СНИЛСа в качестве логина также является плохой практикой: номер свидетельства не является приватной информацией, и злоумышленнику нужно лишь перебрать комбинацию цифр, чтобы войти в систему, — отмечают представители Digital Security.
В компании рекомендуют использовать классическую двухфакторную аутентификацию для доступа к личному кабинету пользователей на ЕПГУ: логин + пароль + одноразовый пароль по SMS.
— Упрощение доступа в данном случае неуместно и неоправданно, — уверены в компании. — Госуслуги — это не та система, в которую люди заходят ежедневно. Максимум — раз в месяц.
Анастасия Алексеевских