Мошенник, забудь про SMS. Минцифры продумало защитные меры для "Госуслуг"
28 мая на заседании комитета Госдумы по информполитике глава Министерства цифрового развития, связи и массовых коммуникаций РФ Максут Шадаев заявил, что для борьбы со случаями передачи кода для доступа к "Госуслугам" мошенникам Минцифры рассматривает возможность изменить действующую схему смены пароля: "Восстановить доступ к учетной записи в приоритетном порядке можно будет при очном обращении в многофункциональный центр предоставления государственных и муниципальных услуг (МФЦ). Также в случае согласия гражданина возможно подтверждать доступ к "Госуслугам" через банковские или другие доверенные TOTP-приложения (приложения, в которых присутствует алгоритм создания одноразовых паролей для защищенной аутентификации). Пользователи "Госуслуг", зарегистрированные в Единой биометрической системе (ЕБС), смогут по желанию менять пароль после биометрической идентификации".
Представитель пресс-службы Минцифры подтвердил, что сменить пароль от "Госуслуг" пользователи могут любым из трех способов: лично в МФЦ, онлайн через портал и онлайн в банке-партнере: "В третьем случае, чтобы реализовать такой сервис для клиентов, банку нужно подключить системы к сервису "Госуслуг". Уже 15 банков могут подтверждать учетную запись граждан на "Госуслугах" при первичной регистрации, пять из них также предоставляют возможность сменить пароль для восстановления доступа к порталу. Это надежный способ установить личность. Во-первых, банки используют многоуровневую систему аутентификации, включая биометрию и одноразовые коды, что минимизирует риск несанкционированного доступа. Во-вторых, банковские приложения работают с уже подтвержденными данными клиента, которые проходят строгую проверку при открытии счета, что гарантирует точную идентификацию личности".
Представитель пресс-службы ЕБС сообщил, что напрямую в Единой биометрической системе зарегистрировалось более 4 млн человек: "Около 70% пользователей от этого количества (2,8 млн граждан) присоединились к системе в последние 12 месяцев. По состоянию на май 2025 г. в ЕБС ежедневно регистрируется до 20 тыс. человек, что почти в 10 раз превышает показатели аналогичного периода 2024 г.".
Представитель пресс-службы ПАО "Сбербанк" сообщил, что "Сбер" поддерживает инициативы, направленные на безопасность клиентов, и внимательно изучит эту инициативу, когда появятся дополнительные вводные. "Мы считаем, что разрешение на восстановление пароля только через доверенные источники, банки и МФЦ, положительно скажется на безопасности учетных записей "Госуслуг". В настоящее время "Сбер" уже дал возможность клиентам восстановить пароль от госпортала в приложении "СберБанк Онлайн". Эта услуга оказалась востребованной среди наших клиентов: ежемесячно ей пользуется около 200 тыс. человек", - отметил представитель пресс-службы "Сбера".
На вопрос корреспондента ComNews, когда граждане РФ начнут массово доверять биометрии, представитель пресс-службы ЕБС ответил, что отношение граждан к биометрическим технологиям меняется постепенно: "Об этом, например, свидетельствуют результаты регулярных опросов Всероссийского центра изучения общественного мнения (ВЦИОМ). Так, если в 2023 г. о позитивном отношении к технологии сообщили 27% респондентов, то в 2024 г. этот показатель достиг 41%".
Руководитель направления развития бизнеса ООО "Индид" Игорь Тюкачев назвал потенциальную меру изменения действующей схемы смены пароля положительным шагом: "Текущую схему смены пароля на "Госуслугах" злоумышленники уже научились обходить и легко получают доступ к паролям, ключам и личному кабинету. С каждым днем все больше граждан подвергаются подобным кибератакам, поэтому стремление Минцифры усложнить смену пароля - понятное и своевременное, оно поможет повысить безопасность личных аккаунтов граждан и снизить риски хищения данных или других негативных последствий. В качестве примера можно привести банковские организации, которые уже давно применяют дополнительные меры при выявлении подозрительных операций у клиентов. Они отправляют SMS или звонят, уточняют, не совершается ли операция под воздействием третьих лиц. Это не панацея, но это дополнительно усложняет работу злоумышленникам".
Эксперт рынка научно-технологических инициатив (НТИ) ООО "Сейфнет" (SafeNet) Игорь Бедеров считает, что максимальная защита от мошенников возможна за счет сочетания фактора владения (устройство с TOTP) и фактора сущности (биометрия): "Биометрические данные, например сканы лица или отпечатки, практически невозможно перехватить дистанционно, а TOTP-коды (Google Authenticator, Authy) генерируются локально, исключая риски SMS. Однако массовое внедрение такой защиты потребует решения проблемы цифрового неравенства".
Заместитель директора по трансферу технологий Центра компетенций НТИ по направлению "Технологии хранения и анализа больших данных" на базе МГУ им. М.В. Ломоносова Тимофей Воронин отметил, что необходимо учесть несколько моментов: "Во-первых, не усложнит ли это возможность восстановления доступа к "Госуслугам" для людей, кто не пользуется смартфонами, так как в регионах МФЦ расположены не всегда в шаговой доступности. Во-вторых, даже при таких мерах защиты мошенники все равно смогут заставить граждан дать доступ к аккаунту. На мой взгляд, наиболее эффективным способом защиты аккаунтов является именно возможность смены пароля в МФЦ, так как в случае живой беседы с сотрудником есть вероятность, что будет выявлена попытка обмана обратившегося гражданина".
Ведущий аналитик отдела мониторинга информационной безопасности ООО "Спикател" Алексей Козлов согласился с Тимофеем Ворониным: "C точки зрения защиты наиболее эффективным вариантом является личное обращение в МФЦ, так как оно полностью исключает возможность дистанционных атак. Но очевидно, что физическое посещение офиса требует слишком много времени". При этом Алексей Козлов назвал для большинства пользователей оптимальным балансом между безопасностью и удобством - TOTP-приложения и биометрию.
Ведущий инженер АО "КОРП Софт" (CorpSoft24) Михаил Сергеев назвал самым надежным способом защиты от злоумышленников биометрическую идентификацию, так как в данный момент ее невозможно подделать. "Банковские или другие TOTP-приложения также можно использовать, главное, чтобы было несколько факторов защиты, а в этом случае получить злоумышленником доступ - очень сложная и порой невозможная задача", - считает Михаил Сергеев.
Генеральный директор компании - разработчика решений для защиты систем дистанционного банкинга и электронного документооборота SafeTech Group Денис Калемберг считает, что использование СМС-кода в качестве основного фактора доступа небезопасно: "Об этом эксперты уже говорят много лет. Инициатива использования других способов восстановления доступа и смены пароля от "Госуслуг" отличная, но это должно быть грамотно реализовано. Например, если восстанавливать доступ через банковские приложения, нужно понимать, что к ним нельзя получить доступ с помощью одноразового пароля в SMS-коде. Поэтому и другие доверенные TOTP-приложения должны кроме SMS-кода использовать дополнительные технологии восстановления доступа и подтверждения транзакций: мобильная электронная подпись в сочетании с цифровым отпечатком устройства, плюс различные технологии фрод-мониторинга. Восстановление доступа через очный визит или с помощью ЕБС, на мой взгляд, обеспечивает высокий уровень защиты".
