Министерство цифрового развития приняло решение по постепенному отказу от входа на «Госуслуги» по СМС. Ведомство объясняет это растущим числом случаев мошенничества. Пока что это касается только входа через мобильные устройства. То есть вариант с подтверждением через СМС сохраняется при входе через компьютер.

В Минцифры сообщили, что у пользователей «Госуслуг» есть несколько вариантов для второго фактора защиты учетной записи: через одноразовый код в мессенджере Мах, по биометрии, а также через одноразовый код в специальном приложении. Их можно будет выбрать на «Госуслугах» в разделе «Безопасность».

Комментирует эксперт по информационной безопасности, гендиректор Phishman Алексей Горелкин:

— На самом деле новость ожидаемая. Я и в целом эксперты по информационной безопасности давно говорили, что СМС не являются безопасным способом второго фактора аутентификации, потому что их можно перехватить, и для этого не нужно даже быть каким-то хакером. Но не очень хорошо, что таким образом пытаются людей принудить к мессенджеру Max. Я ничего не имею против мессенджера Max, с точки зрения безопасности там все хорошо. Но есть другая проблема: он еще находится в бета-тесте, это еще не релизная версия, и именно поэтому мне это видится немножко странным шагом.

— Среди способов входа заинтересовало — через одноразовый код в специальном приложении. Что это такое?

— Это и есть приложения-аутентификаторы, такие приложения есть, к примеру, встроенные в «яблочную» технику, такое приложение есть отдельно от компании Google, такие приложения есть у «Яндекса». Как они работают? Вы либо сканируете QR-код и у вас начинают генерироваться цифры или символы раз в какое-то время, они одноразовые и постоянно обновляющиеся. И тогда при каждом входе, с нового устройства особенно, вам нужно будет ввести эти одноразовые цифры или символы, они всегда появляются буквально на минуту. По поводу биометрии можно не беспокоиться, то есть ваши биометрические данные хранятся в специальных сертифицированных областях, вы всегда видите, кто получает доступ к вашей биометрии, можете всегда ее отозвать, это самое важное. И именно поэтому биометрия выглядит как тоже хороший вариант, но не все устройства поддерживают хорошую биометрию, поэтому тоже есть свои нюансы, к примеру завязанные на качество камеры. Постепенно все будет однообразно, то есть будет уход от СМС везде, везде будет рекомендация войти либо через одноразовый пароль, либо через Max, либо через биометрию. То, что сейчас временно есть условно браузерные версии, где что-то не требуется, а на мобильных требуется, — это просто такой легкий лаг, который исправится. Так происходит, потому что разные команды пишут сайты и функционал для веб-версий и для мобильных версий. В целом неплохо звучал бы вход через другие мессенджеры, но тут надо нормально понять действия государства. Сейчас в целом мировой тренд, который был запущен не нами и не Китаем, это переход на национальные мессенджеры. Если Mail.ru, «Яндекс» и какая еще другая частная компания захочет сделать через Max, она это сделает, не захочет — не сделает. Пока еще нет федерального закона, который обязует делать иначе. Надо уходить от СМС, это самое главное.

Ранее телеграм-каналы писали, что пользователи на Android жалуются, что после входа в аккаунт «Госуслуг» им предлагают установить мессенджер Max, а кнопка «Пропустить» отсутствует. Пока что эта кнопка сохраняется при входе через компьютер.

Минцифры объясняет постепенный отказ от СМС тем, что пользователи непреднамеренно передают коды из сообщений злоумышленникам.

Комментирует директор технического департамента RTM Group, эксперт в области информационной безопасности Федор Музалевский:

Федор Музалевский директор технического департамента RТМ Group, эксперт в области информационной безопасности и компьютерной криминалистики «Что касается безопасности, то да, очевидно, что передать коды можно из любой другой системы генерации, и, скорее всего, этот ход направлен не на безопасность, а на продвижение мессенджера. Единственный нюанс заключается в том, что у мошенников наверняка уже есть проверенные вредоносы для получения доступа к СМС-кодам, чтобы не пользователь их называл, а смотивировать пользователя поставить себе вредонос и получить тем самым образом код из СМС, не заставляя пользователя его называть. А для тех приложений, которые новые, Max например, и приложения для получения этого самого кода, они могут быть пока еще мошенниками не опробованы. Но, повторюсь, основной посыл перехода на альтернативные способы двухфакторной аутентификации связан вполне наверняка с продвижением мессенджера. Отдельное приложение для получения многоразового кода пока еще публично не было представлено Минцифры, но думаю, что, скорее всего, это будет либо «Госключ», либо какой-то аналог. То есть приложение направлено исключительно на безопасность. В ближайшее время СМС как подтверждение аутентификации вряд ли уберут, потому что это автоматом отключит от «Госуслуг» людей, которые пользуются кнопочными телефонами и не могут установить какое-либо приложение».

Также в Минцифры предложили приравнять электронные документы на «Госуслугах» к бумажным версиям. Предполагается, что при посадке, например, на поезд или в самолет их можно будет предъявлять в виде QR-кода.