По поводу безопасности порталов госуслуг. Стоило бы ее повысить

26 декабря 2014

На днях получил такое письмо от Службы поддержки пользователей Портала государственных услуг города Москвы:

Здравствуйте!

Вы получили это письмо потому, что Вы (либо кто-то, выдающий себя за Вас) отправил запрос на смену пароля для доступа к личному кабинету на Портале государственных услуг города Москвы.

Если Вы не отправляли подобный запрос, то не обращайте внимания на это письмо, либо обратитесь в службу поддержки.

Для смены пароля воспользуйтесь ссылкой.

Сообщение довольно типичное, знакомое. Вот только, кажется, это первый случай в моей практике, который проходит по варианту «если вы не отправляли подобный запрос»...

Я решил обратить внимание и для начала зашел в Личный кабинет и сменил пароль. А потом начал анализировать ситуацию.

Во-первых, в тексте сообщения не точно отражена ситуация: речь шла не просто о смене пароля (для этой операции нужно сначала войти в личный кабинет), а именно о его восстановлении (путем смены) для случая «забыл пароль».

Во-вторых, это заставило в очередной раз обратить внимание на вопросы безопасности наших порталов госуслуг.

Наверное, в данном случае ничего страшного не было: кто-то забыл свой пароль, а заодно и логин. Набрал по ошибке мой.

Но все же. Дело в том, что в них до сих пор используется исключительно простейший вариант аутентификации с помощью логин-пароль. В то время, как в интернет-банкинге давно общепринятым является двухфакторная идентификация (+ одноразовый пароль, обычно — через мобильный телефон). Правда, не всегда — бывают логин-пароль, но тогда доступен только просмотр данных, для операций — все равно нужен «одноразовый пароль».

Позвонил в службу поддержки (дозвонился быстро), спросил про наличие «двухфакторной идентификации» (может, не заметил эту возможность). «Нет, ее у нас нет. А зачем она нужна? Это же не банковские операции».

Да, не банковские, но все же... Там хранится полно важной персональной информации — паспортные данные, информации о квартире, машине, социальный номер и много другое. Там можно ввести показания счетчиков воды и электричества (а потом плати за них).

И многое, многое другое...

Пароль, кстати, в личном кабинете можно поменять «просто так» — без подтверждения через е-почту или через SMS.

Так почему же разработчики сайтов госуслуг до сих пор не озаботятся вопросами безопасности?

Есть и ряд других вопросов.

Например, портал устроен так, что по моим идентификационным данным он не может сам определить мои же данные «других ведомств». Например, чтобы ввести показания счетчиков воды, нужно отдельно вводить моей «единый код плательщика», для электросчетчика — мой электрокод. То есть «бесшовной интеграции» портала с другими ведомственными системами нет.

Но вот какой момент. Когда я раньше пользовался порталом Инженерной службы для ввода показаний счетчиков, я должен был с кодом вводить еще и пароль. А сейчас, войдя в Портал Мосуслуг, пароль вводить не нужно. То есть получается, что любой человек может из своего личного кабинета, набрав мой номер, записать любые значения моих счетчиков?

Очень непонятным является также интеграция порталов Мосуслуг и Госуслуг. Дело в том, что на московском портале может зарегистрироваться совершенно любой человек, он вполне может указать мой СНИЛС. И куда я буду попадать при входе в Мосуслуги с помощью СНИЛС?

В общем, хотелось бы, чтобы безопасность порталов госуслуг была, все же, «на уровне».

Хотел высказать этой пожелание на круглом столе на конференции «Рунет-2014», где как раз об успехах Портала госуслуг рассказывал Дмитрий Сатин из Минкомсвязи. (Он произнес, в частности, совершенно замечательную фразу: «Нашему порталу уже пять лет. В этом году мы решили привлечь к его совершенствованию профессиональных дизайнеров и разработчиков».) Но ведущий вопросы задавать не позволил (не только мне, были и другие желающие) — «Вопросы будем задавать в конце».

Но концовка мероприятия была обычной: «К сожалению, времени на вопросы у нас не осталось»... Правда, и представителей Минкомсвязи к перерыву уже не было — они удалились «по-английски» сразу после своих отчетов о проделанной работе.

Автор: Андрей Колесов

Источник: Экспертный центр Электронного государства

Читайте также: