НовостиСобытияКонференцииФорумыIT@Work
Государство и ИТ:

Блог

По поводу безопасности порталов госуслуг. Стоило бы ее повысить

Андрей Колесов
17.12.2014 19:31:28

Сегодня утром получил такое письмо от Службы поддержки пользователей Портала государственных услуг города Москвы:



Сообщение довольно типичное, знакомое. Вот только, кажется, это первый случай в моей практике, который проходит по варианту "если вы не отправляли подобный запрос"…

Я решил обратить внимание и для начала зашел в Личный кабинет и сменил пароль. Я потом начал анализировать ситуацию.

Во-первых, в тексте сообщения не точно отражена ситуация: речь шла не просто о смене пароля (для этой операции нужно сначала войти в личный кабинет), а именно о его восстановлении (путем смены) для случая "забыл пароль".

Во-вторых, это заставило в очередной раз обратить внимание на вопросы безопасности наших порталов госуслуг.

Наверное, в данном случае ничего страшного не было: кто-то забыл свой пароль, а заодно и логин. Набрал по ошибке мой.
Но все же. Дело в том, что в них до сих пор используется исключительно простейший вариант аутентификации с помощью логин-пароль. В то время, как в Интернет-банкинге давно общепринятым является двухфакторная идентификация (+ одноразовый пароль, обычно – через мобильный телефон). Правда, не всегда – бывают логин-пароль, но тогда доступен только просмотр данных, для операций – все равно нужен "одноразовый пароль".

Позвонил в службу поддержки (дозвонился быстро), спросил про наличие "двухфакторную идентификацию" (может, не заметил эту возможность). "Нет, ее у нас нет. А зачем она нужна? Это же не банковские операции".

Да, не банковские, но все же… Там хранится полно важной персональной информации – паспортные данные, информации о квартире, машине, социальный номер и много другое. Там можно ввести показания счетчиков воды и электричества (а потом плати за них).
И многое, многое другое…

Пароль, кстати, в личном кабинете можно поменять "просто так" - без подтверждения через е-почту или через СМС.

Так почему же разработки сайтов госуслуг до сих пор не озаботятся вопросами безопасности?

Есть и ряд других вопросов.
Например, портал устроен так, что по моим идентификационным данным он не может сам определить мои же данные "других ведомств". Например, чтобы ввести показания счетчиков воды нужно отдельно вводить моей "единый код плательщика", для электросчетчика – мое электрокод. То есть "бесшивной интеграции" портала с другими ведомственными системами нет.

Но вот какой момент. Когда я раньше пользовался порталом Инженерное службы для ввода показаний счетчиков, я должен был с кодом вводить еще и пароль. А сейчас, войдя в Портал МосУслуг, пароль вводить не нужно. То есть получает, что любой человек может из своего личного кабинета, набрав мой номер, записать любые значения моих счетчиков?

Очень непонятным является также интеграция порталов Мосуслуг и Госуслуг. Дело в том, в московском портале может зарегистрироваться совершенно любой человек, он вполне может указать мой СНИЛС. И куда я буду попадать при входе в Мосуслуги с помощью СНИИЛС?

В общем, хотелось бы, чтобы безопасность порталов госуслуг была, все же, "на уровне".

Хотел высказать этой пожелание на круглом столе на конференции "Рунет-2014", где как раз об успехах Портала Госуслуг рассказывал Дмитрий Сатин из Минкомсвязи. (Он произнес в частности, соверешенно замечательную фразу: "Нашему порталу уже пять лет. В этом году мы решили привлечь к его совершенствованию профессиональных дизайнеров и разработчиков".) Но ведущий вопросы задавать не позволил (не только мне, были и другие желающие) – "Вопросы будем задавать в конце".

Но концовка мероприятия была обычной: "К сожалению, времени на вопросы у нас не осталось"… Правда, и представителей Минкомсвязи к перерыву уже не было - они удалились "по-английски" сразу после своих отчетов о проделанной работе.

Комментариев: 0

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии