КАК ФСБ ВПЕРВЫЕ ЗАПУСТИЛА РОССИЙСКУЮ КРИПТОВАЛЮТУ В МАГАЗИНАХ ПРИЛОЖЕНИЙ

КАК ФСБ ВПЕРВЫЕ ЗАПУСТИЛА РОССИЙСКУЮ КРИПТОВАЛЮТУ В МАГАЗИНАХ ПРИЛОЖЕНИЙ pos gosuslugi

МОСКВА, 13 марта. / ТАСС/. Минцифры заключило с “Ростелекомом” контракт на развитие портала “Госуслуги” и Единой системы идентификации и аутентификации (ЕСИА) в 2023 году. Документация о контракте, стоимость которого составляет порядка 2,2 млрд рублей, размещена на портале госзакупок.

Контракт заключен 7 марта, датой окончания его исполнения указано 31 декабря 2023 года. Предполагаются работы по развитию ЕПГУ и ФГИС ЕСИА.

В технической документации, в графе исполняемых работ, указано “Создание и модернизация мобильного мини-приложения и чат-бота” для ЕПГУ (“Госуслуги”). В части работ по мини-приложению заказаны создание и доработка его модулей под две операционные системы.

Также контракт предполагает выполнение работ по информационной безопасности для обеих систем, к примеру, разработку, создание или актуализацию требований по ИБ для новых модулей, подсистем и систем ГИС. Кроме того, “Ростелеком” проведет ряд контентно-графических работ и для “Госуслуг”, и для ЕСИА.

Ранее распоряжением правительства РФ “Ростелеком” был выбран единственным исполнителем закупок Минцифры РФ в 2023-2024 годах в рамках нацпрограммы “Цифровая экономика”, связанных с инфраструктурой портала госуслуг. Кабмин тогда также определил предельный срок, на который заключаются госконтракты с “Ростелекомом” на исполнение закупок – это 31 декабря 2024 года.

Сетевые настройки

Для подключения Вашего рабочего места к сети интернет, пожалуйста, воспользуйтесь инструкциями и выполните три этапа настройки на Вашем компьютере:

Процедуру необходимо проделать один раз, но на каждом ПК в школе.

Информируем вас о том, что использование функционала NAT (Network Address Translation) на маршрутизаторах, которые установлены в вашей локальной сети после оборудования ПАО «Ростелеком», может привести к ухудшению качества предоставления услуги ЕСПД.

В связи с этим мы рекомендуем использовать исключительно утвержденную адресацию ЕСПД.

МОСКВА, 4 апреля. / ТАСС/. Минцифры России заключило с “Ростелекомом” контракт на развитие портала “Госуслуги” и Единой системы идентификации и аутентификации (ЕСИА) на 600 млн рублей в 2023 году, следует из данных госзакупок. Ранее в марте был подписан аналогичный контракт на 2,2 млрд рублей.

Заключение нового контракта состоялось 31 марта 2023 года, эта же дата является и началом его исполнения “Ростелекомом”. Окончание действия контракта – 31 декабря. Целями выполнения работ являются реализация новых и модернизация существующих возможностей систем “Госуслуг” и ЕСИА.

Так, для портала “Госуслуги” предполагается доработка функции обработки или предоставления данных, работы, связанные с “Цифровым ассистентом” (модернизация элемента веб-интерфейса, разработка сценариев с рекомендациями пользователю и другое). И для госуслуг, и для ЕСИА также планируются работы по информационной безопасности.

В марте министерство и госоператор заключили похожий контракт – “Ростелеком”, согласно ему, получал 2,2 млрд рублей на развитие тех же систем. Датой окончания исполнения того контракта также было указано 31 декабря 2023 года.

Распоряжением правительства РФ “Ростелеком” выбран единственным исполнителем закупок Минцифры РФ в 2023-2024 годах в рамках нацпрограммы “Цифровая экономика”, связанных с инфраструктурой портала “Госуслуги”.

Время на прочтение

Минцифры России и «Ростелекомом» заключили контракт на развитие «Госуслуг» и Единой системы идентификации и аутентификации (ЕСИА), передаёт ТАСС со ссылкой на портал госзакупок. Стоимость контракта оценивается в 600 млн рублей. « Ростелеком» должен выполнить свои обязательства по нему до 31 декабря 2023 года.

Для «Госуслуг» необходимо доработать функции обработки или предоставления данных, а также модернизировать «Цифровой ассистент» портала — улучшить веб-интерфейс, разработать сценарии с рекомендациями пользователю и не только. Кроме того, для ЕСИА и «Госуслуг» запланированы работы по информационной безопасности.

24 декабря 2022 года Правительство РФ выбрало «Ростелеком» единственным исполнителем закупок Минцифры РФ в 2023-2024 годах «в рамках реализации национальной программы “Цифровая экономика Российской Федерации”, закупок работ, необходимых для развития инфраструктуры, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме, входящей в инфраструктуру электронного правительства».

В конце марта этого года также стало известно, что «Ростелеком» будет развивать федеральную государственную информсистему управления государственными данными — ФГИС ЕИП НСУД. Единая информационная платформа (ЕИП) НСУД создана для систематизации, автоматизации управления, формирования ведения моделей государственных данных, а также для формирования и ведения реестра информационных ресурсов. Соответствующий контракт на сумму 2,2 млрд рублей Минцифры РФ заключило с «Ростелекомом» 24 марта 2023 года.

Инструкция по авторизации Пользователей через портал Госуслуг (ЕСИА)

Важно!
Подключение с мобильных и стационарных устройств осуществляется с обязательной идентификацией и аутентификацией Пользователей на базе учетных записей портала Госуслуг (ЕСИА).

Администрирование процесса привязки Пользователей в том числе и добавление новых Пользователей осуществляется силами руководителей или администраторов образовательных организаций.


КАК ФСБ ВПЕРВЫЕ ЗАПУСТИЛА РОССИЙСКУЮ КРИПТОВАЛЮТУ В МАГАЗИНАХ ПРИЛОЖЕНИЙ

Рисунок 1. Приветственная страница портала


КАК ФСБ ВПЕРВЫЕ ЗАПУСТИЛА РОССИЙСКУЮ КРИПТОВАЛЮТУ В МАГАЗИНАХ ПРИЛОЖЕНИЙ

Рисунок 2. Переход на страницу Госуслуг


КАК ФСБ ВПЕРВЫЕ ЗАПУСТИЛА РОССИЙСКУЮ КРИПТОВАЛЮТУ В МАГАЗИНАХ ПРИЛОЖЕНИЙ

Рисунок 3. Предоставление прав доступа

Доступ в интернет открыт:


КАК ФСБ ВПЕРВЫЕ ЗАПУСТИЛА РОССИЙСКУЮ КРИПТОВАЛЮТУ В МАГАЗИНАХ ПРИЛОЖЕНИЙ

Рисунок 4. Успешная авторизация. Переход на сайт edu.gov.ru

Возможные ошибки

Пользователь не ассоциирован с организацией: В случае отсутствии привязки Пользователя к образовательной организации будет возникать ошибка:


КАК ФСБ ВПЕРВЫЕ ЗАПУСТИЛА РОССИЙСКУЮ КРИПТОВАЛЮТУ В МАГАЗИНАХ ПРИЛОЖЕНИЙ

Рисунок 5. Пользователь не ассоциирован с организацией

Решение: Обратиться к руководителю образовательной организации или администратору для привязки к профилю компании (согласно п.1 данной инструкции).


КАК ФСБ ВПЕРВЫЕ ЗАПУСТИЛА РОССИЙСКУЮ КРИПТОВАЛЮТУ В МАГАЗИНАХ ПРИЛОЖЕНИЙ

КАК ФСБ ВПЕРВЫЕ ЗАПУСТИЛА РОССИЙСКУЮ КРИПТОВАЛЮТУ В МАГАЗИНАХ ПРИЛОЖЕНИЙ

Рисунок 7. Пользователь не предоставил права доступа к данным

Решение:
Рекомендуем обратиться к системному администратору своей организации для проверки причин возникновения данной ошибки:

Завершение авторизованной сессии

Важно, чтобы использовался тот же браузер без режима инкогнито: сессия запоминается с помощью cookie длительностью действия на 10 часов. На портале находится кнопка для завершения сессии:

Читайте также:  Пособия от 3 до 7 кому положены что нового

При нажатии происходит завершение текущей авторизованной сессии, портал выполняет редирект на себя, который может занять несколько секунд на время старта новой сессии без авторизации.

Во время редиректа в браузере может запуститься новая вкладка с редиректом на портал.
После возвращения на портал, Пользователь увидит страницу с сообщением и кнопкой начала новой сессии:

При нажатии на которую, выполняется редирект на портал с возможностью пройти авторизацию с другими учётными данными ЕСИА:

Для выхода в Интернет с использованием другой учётной записи Госуслуг, может потребоваться выполнить выход. Для этого перейдите на портал по адресу https://esia.gosuslugi.ru, если пользовательская сессия осталась активной, нажмите на ссылку для выхода из учетной записи.

Минцифры и «Ростелеком» интегрируют государственную биометрическую систему с сайтом «Госуслуги»


КАК ФСБ ВПЕРВЫЕ ЗАПУСТИЛА РОССИЙСКУЮ КРИПТОВАЛЮТУ В МАГАЗИНАХ ПРИЛОЖЕНИЙ

По информации издания «Коммерсантъ», Минцифры заключило с «Ростелекомом» контракт на интеграцию единой системы идентификации и аутентификации (ЕСИА) сайта «Госуслуги» с государственной информационной системой «Единая биометрическая система» (ГИС ЕБС), Госкомпания выполнит это за 1,2 млрд рублей до декабря 2022 года. Планируется, что потом часть сервисов сайта «Госуслуги» будут доступны гражданам только после сдачи биометрии.

Согласно условию контракта, российские пользователи смогут сдавать свои биометрические данные (цифровые слепки лица и голоса) без посещения банков или МФЦ, а онлайн через специальное мобильное приложение.

По мнению экспертов издания, привязка биометрии к аккаунту на портале госуслуг повысит его безопасность, особенно в текущей ситуации, когда активизировались мошенники. 15 января Минцифры сообщило, что усилило защиту аккаунтов пользователей при смене пароля на портале «Госуслуги» из-за активизации новой волны мошенничества. Злоумышленники с начала года начали звонить жертвам от имени сотрудников портала «Госуслуги» и просить граждан продиктовать код из СМС-сообщения, якобы, для активации или привязки QR-кодами о вакцинации на странице пользователя. После сообщения кода мошенники получали доступ к аккаунту и персональным данным жертвы. Теперь этот сценарий не работает, так как в него добавлены новые этапы проверки и уведомлений для пользователя. Эксперты считают, что в случае входа на госуслуги с использованием биометрии мошенники не смогут заходить в аккаунты других пользователей.

Источники издания пояснили, что Минцифры и «Ростелеком» будут стимулировать граждан сдавать биометрию, в том числе через блокировку некоторых госуслуг без использования ЕБС в будущем.

30 декабря 2021 года В России заработала государственная единая биометрическая система. Тогда в правительстве уточнили, что участие со стороны граждан в сдаче данных для государственной ЕБС будет полностью добровольным, а ни в коем случае не станет обязательным.

В начале декабря Минцифры рассказало, что разрешит собирать биометрию пользователей онлайн через мобильное приложение, чтобы использовать в качестве одного из факторов при двухфакторной аутентификации на портале «Госуслуг».

Оператором российской централизованной единой биометрической системы (ЕБС) является «Ростелеком». За последние три года компания собрала биометрические данные менее 200 тыс. человек по всей стране. К 2023 году Минцифры, МВД РФ и РТК собираются увеличить эту цифру до 50-70 млн. В том числе за счет того, что некоторые госуслуги будут удаленно недоступны без сдачи ЕБС.

Инструкция отключения прокси для авторизации на ЕСИА


КАК ФСБ ВПЕРВЫЕ ЗАПУСТИЛА РОССИЙСКУЮ КРИПТОВАЛЮТУ В МАГАЗИНАХ ПРИЛОЖЕНИЙ

КАК ФСБ ВПЕРВЫЕ ЗАПУСТИЛА РОССИЙСКУЮ КРИПТОВАЛЮТУ В МАГАЗИНАХ ПРИЛОЖЕНИЙ

Переходим на вкладку «Подключения» и нажимаем кнопку «Настройка сети». Отключаем «Использовать прокси» и включаем «Автоматическое определение параметров». Сохраняем все настройки кнопкой «ОК»


КАК ФСБ ВПЕРВЫЕ ЗАПУСТИЛА РОССИЙСКУЮ КРИПТОВАЛЮТУ В МАГАЗИНАХ ПРИЛОЖЕНИЙ

Теперь при открытии страниц интернет, будет доступна страница авторизации через Госуслуги (ЕСИА).

Так же, обязательно должны быть прописаны DNS-сервера. Подробно процесс настройки описан по ссылке.

Windows 10

Переходим в категорию «Сеть и Интернет»:


КАК ФСБ ВПЕРВЫЕ ЗАПУСТИЛА РОССИЙСКУЮ КРИПТОВАЛЮТУ В МАГАЗИНАХ ПРИЛОЖЕНИЙ

КАК ФСБ ВПЕРВЫЕ ЗАПУСТИЛА РОССИЙСКУЮ КРИПТОВАЛЮТУ В МАГАЗИНАХ ПРИЛОЖЕНИЙ

Теперь при открытии страниц интернет, будет доступна страница авторизации через Госуслуги (ЕСИА). Так же, обязательно должны быть прописаны DNS-сервера. Подробно процесс настройки описан по ссылке.

Astra Linux

Для применения общесистемных настроек для пользователя:

1. В пользовательской сессии открыть терминал (горячая клавиша Alt+T):

2. Выполнить команду:

3. В открывшемся окне выбрать пункт “Автоматическое обнаружение и настройка прокси»

4. Для сохранения изменений нажать “Да”


КАК ФСБ ВПЕРВЫЕ ЗАПУСТИЛА РОССИЙСКУЮ КРИПТОВАЛЮТУ В МАГАЗИНАХ ПРИЛОЖЕНИЙ

Версия для печати

ЕСИА (единая система идентификации и аутентификации), созданная «Ростелекомом» по заказу Минкомсвязи России 5 лет назад 1, сегодня превратилась в крупную самостоятельную информационную систему, единое «окно» доступа граждан, бизнеса и представителей исполнительной власти в инфраструктуру электронного правительства, а также в другие информационные системы, подключенные к Системе межведомственного электронного взаимодействия (СМЭВ).

За одну минуту с помощью ЕСИА около 3 тысяч пользователей заходят на федеральный и региональные порталы госуслуг, сайты «Российской общественной инициативы» (РОИ), Росреестра, Федеральной налоговой службы и Пенсионного Фонда, подключаются к Wi-Fi в московском метро. Если в начале 2014 года к ЕСИА было подключено около 170 информационных систем, то по данным на ноябрь 2016 года – уже порядка 1000 участников.

Единая учетная запись позволяет просто и быстро оплатить налоги, записать в детский сад ребенка, узнать состояние пенсионного счета, заказать множество других госуслуг. Бизнес, помимо прочего, получил возможность простой авторизации на площадке электронных торгов, представители госорганов – в Государственной автоматизированной информационной системе «Управление».

Абонентская база ЕСИА демонстрирует существенный рост: в начале 2012 года в системе было зарегистрировано около 1,4 млн граждан, в 2015 их число выросло почти в десять раз, а по состоянию на ноябрь 2016 года зафиксировано уже около 35,5 млн. пользователей.

Александр Чечин, начальник отдела развития Департамента электронного правительства ПАО «Ростелеком»:

Государственным заказчиком создания и эксплуатации ЕСИА, а также оператором ее системы является Минкомсвязи России, ее развитием в рамках реализации государственной программы Российской Федерации «Информационное общество (2011-2020 гг.)» в качестве единственного исполнителя занимается ПАО «Ростелеком». А О «РТ Лабс» выступает основным поставщиком услуг «Ростелекома» по эксплуатации и развитию инфраструктуры электронного правительства.

1 Сегодня, 28 ноября исполняется 5 лет со дня подписания в 2011 году Постановления Правительства РФ №977 «О федеральной государственной информационной системе «Единая система идентификации и аутентификации».

Читайте также:  Гражданский кодекс Российской Федерации Статья 167. » «». О последствиях ничтожности сделки в общих чертах

Разъяснения по Единой системе идентификации и аутентификации (ЕСИА)

Сообщаем перечень услуг, оказываемых ОАО «Ростелеком», при подключении кредитных организаций к Единой системе идентификации и аутентификации (далее – ЕСИА) в целях осуществления ими упрощенной идентификации клиентов:

Оказание перечисленных услуг осуществляет дочернее предприятие ОАО «Ростелеком» – ОАО «РТ Лабс».

Порядок действий Участника при организации и осуществлении подключения указаны в Регламенте информационного взаимодействия Участников с Оператором ЕСИА и Оператором эксплуатации инфраструктуры электронного правительства, размещенного на сайте Минкомсвязи России: www.minsvyaz.ru/ru/documents/4244.

Единая система идентификации и аутентификации

Единая система идентификации и аутентификации (ЕСИА) — информационная система, представляющая единое «окно» доступа граждан, бизнеса и представителей исполнительной власти в инфраструктуру электронного правительства, а также другие информационные системы, подключенные к Системе межведомственного электронного взаимодействия (СМЭВ).

С помощью ЕСИА происходит свыше 10,5 млн авторизаций в сутки на федеральном и региональном порталах госуслуг, сайтах «Российской общественной инициативы» (РОИ), Росреестра, Федеральной налоговой службы и Пенсионного фонда, включая пользователей Wi-Fi в московском метро. Если в начале 2014 года к ЕСИА было зарегистрировано около 170 информационных систем, то по данным на апрель 2021 года — уже более 8,9 тыс. участников.

ЕСИА хранит основную учетную запись гражданина в электронном правительстве. Она позволяет заказывать госуслуги в электронном виде на портале gosuslugi.ru, пользоваться ведомственными и региональными порталами, например, порталом Федеральной налоговой службы, другими государственными ресурсами, в частности, zakupki.gov.ru.

К системе подключено 85 регионов России, обеспечивается функционирование более 35 тыс. центров обслуживания, выполняющих подтверждение учетных записей пользователей в ЕСИА.

По данным на конец 2021 года количество подтвержденных учетных записей в ЕСИА превысило 93 млн человек.

Минцифры заключило контракт с «Ростелекомом» на интеграцию портала госуслуг с Единой биометрической системой. На портал госуслуг можно будет заходить с помощью биометрических данных, а через мобильное приложение россияне смогут сами сдавать образцы лица и голоса. Но без сдачи биометрии россияне не смогут получать ряд услуг удаленно

На портал госуслуг к концу года можно будет заходить по биометрическим данным, следует из технического задания по контракту на интеграцию единой системы идентификации и аутентификации (ЕСИА) госуслуг с «Единой биометрической системой» (ГИС ЕБС). Этот контракт Минцифры заключило в конце 2021 года с «Ростелекомом». Стоимость работ — 1,2 млрд рублей, срок — до 5 декабря 2022 года, пишет «Коммерсантъ».

Техзаданием также предусматривается, что россияне смогут сами сдавать в ЕБС цифровые слепки лица и голоса через специальное мобильное приложение. Источник газеты в правительстве сообщил, что после окончания работ по интеграции россиян будут стимулировать сдавать биометрию, в том числе ограничив отказников от передачи биометрических данных в получении некоторых госуслуг онлайн. Собеседник отметил, что привязка биометрии к аккаунту на портале госуслуг повысит безопасность операций. « Электронную цифровую подпись можно передать или потерять, а биометрию отдать не выйдет», — сказал он.

Минцифры планировало к 2024 году собрать около 70 млн биометрических слепков россиян, но в ЕБС зарегистрировано только 180 000 слепков. В 2022 году министерство планирует масштабировать проекты по оплате проезда с помощью биометрии и прохождению контроля в аэропортах, сообщили в его пресс-службе. Оплату проезда лицом запустили в прошлом году в московском метро, прохождение биометрического контроля тестируют в Шереметьево и Домодедово. Сдача биометрии будет добровольной, а у пользователя будут альтернативные возможности получения сервисов, отметил представитель Минцифры.

Эксперт Moscow Digital School Олег Блинов предположил, что без сдачи биометрии будет невозможно удаленно взять кредит, а потом — получить загранпаспорт, водительские права и тому подобное. Президент InfoWatch Наталья Касперская отметила риски утечек при использовании приложения. Приложения на смартфонах контролируются производителями телефона и платформой, с которой скачаны, поэтому им могут быть доступны биометрические данные, объяснила Касперская.

По ее словам, «злоумышленники могут получить данные через установку зловредного ПО на смартфон или использование социальной инженерии». « Нет гарантии, что биометрическая информация, переданная со смартфона через приложение «Ростелекома» в ЕБС, принадлежит именно данному человеку, а не какому-либо другому. Это может быть злоумышленник, использовавший технологии Deep Fake», — добавила Касперская.

Как ФСБ впервые пустила российскую криптографию в магазины приложений

Летом этого года в России заработала Единая биометрическая система для юридически значимого и при этом простого для пользователя подтверждения личности. О том, как она устроена, мы писали в недавнем посте.

Чтобы системой было удобно пользоваться, необходимо приложение. Создание этого приложения — «Ключ Ростелеком» — открыло для нас целый бонусный уровень с новыми задачами, новыми вызовами. Которые, как несложно догадаться, направлены на повышение безопасности пользователей.


КАК ФСБ ВПЕРВЫЕ ЗАПУСТИЛА РОССИЙСКУЮ КРИПТОВАЛЮТУ В МАГАЗИНАХ ПРИЛОЖЕНИЙ

Вкратце об основном продукте. Единая биометрическая система позволяет с помощью комбинации биометрических данных проводить юридически значимую удаленную идентификацию человека без его личного присутствия. Так можно получить банковский кредит даже из какой-нибудь «глубины сибирских руд». При наличии интернета, разумеется.

Как работает приложение

Обычный пользователь начинает работу с системой с визита в банк, где он сдает биометрические данные для Единой биометрической системы и привязывает их к ЕСИА. После этого для него открываются новые возможности. Схема работы приложения «Ключ Ростелеком»:

Как все защищено

Главный вопрос — это, конечно же, безопасность данных. Все каналы связи между тремя взаимодействующими системами — ЕСИА, Единой биометрической системой и банком — защищаются при помощи TLS-шлюзов с использованием российской криптографии.

В приложении пользователь может сравнить параметры сертификата в системе с параметрами сертификата, размещенного на сайте Единой биометрической системы. Так можно убедиться, что подключение идет действительно к Единой биометрической системы. Ф СБ рекомендует проводить сравнение, чтобы исключить атаки man in the middle, когда все запросы пользователя перехватываются через TLS-шлюз злоумышленника.

Читайте также:  Единовременная выплата на детей до нового года


КАК ФСБ ВПЕРВЫЕ ЗАПУСТИЛА РОССИЙСКУЮ КРИПТОВАЛЮТУ В МАГАЗИНАХ ПРИЛОЖЕНИЙ

Кроме того, реализована проверка контрольных сумм приложения и модуля криптографической защиты. Это происходит автоматически при запуске приложения, а также вручную в любое время в меню Настройки и безопасность. При несовпадении контрольных сумм приложение отключается и до устранения проблемы работает в офлайн-режиме.


КАК ФСБ ВПЕРВЫЕ ЗАПУСТИЛА РОССИЙСКУЮ КРИПТОВАЛЮТУ В МАГАЗИНАХ ПРИЛОЖЕНИЙ

В итоге механизмы защиты «Ключа Ростелекома» не полагаются на операционную систему — собственные средства шифрования и контроль целостности привязаны к приложению. На этапе верификации подставить чужую биометрию не получится — система определит подлог. Но из-за нарушений в безопасности на стороне ОС, в принципе, можно вклиниться между пользователем и приложением и перехватить передаваемые для авторизации данные. К сожалению, такое возможно, особенно на рутованных устройствах с троянами. Мы не можем взять на себя ответственность за среду функционирования. Приложение просто определяет наличие рута и не запускается, если он есть.

Изначально в плане UX все было организовано очень сложно. Пользовательский путь в «Ключе Ростелекома» включал 20 экранов, 13 из которых относились к безопасности. Но после оценки всего этого с точки зрения UX мы сократили эту часть до 3-4 экранов. Для такого прогресса потребовалось не одно обсуждение на разных уровнях.

Строгости закона

Хранение и передача биометрических данных в России регламентируются несколькими актами:

Для прохождения сертификации необходимо предоставить в ФСБ полную информацию о том, какие в приложении используются механизмы защиты, что и какими функциями подписывается, а также исходные коды не только самого приложения, но и остальных точек взаимодействия. Эта процедура никак не регламентирована по времени и выливается в огромные финансовые затраты. Любое изменение кода банковского приложения требует повторения процедуры, что невозможно с релизами раз в квартал и тем более раз в месяц. И вообще, представьте, сколько в России банковских приложений. Похоже на тупик.

Но мы нашли выход из этого тупика. При работе с «Ключом Ростелекома» банковские приложения не взаимодействуют с биометрией, а лишь получают идентификатор пользовательской сессии. Таким образом приложения банков не попадают под действие Указания Банка России.

Еще одной проблемой стал обязательный поэкземплярный учет приложений, использующих российскую криптографию. Этот вопрос тоже удалось решить — при успешной аутентификации в систему передается идентификатор устройства и идентификатор пользователя ЕСИА, что позволяет серверу регистрации полностью идентифицировать пользователя и устройство.

Первая российская криптография в Google Play и App Store

На этом приключения не закончились. С точки зрения ФСБ, Google Play и AppStore не являются доверенными источниками, и приложения класса «Ключ Ростелеком» с их помощью распространять нельзя. Если же догружать модуль СКЗИ (средство криптографической защиты информации) «Ключ Ростелеком» в обычное приложение Ростелекома с доверенного источника, магазины приложений будут против. Потому что такие схемы стандартны для распространения троянов или шпионских модулей. И если Google Play нам пошел навстречу, то AppStore отказал категорически.

Теоретически есть еще один подход — устанавливать приложение с сервера самого Ростелекома. Но тогда мы приходим к парадоксу: для установки безопасного решения пользователям необходимо снизить защищенность среды, разрешив установку приложений из любых источников.

Мы потратили не одну неделю, обсуждая с регуляторами, как можно решить проблему. И в итоге нам удалось договориться, получить разрешение на распространение через Google Play и App Store приложения со встроенной в процесс работы российской криптографией.


КАК ФСБ ВПЕРВЫЕ ЗАПУСТИЛА РОССИЙСКУЮ КРИПТОВАЛЮТУ В МАГАЗИНАХ ПРИЛОЖЕНИЙ

От анализа факторов к анализу поведения

Хотя напрямую это и не касается приложения «Ключ Ростелеком», мы хотим еще немного рассказать о том, как именно верифицируются данные в Единой биометрической системе.

При анализе биометрических образцов одновременно используются разные биометрические процессоры с принципиально разными алгоритмами генерации и проверки шаблонов верификации. Если хотя бы один из них подозревает подмену, мы считаем это попыткой взлома и отправляем данные на анализ. Поэтому знать в деталях алгоритмику одного или даже пары процессоров будет недостаточно. На данный момент, к сожалению, это может привести к ошибкам верификации. Например, если у человека изменился голос, вокруг него мало света или много шума. Тем не менее лучше все равно перестраховаться: при появлении малейшего подозрения в обмане мы сообщаем об этом банку.


КАК ФСБ ВПЕРВЫЕ ЗАПУСТИЛА РОССИЙСКУЮ КРИПТОВАЛЮТУ В МАГАЗИНАХ ПРИЛОЖЕНИЙ

Параллельно мы применяем и вполне стандартные подходы к безопасности — например, ограничение на количество попыток входа. Если пользователь всегда входил в приложение из Москвы, а тут вдруг сначала поступил запрос из Бангладеш, а потом из Гонконга. Все это — повод посчитать профиль скомпрометированным.

В принципе, система позволяет выявлять и более сложные схемы мошенничества, с участием банковских сотрудников, собиравших биометрические данные. При обнаружении таких ситуаций мы блокируем нарушителя для всех банков и других организаций, использующих систему. В сложных случаях можно заблокировать всю биометрию, собранную банком.

Кто за кем следит?

По законам РФ биометрические данные (как и любую другая пользовательская информация) передаются следственным органам только по официальному запросу и по решению суда. Здесь действуют стандартные правила.

По умолчанию доступ к Единой биометрической системе имеет только ее оператор — Ростелеком. Банкам и любым другим организациям, с которыми сотрудничает пользователь, биометрические данные не предоставляются — организации получают лишь оценку результатов сравнения, вероятность того, что человек, осуществляющий вход в их мобильные приложения, совпадает с человеком, зарегистрированным в Единой биометрической системе.

Пока еще не все банки интегрированы с «Ключом Ростелекома». Систему биометрической аутентификации нельзя просто внедрить вместо личной явки. Переделать процессы на бэке банков с учетом скоринг-проверок — задача нетривиальная. Нужно организовать процесс так, чтобы клиент мог выбирать интересующие услуги банков еще до проверки личности.

Если вам интересна функциональность приложения, вы можете оценить ее с помощью демо-режима. « Ключ Ростелеком» сейчас доступен в Google Play и скоро появится в App Store.

Оцените статью