В последний год польза от портала ГосУслуги ощущается как никогда раньше. Помимо получения знаменитого QR-кода, можно без очередей отправить заявление на документы или справки, оплатить штрафы, получить выписку из электронной трудовой и многое др.
Мало кто знает, что аккаунт на ГосУслугах используется для упрощенной регистрации и авторизации на сайтах гос. структур и некоторых коммерческих организаций, о пользе этой возможности мы хотим рассказать подробнее.
Почему ЕСИА безопасна
Безопасность ЕСИА обеспечивается государственными органами, что гарантирует сохранность ваших персональных данных при любых попытках их получить извне. Чаще всего злоумышленники получают доступ из-за невнимательности самого пользователя.
Чтобы обезопасить ваш аккаунт, воспользуйтесь чек-листом от Манимо:
- Настройте двухфакторную аутентификация на ГосУслугах и привязанной к порталу почте.
- Не используйте пароль как на других сайтах.
- Настройте оповещение о каждом входе в аккаунт на сайт ГосУслуг.
- Установить пин код на сим-карту, на случай потери телефона.
Это минимальный набор действий, который защитит ваши персональные данные.
Единая система идентификации и авторизации (ЕСИА) – это единственный способ верифицировать личность пользователя. Если продукт работает с деньгами, решает юридические задачи или работает с медицинскими данными, без интеграции с ЕСИА не обойтись. Рассказываем, что нужно знать, чтобы работать с этой инфраструктурой.
ЕСИА появилась в 2010 году и изначально использовалась для авторизации на Портале госуслуг. За прошедшее время возможности системы постоянно развивались, и сегодня коммерческие организации используют её, чтобы связывать учётные записи пользователя с их оффлайн-личностью.
То есть если компании нужно удостовериться, что по ту сторону экрана действительно тот человек, которым представился пользователь, ЕСИА предоставляет такую возможность. И самое главное – эта идентификация имеет юридическую значимость.
Злоумышленники, которые на прошлой неделе опубликовали 5000 строк, якобы полученных из базы портала Госуслуг, продолжили сливать данные. На этот раз были опубликованы еще 2000 строк, датированные периодом с 02 января 2022 года по 30 сентября 2022 года.
По данным специалистов Data Leakage & Breach Intelligence (DLBI), которые сообщили об этих инцидентах, данные, вероятно, были получены «благодаря» перебору идентификаторов пользователей Единой Системе Идентификации и Аутентификации (ЕСИА). Эксперты напоминают, что в конце прошлого года стало известно о сливе исходных кодов Регионального портала госуслуг Пензенской области, и в этих исходниках обнаружились ключам к сертификатам, которые используются для доступа к ЕСИА.
Аналитики DLBI пишут, что новый слив, произошедший в минувшие выходные, содержит такие же данные, как и первый:
- ФИО;
- email-адреса;
- телефоны;
- пол;
- даты рождения;
- адреса регистрации и фактического места жительства;
- паспорта (серия, номер, кем и когда выдан);
- СНИЛС;
- ИНН.
Напомню, что после первой утечки представители Минцифры опровергли информацию об утечке личных данных пользователей Госуслуг. Тогда в ведомстве ситуацию прокомментировали так:
По данным службы безопасности, эта база относится к одной из внешних онлайн-систем, использующих упрощенную идентификацию пользователей через Госуслуги. Эта система не имеет прямого доступа к полному набору данных пользователей».
Примерное время чтения: 3 минуты
На сайтах государственных услуг, как правило, пользователям требуется вводить свои персональные данные, например, информацию из паспорта, номера СНИЛС и ИНН, адрес электронной почты, номер мобильного и др. Если эти данные попадут в руки злоумышленникам, с их помощью можно будет совершить различные виды мошенничества. Однако сайты госуслуг пишут о высокой степени защиты информации пользователей. Так ли это на самом деле и стоит ли оставлять свои данные на таких порталах, АиФ.ru спросил у эксперта по информационной безопасности Андрея Прозорова.
«Всё зависит от того, насколько хорошо защищён сайт, насколько качественно спроектирована эта система. В последнее время в России ужесточается законодательство, связанное с информационной безопасностью. Соответствующие службы выпускают свои требования и рекомендации по защите, в том числе для государственных информационных систем. И если госорган проектировал сайт и учитывал эти требования и рекомендации, вероятность того, что его взломают и данные будут потеряны, минимальна. Инцидентов, связанных со взломом сайтов госуслуг, встречается очень мало. В целом я оцениваю безопасность таких порталов как достаточно высокую. Госорганы вкладывают большие деньги, чтобы защищать свои сайты», — отмечает Прозоров.
Однако эксперт не отрицает, что опасность всё же есть, но непосредственно с ресурсами госуслуг она не связана. Например, если человек оставит свои данные не на официальном сайте госуслуг, а на сайте мошенников. «Проблему для пользователей создают поддельные сайты, которые маскируются под сайты госуслуг. Злоумышленники их активно продвигают, отправляя по почте и через СМС на них ссылки, — отмечает Прозоров. — Поэтому здесь нужно руководствоваться стандартной рекомендацией: по возможности оставлять поменьше своих персональных данных на любых сайтах».
Также следует добавить, что защищённость информации пользователя на сайтах госуслуг зависит не только от уровня защиты их системы, но и от самого человека. При пользовании подобными ресурсами следует помнить о базовых принципах безопасности в интернете. В частности, необходимо иметь на устройстве антивирусную программу и вовремя ее обновлять, не следует устанавливать нелицензионные программы и посещать сайты сомнительного содержания. Нельзя сообщать пароли от входа в личный кабинет, каждый раз после его посещения следует выходить из своего аккаунта. Переходить в личный кабинет лучше с персонального компьютера, используя домашнее подключение к интернету. Делать это через общественный Wi-Fi не стоит.
Поддержите ОУЗС если вам был полезен наш материал
Поддержать
Аналитическая справка по проекту Постановления Правительства РФ «О проведении эксперимента по осуществлению идентификации и аутентификации с использованием федеральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» пользователей социальных сетей в сети «Интернет», а также пользователей агрегаторов информации о товарах (услугах) , информационных ресурсов подбора персонала и поиска работы, при совершении сделок и иных юридически значимых действий посредством указанных агрегаторов информации о товарах (услугах), информационных ресурсов подбора персонала и поиска работы»
08 июля 2020 года на сайте https://regulation.gov.ru был опубликован проект Постановления Правительства РФ «О проведении эксперимента по осуществлению идентификации и аутентификации с использованием федеральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» пользователей социальных сетей в сети «Интернет», а также пользователей агрегаторов информации о товарах (услугах), информационных ресурсов подбора персонала и поиска работы, при совершении сделок и иных юридически значимых действий посредством указанных агрегаторов информации о товарах (услугах), информационных ресурсов подбора персонала и поиска работы» (https://regulation.gov.ru/projects#npa=105741). Согласно ему с 1 июля 2020 г. по 1 июля 2021 г. планируется проведение эксперимента по идентификации и аутентификации с использованием федеральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» (ЕСИА) пользователей социальных сетей в сети «Интернет», а также потребителей (заказчиков) и продавцов (исполнителей), иных сторон договоров при использовании ими агрегаторов информации о товарах (услугах), информационных ресурсов поиска сотрудников и работы, в целях совершения сделок купли-продажи товаров (выполнения работ, оказания услуг), аренды имущества, совершения юридически значимых действий в целях трудоустройства и иных юридически значимых действий, посредством агрегаторов информации о товарах (услугах), информационных ресурсов поиска сотрудников и работы. П. 3 проекта Постановления рекомендует владельцам программ для электронных вычислительных машин и (или) сайтов в сети «Интернет», используемых для функционирования социальных сетей, владельцам агрегаторов информации о товарах (услугах), информационных ресурсов поиска сотрудников и работы, присоединившимся к проведению эксперимента, обеспечить готовность своих информационных систем, к взаимодействию с федеральной государственной информационной системой «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» посредством подключения таких информационных систем к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме.
Согласно Положению о проведении эксперимента, утверждаемого данным Постановлением Правительства РФ, целью эксперимента является обеспечение достоверной идентификации и аутентификации пользователей социальных сетей, повышение эффективности дистанционного взаимодействия пользователей агрегаторов между собой с целью совершения сделок купли-продажи товаров (выполнения работ, оказания услуг), аренды имущества, совершения юридически значимых действий в целях трудоустройства и иных юридически значимых действий посредством агрегаторов за счет повышения достоверности осуществляемых на агрегаторах действий, посредством использования федеральной государственной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» (п. 3). Что же касается задач эксперимента, то в качестве таковых провозглашаются:
4.1. Обеспечение возможности присоединения агрегаторов и информационных систем владельцев агрегаторов к единой системе идентификации и аутентификации, а также использования ими функционала указанной информационной системы, в том числе в целях осуществления достоверной идентификации и аутентификации пользователей, зарегистрированных в единой системе идентификации и аутентификации и получивших ключ простой электронной подписи при личной явке, в соответствии с правилами использования простой электронной подписи при оказании государственных и муниципальных услуг, устанавливаемых Правительством Российской Федерации, получения агрегаторами необходимых сведений о пользователях, в том числе в целях обеспечения заключения договоров купли-продажи товаров (выполнения работ, оказания услуг)), договоров аренды и совершения юридически значимых действий в целях трудоустройства и иных юридически значимых действий посредством агрегаторов.
4.2. Обеспечение возможности присоединения информационных систем владельцев социальных сетей к единой системе идентификации и аутентификации, а также использования ими функционала указанной информационной системы, в том числе в целях осуществления достоверной идентификации и аутентификации пользователей, зарегистрированных в единой системе идентификации и аутентификации и получивших ключ простой электронной подписи при личной явке, в соответствии с правилами использования простой электронной подписи при оказании государственных и муниципальных услуг, устанавливаемых Правительством Российской Федерации, получения социальными сетями, необходимых сведений о пользователях, в том числе в целях регистрации пользователей в социальных сетях и их дальнейшего использования пользователями.
4.3. Обеспечение возможности для пользователей, имеющих регистрацию в единой системе идентификации и аутентификации, в рамках которой подтверждена их личность, предоставлять необходимые сведения о себе для регистрации в социальных сетях и их использования, заключения договоров купли-продажи товаров (выполнения работ, оказания услуг), договоров аренды, дистанционного подписания таких договоров, совершения юридически значимых действий в целях трудоустройства и иных юридически значимых действий посредством агрегаторов.
4.4. Апробация возможности использования функционала единой системы идентификации и аутентификации путем идентификации и аутентификации пользователей в целях:
а) регистрации в социальных сетях и их последующего использования;
б) заключения договоров в отношении недвижимого имущества;
в) заключения договоров купли-продажи товаров (выполнения работ, оказания услуг);
г) заключения договоров аренды имущества;
д) заключения договоров купли-продажи транспортных средств;
е) совершения юридически значимых действий в целях трудоустройства и иных юридически значимых действий (п. 4 Положения).
Участниками эксперимента являются пять министерство и две федеральные службы РФ, а также владельцы программ для электронных вычислительных машин и (или) сайтов в сети «Интернет», используемых для функционирования социальных сетей (далее – владельцы социальных сетей) и владельцы агрегаторов информации о товарах (услугах), информационных ресурсов поиска сотрудников и работы (далее – владельцы агрегаторов, агрегаторы), обеспечивающие реализацию задач, предусмотренных пунктом 4 Положения. Провозглашается, что владельцы социальных сетей и владельцы агрегаторов участвуют в этом эксперименте на добровольной основе, однако государство, теоретически, вполне может сделать частным фирмам такое предложение, от которого будет трудно отказаться.
Проект данного нормативного акта представляет непосредственную угрозу правам и свободам граждан РФ. Согласно п. 4.1 ст. 14 Федерального закона от 27.07.2006 N 149-ФЗ (ред. от 03.04.2020) “Об информации, информационных технологиях и о защите информации” Правительство Российской Федерации определяет случаи, при которых доступ с использованием сети “Интернет” к информации, содержащейся в государственных информационных системах, предоставляется исключительно пользователям информации, прошедшим авторизацию в единой системе идентификации и аутентификации, а также порядок использования единой системы идентификации и аутентификации. С помощью проекта рассматриваемого Постановления Правительство РФ создает основу для возможности распространения подобного же порядка, фактически насильно принуждающего граждан к регистрации в ЕСИА, и в целом ряде случаев, когда физические лица взаимодействуют уже не с государственными органами, а частными фирмами. Для этого Правительство РФ выбрало такие важные, если не сказать жизненно важные для граждан сферы, как общение в социальных сетях, заключения договоров в отношении как движимого, так и недвижимого имущества и поиск работы. Как отмечают исследователи, ЕСИА — одна из наиболее важных систем в инфраструктуре «Электронного правительства». «В «идеальной модели» с точки зрения Минкомсвязи, при любом электронном взаимодействии государства с гражданами авторизация должна проходить через ЕСИА». Зарегистрированные в ней граждане со временем смогут пользоваться большинством государственных услуг, не отходя от компьютера, а государство с ее помощью сформирует электронный реестр активного населения, который будет содержать не только паспортные данные или идентификационные номера (СНИЛС, ИНН), но и актуальные мобильные телефоны и адреса электронной почты. При этом с самого начала предполагалось, что ЕСИА может быть использована для идентификации и аутентификации на других интернет-порталах. Несмотря на заявленную цель создания больших удобств для населения при взаимодействии с госорганами, глобальной целью ЕСИА с точки зрения государства может являться тотальный контроль над своими гражданами. Экс-гендиректор Google Эрик Шмидт и глава Google Ideas Джаред Коэн в своей книге «Новый цифровой мир. Как технологии меняют жизнь людей, модели бизнеса и понятие государств» предсказывали эту возможность: «Некоторые правительства, решив, что иметь тысячи анонимных, бесконтрольных и непроверенных граждан — «подполье» — слишком рискованно, захотят узнать, кто скрывается за каждым онлайн-аккаунтом, и потребуют верификации на государственном уровне для усиления контроля над виртуальным пространством». Виртуальная личность человека, по мнению Шмидта и Коэна, «станет целым созвездием профилей, созданных в интернете, которое будет верифицироваться и даже регулироваться властями». (Левашов А. Идентификация всея Руси. Как это будет? // https://www.cnews.ru/articles/identifikaciya_vseya_rusi_kak_eto_budet). В этом отношении стремление Правительства РФ с помощью рассматриваемого документа в первую очередь с помощью ЕСИА установить регистрацию граждан в социальных сетях и их последующего использования становится вполне объяснимой. Аналогичным образом становится понятным и его стремление привлечь к этому владельцев социальных сетей и владельцев агрегаторов. При этом следует иметь в виду еще одно немаловажное обстоятельство. Если, согласно пп. «в» п. 3 Стратегии развития информационного общества в Российской Федерации на 2017 – 2030 годы (утв. Указом Президента РФ от 9 мая 2017 г. № 203), государство, по крайней мере теоретически, обязано обеспечить «сохранение традиционных и привычных для граждан (отличных от цифровых) форм получения товаров и услуг», то частные фирмы подобного обязательства не несут. Соответственно, владельцы социальных сетей и владельцы агрегаторов могут, не нарушая закон, потребовать обязательной идентификации и аутентификации пользователей с использованием ЕСИА. Вопрос заключается в том, как принудить к этому частные фирмы, но, как говорилось выше, государство для этого обладает достаточно широкими возможностями. Если владельцы социальных сетей и владельцы агрегаторов станут участвуют в этом эксперименте «добровольно», то многие десятки и сотни тысяч, а то и миллионы пользующихся этими сетями людей будут вынуждены регистрироваться на ЕСИА вне зависимости от своего желания либо отказаться от использования данных сетей. Т.о., реальное или вынужденное согласие юридических лиц участвовать в данном эксперименте повлечет для использующих их продукцию граждан принуждение к регистрации. В данном случае нет принципиальной разницы от того исходит ли это принуждение от государства или от владельцев социальных сетей и агрегаторов – принуждение в любом случае остается принуждением. Хотя проект Постановления Правительства РФ говорит о добровольном участии владельцев социальных сетей и владельцев агрегаторов в этом эксперименте, однако едва ли приходится сомневаться в том, что, в случае положительного исхода эксперимента, принцип добровольности по отношению к ним легко может быть заменен на принцип обязательности.
Если речь идет о тотальном контроле в цифровой сфере, то о принципе добровольности не может быть и речи. О том, что и рассматриваемый проект Постановления Правительства РФ направлен на установление тотального контроля над гражданами, свидетельствует то, что участниками эксперимента со стороны государства помимо Министерства цифрового развития и Министерства экономического развития являются также Министерство внутренних дел и Федеральная служба безопасности Российской Федерации (п. 2 Положения о проведении эксперимента). Все эти планы грубо нарушают Конституцию РФ. Часть 1 ст. 23 Конституции закрепляет право каждого на неприкосновенность частной жизни, личную и семейную тайну. Часть 1 ст. 24 Конституции РФ устанавливает прямой запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия. С учетом того, что в социальных сетях люди также обмениваются информацией, то планы Правительства РФ нарушают и статью 29 Конституции, гарантирующей свобода мысли и слова, а также положение, согласно которому «каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом». Если право доступа в социальную сеть будет обусловлено фактом регистрации в ЕСИА, то ни о каких правах свободного поиска, получения, передачи, производства и распространения информации не может быть и речи.
Следует также обратить внимание на вектор движения, который задает анализируемый проект Постановления Правительства РФ, если рассматривать вопрос обязательной идентификации пользователей Интернета в мировом масштабе. Хотя в каждом государстве могут быть свои особенности, однако в целом отчетливо просматриваются два противоположных подхода к решению этого вопроса. На одном полюсе сосредоточились преимущественно авторитарные режимы. Так, например, принятый еще в октябре 2016 года Закон о кибербезопасности КНР фактически исключает анонимность пользователей «глобальной паутины»: «При регистрации доступа в интернет, регистрации в социальной сети, подключении стационарного телефона или мобильной связи, предоставлении клиенту услуг публикации информации или ее передачи, при подписании соглашения (об оказании услуг) клиент должен предоставить подлинное удостоверение личности. Если оно не будет предоставлено, то оператор услуг не имеет права на обслуживание клиента». При этом «государство принимает стратегию по разработке технологий и созданию надежных средств удостоверения личности, а также их взаимного признания». (Кириллов А., Селищев А. Кибербезопасность по-китайски: в КНР вступает в силу новый закон об интернете // https://tass.ru/mezhdunarodnaya-panorama/4290068). Впоследствии он был дополнен обязательной идентификации личности для написания комментариев в интернете (Китай вводит обязательную идентификацию личности для написания комментариев в интернете // https://tass.ru/obschestvo/4506826). По этому же пути с 2018 г. пошла и Белоруссия (Белоруссия с 1 декабря введет обязательную идентификацию интернет-пользователей // https://www.interfax.ru/world/640222). Очевидно, что в обеих странах обязательная идентификация интернет-пользователей обусловлена стремлением государства к тотальному контролю за своими гражданами и их высказываниями в первую очередь по политическим темам. Прямо противоположный подход наблюдается в ЕС, где Комитет Министров 28 мая 2003 года в Страсбурге принял особую «Декларация о свободе общения в Интернете», седьмой принцип которой прямо провозглашает право интернет-пользователей на анонимность: «В целях обеспечения защиты Интернета от контроля и расширения свободного выражения идей и информации, государства-члены должны уважать желание пользователей Интернета не раскрывать свою личность. Это не мешает государствам-членам принимать меры и осуществлять сотрудничество в целях установления лиц, виновных в преступных деяниях, в соответствии с национальным законодательством, Конвенцией о защите прав человека и основных свобод и другими международными соглашениями между правоохранительными органами и органами юстиции» (Декларация о свободе общения в Интернете // http://medialaw.asia/document/-2358). «Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС» (Общий Регламент о защите персональных данных / General Data Protection Regulation /GDPR) особо подчеркивает: «(28) Применение псевдонимизации в отношении персональных данных может снизить риски для субъектов данных и помочь контролерам и лицам, обрабатывающим данные, при выполнении ими своих обязанностей по защите данных». Подобные положения зафиксированы и на уровне законодательств отдельных стран. Так, например, в соответствии с §13 ст. 6 Закона ФРГ о телемедиа (Telemediengesetz), поставщики услуг массовых электронных коммуникаций (включая веб-сайты) должны предоставлять пользователям возможность оставаться неизвестными или использовать псевдоним насколько это технически возможно и разумно (Михайлов C.В. Анонимность в Интернете // http://ipcmagazine.ru/legal-issues/anonymity-on-the-internet). Этими же принципами в целом руководствуется и европейская судебная практика. Европейский суд по правам человека, рассмотрев дело «Компания «Делфи АС» против Эстонии» (жалоба № 64569/09, постановление от 16 июня 2015 г.), указал, что поставщик услуг может «предусмотреть более высокую степень анонимности для своих пользователей. В этом случае от пользователей не требуется сообщать о себе вообще никаких сведений и их можно установить в ограниченной степени только по данным, сохранившимся у интернет-провайдера. Обычно такие данные сообщаются только по запросу следственных или судебных органов и на ограничительных условиях. Тем не менее, в некоторых случаях это может быть необходимо для установления правонарушителей и привлечения их к ответственности» (Наумов В.Б. Научные подходы к классификации видов правовой идентификации в информационных правоотношениях // https://cyberleninka.ru/article/n/nauchnye-podhody-k-klassifikatsii-vidov-pravovoy-identifikatsii-v-informatsionnyh-pravootnosheniyah). Отметив, что Интернет является общественно важным ресурсом, Совет Европы в своей «Рекомендации CM/Rec(2014)6», особо подчеркнул, что «никто не должен подвергаться незаконному, произвольному или необоснованному вмешательству в свои права и основные свободы при использовании сети Интернет» (ст. 3). В связи с рассматриваемой темой важным являются и положения ст. 2 данной «Рекомендации», которая гласит: «Обязательство государств уважать, защищать и поддерживать права человека включает в себя надзор за частными компаниями. Права человека, являющиеся универсальными и неделимыми, а также связанные с ними стандарты, превалируют над общими требованиями и условиями, которые налагаются на интернет-пользователей любыми субъектами частного сектора». (Руководство по правам человека для интернет-пользователей. Совет Европы, 2014. С. 5). Несмотря на наличие в законодательствах отдельных государств двух прямо противоположных тенденций, позиция Организации Объединенных Наций в целом явно ближе к европейскому, чем китайскому варианту. Совет по правам человека ООН провел заседание, на котором было отмечено, что анонимное использование интернета и использование шифрования личных данных и средств коммуникации являются неотъемлемым правом человека. Об этом говорится в опубликованном документе, принятом по итогам заседания. Члены совета пришли к выводу, что анонимность в интернете — один из важных инструментов, позволяющий в цифровую эпоху свободно высказывать свое мнение (ООН признала анонимность в интернете правом человека //). К сожалению, эти положения Совета по правам человека ООН носят рекомендательный, а не обязательный характер.
В связи с вышеизложенным просим принять все возможные меры для отклонения проекта Постановления Правительства РФ «О проведении эксперимента по осуществлению идентификации и аутентификации с использованием федеральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» пользователей социальных сетей в сети «Интернет», а также пользователей агрегаторов информации о товарах (услугах), информационных ресурсов подбора персонала и поиска работы, при совершении сделок и иных юридически значимых действий посредством указанных агрегаторов информации о товарах (услугах), информационных ресурсов подбора персонала и поиска работы», который грубо нарушает Конституцию безопасности Российской Федерации и угрожает правам и свободам ее граждан.
Какие возможности открывает такая идентификация
1. Клиент может подписывать юридически значимые электронные документы, получать защищённый доступ к конфиденциальной информации, медицинским данным и т.д.
2. Появляется возможность автоматически заполнять в анкетах и заявках персональные данные клиента: ФИО, данные паспорта, ИНН, информация о детях и др. При этом компания может быть уверена, что эти данные абсолютно верны и правдивы.
3. Страховые компании и банки могут продавать через приложение свои продукты. И никаких расходов, которые связаны с традиционными, оффлайновыми каналами продаж – не нужно собирать документы, приглашать человека в офис, достаточно разработать скрипт для колл-центра.
4. Для пользователя верификация с ЕСИА повышает доверие к сервису и делает саму процедуру удобнее – не нужно помнить дополнительные пароли, просто нажимаешь знакомую кнопку и всё.
В наших проектах интеграция ЕСИА активно используется в продуктах страховых компаний. Это позволяет клиентам покупать полисы ОСАГО, отправлять извещения о ДТП при оформлении заявок на урегулирование убытков. Это критически важная функция для сценариев заявления о страховых случаях по ОСАГО, когда пользователь не является клиентом данной страховой компании.
Хотя сейчас к ЕСИА могут подключиться не все организации, можно ожидать, что такая авторизация скоро станет де-факто стандартом для пользовательских сервисов. Просто потому, что это надёжно и удобно для клиентов – вместо отдельной учётной записи для каждого ресурса можно использовать единый аккаунт «Госуслуг» и бесшовно пользоваться любыми нужными услугами. Поэтому задумываться об интеграции стоит всем компаниям.
Причём здесь ЕСИА?
На коммерческих сайтах, авторизацию через ГосУслуги можно встретить только у страховых компании, кредитных организаций (банков), профессиональных участников рынка ценных бумаг, негосударственных пенсионных фондов, микрофинансовых и микрокредитных организациях, а также операторов связи.
Как информационная система работает с ЕСИА
ЕСИА является прослойкой между стандартным содержанием приложения и его защищёнными данными. Если пользователю не требуются услуги, которые требуют верификации личности, он может не проходить дополнительную авторизацию. Когда же он захочет попасть в этот раздел, приложение переадресует его на Портал госуслуг, а после успешной авторизации – вернёт обратно.
Технически процесс выглядит так:
1. Пользователь обращается к защищённому ресурсу информационной системы (например, при онлайн-покупке полиса ОСАГО).
2. Информационная система направляет в ЕСИА запрос на аутентификацию.
4. После успешной аутентификации ЕСИА передаёт в информационную систему пакет с идентификационными данными пользователя, информацию об уровне его учётной записи и контексте аутентификации.
5. На основании этой информации система открывает пользователю доступ.
Как организации подключиться к ЕСИА
Процедура подключения занимает около месяца. Это время включает регистрацию необходимых аккаунтов, получение данных от Минцифры, работы по интеграции ИС.
1. Зарегистрируйте руководителя организации на Портале госуслуг. Регистрировать компании в ЕСИА могут только те их представители, которые вправе действовать без доверенности. Им понадобится подтверждённая учётная запись физического лица – т.е. нужно будет не только указать свои данные, но и обратиться в банк или МФЦ для верификации. В последнее время многие банки позволяют сделать это онлайн, через их приложения.
2. Зарегистрируйте вашу организацию.
a. Получите квалифицированную электронную подпись (КЭП) на руководителя организации.
b. Зарегистрируйте юридическое лицо в профиле ЕСИА.
c. Оформите КЭП для юридического лица.
Оформлением КЭП занимаются аккредитованные удостоверяющие центры. Подробная инструкция по этому процессу здесь.
3. Зарегистрируйте информационную систему в ЕСИА.
Регистрация системы происходит через технологический портал. Доступ к нему может получить один из сотрудников компании – действовать через аккаунт представителя уже не обязательно. Этот процесс подробно расписан в Руководстве пользователя технологического портала ЕСИА. В результате регистрации информационная система заносится в реестр ИС и получает мнемонический буквенно-цифровой код.
4. Доработайте систему для обмена данными с ЕСИА.
Аутентификация пользователей в ЕСИА происходит по OAuth 2.0 и OpenID Connect 1.0. Компании необходимо сгенерировать закрытый ключ и сертификат открытого ключа, зарегистрировать его на технологическом портале. Стоит отметить, что ЕСИА поддерживает только российские алгоритмы шифрования ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.
Стоит отдельно отметить, что если в компании уже используются средства верификации пользователей посредством Single Sign-On, то особых технических трудностей при подключении к ЕСИА не будет.
5. Подключитесь к тестовой среде ЕСИА
6. Подключитесь к промышленной среде ЕСИА
Преимущества ЕСИА
Авторизация на сайтах через ЕСИА
