Инициатива на РОИ: сервис через ЕСИА. Закрепить порядок авторизации на сервисах через ГосУслуги
Помните то замечательное время, когда только только отключили авторизацию через подтверждение в СМС и заставили всех использовать наш "национальный" мессенджер для получения кодов доступа, а так же большую волну сообщений о взломе ГУ через мессенджер нетоварища Максурова?
Схема обычно одинаковая, не будем вдаваться в подробности, но факт в том, что после этого злоумышленники получают доступ к Госуслугам, оформляют кредиты, получают доступ к документам и создают человеку проблемы на месяцы вперед.
И проблема здесь не только в самих мошенниках.
Проблема в архитектуре, при которой государственная система идентификации начинает зависеть от внешней коммуникационной платформы.
Госуслуги — это не просто аккаунт для записи к врачу или оплаты штрафов. Через ЕСИА проходят документы, выплаты, доступ к государственным сервисам и юридически значимые действия. По сути, это основной государственный контур цифровой идентификации гражданина.
Мессенджер — это совершенно другой уровень доверия и другая модель безопасности. В большинстве случаев основой доступа там остается номер телефона. А номер телефона давно перестал быть надежным фактором защиты: SIM-swap, социальная инженерия, перехват SMS и компрометация аккаунтов уже стали массовой практикой.
Именно поэтому сама идея того, что доступ к государственным сервисам может оказаться связан с аккаунтом в мессенджере, выглядит крайне опасной. Я не против интеграции Госуслуг с платформами. Интеграция может быть полезной и удобной. Но направление доверия должно быть только одно:
можно авторизоваться в МАХ через Госуслуги, но нельзя делать наоборот.
Государственная система идентификации должна оставаться корневым источником доверия, а не превращаться в надстройку над частной коммуникационной платформой.
Поэтому я создал инициативу на РОИ:
https://www.roi.ru/148770/
Суть инициативы простая:
— закрепить ЕСИА как единственный государственный Identity Provider для государственных информационных систем;
— запретить использование мессенджеров как механизма авторизации в государственных сервисах;
— закрепить принцип «сервис через ЕСИА», а не «ЕСИА через сервис».
Речь идет о нормальной архитектуре доверия и безопасности государственной цифровой инфраструктуры.
Потому что если аккаунт в мессенджере становится точкой входа в государственные сервисы — то любая атака на мессенджер автоматически становится атакой на государственную инфраструктуру.
А попытки взлома Госуслуг через МАХ — это уже не теория. Это то, что происходит прямо сейчас.