Подкомиссия по использованию ИТ при предоставлении государственных услуг правительственной комиссии по информационным технологиям подготовила протокол, лейтмотив которого – привязка бесплатного доступа к беспроводным сетям интернет к порталу госуслуг. В частности, речь идет о том, чтобы рекомендовать регионам предоставлять гражданам доступ к публичным сетям Wi-Fi только после авторизации в Единой системе идентификации и авторизации (ЕСИА).
В Минкомсвязи связывают инициативу с задачей популяризировать ЕСИА через функционал портала госуслуг, пишут «Известия». Система хранит все данные о пользователе, включая ФИО, данные паспорта и медицинской карты, сообщения ведомств, извещения о штрафах ГИБДД и пр.
Согласно данным Минкомсвязи, к началу сентября 2017 года количество зарегистрированных в ЕСИА граждан достигло 55.5 млн.
По Вашему мнению, насколько безопасным будет подключение к публичной сети Wi-Fi путем авторизации в ЕСИА?
Со стороны конечного пользователя метод аутентификации через ЕСИА (Единую систему идентификации и авторизации) на данный момент является менее безопасным и спорным с точки зрения универсальности – по сравнению с номером мобильного телефона или паспортом – по ряду причин.
Метод аутентификации ЕСИА не требует ввода дополнительной проверочной информации, как в случае с вводом пароля из SMS или предъявления паспорта, – удобно, но менее безопасно.
Идентификатор ЕСИА, в отличие от номера мобильного телефона или паспорта, есть далеко не у каждого. Его сложно запомнить, многие будут его записывать и носить с собой, а это значит, его будет легче украсть и/или подсмотреть, – неудобно, но менее безопасно.
Если паспорт или мобильный телефон потерян или украден, пользователь заметит/поймёт это в кратчайшие сроки. Если же учётные данные ЕСИА будут похищены, пользователь об этом даже не догадается и не узнает.
Важно упомянуть, что безопасность самой среды передачи данных в публичных сетях, не требующих ввода пароля на этапе подключения к Wi-Fi, не зависит от метода последующей аутентификации пользователя.
Как уберечь личные данные от кражи в случае принятия протокола?
Что касается персональной ответственности пользователя, необходимо внимательно относиться к безопасности персонального устройства: не игнорировать и внимательно читать различные предупреждения в веб-браузере; своевременно обновлять антивирусные базы; не пользоваться сомнительными интернет-ресурсами. Тем самым можно свести к минимуму возможную кражу учётных данных через нелегитимное программное обеспечение.
Не стоит держать свои учётные данные ЕСИА в открытом доступе (блокнот в компьютере или телефоне, просто запись ручкой на бумаге). Пользователь должен понимать, что в случае кражи учётных данных ЕСИА злоумышленник от его имени может осуществлять противоправные действия в сети интернет.
Что касается ответственности организаций, предоставляющих публичный Wi-Fi, вне зависимости от метода аутентификации необходимо заботиться о безопасности беспроводной среды. К примеру, противодействовать атакам, позволяющим злоумышленнику перехватывать через себя весь трафик пользователей, используя имя легитимной публичной Wi-Fi сети. Успешное осуществление таких атак может отрицательно сказаться на репутации организации и лояльности её клиентов/пользователей.
По Вашему мнению, насколько безопасным будет подключение к публичной сети Wi-Fi путем авторизации в ЕСИА?
По сути, в вопросах безопасности человеческий фактор является ключевым. Это значит, что введение обязательной авторизации с помощью ЕСИА может привести к большей вероятности социальных атак на пользователей. Например, подняв фальшивую Wi-Fi сеть, атакующий может завладеть, теоретически, любыми данными неосведомленных пользователей. Если человек сам отдаст свою электронную цифровую по́дпись (ЭЦП) злоумышленнику, то никакие технические средства не помогут. Ввиду такого поворота событий, популяризация ЕСИА должна отходить на второй план перед вопросами безопасности системы. В сравнении с авторизацией через ЕСИА, авторизация по номеру телефона является более быстрым и удобным методом.