Как обезопасить лк госуслуги

Как защитить свой аккаунт на «Госуслугах»

Наши персональные данные на портале «Госуслуги» находятся под надежной защитой: их никому не передают без нашего согласия. Но к их безопасности стоит подходить серьезно, даже если вы пользуетесь ими не очень часто. Ведь иногда злоумышленники могут получить доступ к вашему почтовому ящику или даже взломать личный аккаунт. Чаще всего это происходит из-за низкого уровня защиты и неосторожных действий самого владельца учетной записи.

gosuslugi-2

Персональные данные пользователей портала gosuslugi.ru хранятся в Единой системе идентификации и аутентификации (ЕСИА). Это федеральная государственная информационная система, созданная для обеспечения санкционированного доступа участников информационного взаимодействия к информации, содержащейся в государственных информационных системах, муниципальных информационных системах и иных информационных системах. Данная система так же, как и портал госуслуг, аттестована по требованиям ФСТЭК на обработку конфиденциальной информации и персональных данных и реализована с помощью решений, прошедших сертификацию в ФСБ, что гарантирует полное соответствие требованиям законодательства РФ о защите персональных данных, в частности требованиям Федерального закона №152 ФЗ о защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Однако необходимо помнить, что безопасность определяется не только уровнем защиты портала, но и уровнем защиты вашего рабочего места, с которого осуществляется доступ. И если злоумышленник получит доступ к вашему аккаунту на «Госуслугах», он сможет действовать от вашего имени не только на самом портале, но и за его пределами. Речь идет не о мелких пакостях, а об очень серьезных вещах. Например, на вас могут оформить кредит. Или зарегистрировать на ваше имя фирму, проводящую сомнительные операции. Или распорядиться вашей собственностью на свое усмотрение.

Как защитить свой аккаунт

Портал «Госуслуги» предлагает несколько инструментов для защиты вашего аккаунта. Они также позволяют вам вовремя узнать о попытке взлома.

1. Используйте уникальный пароль

«Госуслуги» требуют от вас придумать длинный и сложный пароль, чтобы его было труднее подобрать. Однако сервис никак не может проверить его уникальность. Если вы воспользуетесь тем же самым паролем, которым защитили электронную почту и еще десяток аккаунтов на других сервисах, то утечка данных с любого из них поставит ваши документы под угрозу.

Поэтому для такого важного аккаунта, как на «Госуслугах», не только рекомендуется, но и жизненно необходимо придумать уникальный пароль. А чтобы вы не боялись его забыть, есть несколько советов по составлению и запоминанию паролей. Больше идей можно найти в статье про надежные пароли. И, конечно, всегда можно подстраховаться и сохранить его в менеджере паролей.

2. Включите оповещения о входе в ваш аккаунт Госуслуг

Если вы включите оповещения, то после каждого успешного входа вам придет письмо на электронную почту. Так вы узнаете, если кто-либо, кроме вас, получит доступ к аккаунту, и сможете своевременно поменять пароль. Чтобы включить уведомления о входе:

Нажмите на свою аватарку и в открывшемся меню выберите Личный кабинет.
На главной странице личного кабинета откройте вкладку Настройки.
Нажмите Настройки безопасности.
В блоке Оповещения о входе поставьте флажок Присылать уведомление на электронную почту.

3. Задайте контрольный вопрос

Контрольный вопрос — это дополнительная мера защиты от попыток посторонних сменить пароль от вашего аккаунта. Но стоит помнить, что контрольный вопрос не защитит вас, если ответ на него легко угадать или найти в Интернете. Важно, чтобы его знали только вы, причем могли в любой момент его вспомнить.

Чтобы задать контрольный вопрос:

Нажмите на свою аватарку и в открывшемся меню выберите Личный кабинет.
На главной странице личного кабинета откройте вкладку Настройки.
Нажмите Настройки безопасности.
Выберите Задать контрольный вопрос.
Введите вопрос, ответ на него и пароль.
Нажмите Сохранить вопрос.

4. Включите двухэтапную проверку входа

После включения двухэтапной проверки, чтобы войти в вашу учетную запись, злоумышленнику потребуется ввести не только пароль, но и одноразовый SMS-код, который придет на ваш телефон. Таким образом, вы будете в относительной безопасности, даже если ваш пароль украдут. Заодно вы вовремя узнаете о том, что пароль попал не в те руки, и сможете оперативно сменить его.

Чтобы включить двухэтапную проверку:

Нажмите на свою аватарку и в открывшемся меню выберите Личный кабинет.
На главной странице личного кабинета откройте вкладку Настройки.
Нажмите Настройка безопасности.
Выберите Включить двухэтапную проверку входа.
Введите пароль от аккаунта и нажмите Включить.

5. Включите вход с помощью электронной подписи

Если вы пользуетесь квалифицированной электронной подписью, можно применять ее и для входа в аккаунт. Этот метод надежнее SMS-кодов: перехватить сообщение с одноразовым кодом проще, чем подделать подпись.

Нажмите на свою аватарку и в открывшемся меню выберите Личный кабинет.
На главной странице личного кабинета откройте вкладку Настройки.
Нажмите Настройки безопасности.
Выберите Включить вход с помощью электронной подписи.
Введите пароль от аккаунта и нажмите Включить.

Если электронной подписи у вас нет, безопаснее отказаться от этой опции: без ЭЦП она бесполезна, а включая ее, вы теряете возможность получать коды через SMS.

Что еще важно знать

Как видите, настроек безопасности на «Госуслугах» не так много, и разобраться в них совсем не сложно. Кроме этого, чтобы защитить свои данные следуйте простым рекомендациям:

Медвежья госуслуга: почему важно защищать аккаунт на портале

Эксперты рассказали о важности защиты аккаунтов на портале «Госуслуги». В случае взлома преступники могут оформить на человека займы и кредиты, снять деньги с его банковских карт и даже переписать имущество на других людей. «Известия» выяснили, как безопасно пользоваться этим приложением и как понять, что в него заходят злоумышленники.

Правила защиты

В Роскомнадзоре рассказали о правилах защиты аккаунтов на «Госуслугах». В первую очередь, важно включать в приложении двухфакторную аутентификацию, отметил замглавы ведомства Милош Вагнер.

По словам Вагнера, чаще всего аккаунты крадут путем простого подбора пароля (многие пользователи, например, ставят дату своего рождения). Поэтому важно выбирать более сложный пароль и ставить дополнительную защиту профиля, когда для входа нужно подтверждение через почту или телефон.

— Для совершения мошеннических операций достаточно вести логин и пароль. Поэтому мы рекомендуем, пока ничего не произошло, включить второй фактор аутентификации. (…) Завладеть двумя ключами сложнее, — сказал Милош Вагнер.

госуслуги

Помимо того, он посоветовал россиянам время от времени проверять на «Госуслугах» бюро кредитных историй. Каждый пользователь может бесплатно запросить такую услугу два раза в год и выяснить, не оформлены ли на его имя какие-то займы.

Как правило, люди узнают, что стали жертвами преступников, на той стадии, когда на их имя уже оформили кредит или от их имени провели какие-то сделки. Именно поэтому важно защищать свои профили и проверять, нет ли в них подозрительной деятельности, подчеркнул замглавы Роскомнадзора.

Важный аккаунт

Защищать аккаунт на «Госуслугах» важнее, чем любой другой, ведь там содержатся данные почти всех документов гражданина: паспорта, СНИЛС, ИНН, сведения о недвижимости в собственности и автомобиле, говорит в беседе с «Известиями» эксперт платформы «Народного фронта» «Мошеловка» Александра Пожарская. Этот инструмент позволяет дистанционно, без обращения в органы власти и МФЦ совершать онлайн множество действий, меняющих жизнь человека.

— Портал дает широчайшие возможности, и с каждым годом их становится больше, — говорит Пожарская. — Честным гражданам «Госуслуги» экономят много времени и сил, а злоумышленникам, к сожалению, облегчают их промысел.

вайфай

По ее словам, чаще всего мошенники получают доступ к аккаунту жертвы с помощью фишинга, методов социальной инженерии, взлома с применением специальных программ — троянов, крадущих данные, или же поддельных Wi-Fi-сетей, к которым можно подключиться бесплатно.

— Если говорить о социальной инженерии, мошенники применяют свой старый прием: звонят потенциальной жертве на мобильный, представляются сотрудником «отдела безопасности», пугают тем, что данные человека пытаются украсть, а затем требуют озвучить код из SMS, который приходит на мобильный, — добавляет адвокат московской коллегии адвокатов «Бородин и партнеры» Владислав Шурховецкий.

Именно поэтому, отмечает он, важно не разговаривать по телефону с незнакомцами и не называть никакие ценные данные — особенно, паспортные, платежные и, разумеется, пароли.

В руках мошенников

Получив доступ к чужому аккаунту на «Госуслугах», преступники могут совершить разные махинации с деньгами или имуществом человека, говорит Владислав Шурховецкий. Чаще всего мошенники берут на имя своей жертвы кредиты.

карты

— С помощью доступа к личному кабинету они могут авторизоваться в аккаунтах банков и других кредитных организаций, — объясняет адвокат. — В большинстве случаев им выдают не более 15 тыс. рублей, потому мошенники одновременно оформляют заявки на большое количество таких кредитов.

Помимо того, преступники могут завладеть доступом к банковской карте человека и вывести с нее деньги или отвязать от номера телефона (а затем снова взять кредит), переоформить имущество на третьих лиц или зарегистрировать на имя жертвы фиктивный бизнес, добавляет юрист Ирина Минина.

— В итоге, помимо утраты денег, жертва получит испорченную кредитную историю, огромные задолженности перед банками, длительные разборки с ФНС, а иногда и уголовное производство по факту мошенничества (если на его имя откроют ИП), — отмечает юрист.

Всю личную информацию, полученную при краже аккаунта (например, состав семьи человека, уплаченные налоги, штрафы), преступники «сливают» для составления баз, которыми торгуют в даркнете. А затем люди, пострадавшие от взлома, смогут стать жертвой уже новых мошенников, чаще всего телефонных.

хакер

По словам Александры Пожарской, масштаб последствий для владельцев аккаунтов и их семей зависит лишь от фантазии и умений злоумышленника. К примеру, в практике «Мошеловки» несколько раз встречались случаи открытия юридических лиц на имя жертв таких взломов с последующим предъявлением претензий уже и со стороны государства.

— Людей обвиняли неуплате налогов, отмывании доходов, в том же мошенничестве, но уже в особо крупных размерах, в контрабанде, незаконной торговле и прочем, — говорит собеседница «Известий».

Самая большая проблема в таких ситуациях — доказать, что неправомерные действия на портале «Госуслуг» совершал не сам человек, а взломщик, подчеркивает Ирина Минина. Поэтому еще одним последствием взлома могут стать продолжительные судебные процессы и выматывающие допросы в правоохранительных органах.

Правила хорошего пароля

Для того чтобы защитить свой аккаунт на «Госуслугах», важно придумать уникальный пароль и не использовать его больше нигде, говорит Александра Пожарская. Ведь в случае если преступники, к примеру, взломают профиль в соцсетях, они попробуют ввести ту же комбинацию.

Сам пароль от «Госуслуг» и прочих сервисов Пожарская не рекомендует хранить на устройстве. Лучше придумать такую комбинацию, которая останется в памяти (но при этом не будет простой). Пароль лучше менять не реже чем раз в полгода, а также в случае, если аккаунт пытались взломать (например, если пришло сообщение с кодом, который не запрашивался владельцем аккаунта).

госуслуги

— Распространенная ошибка — хранить логины и пароли в облачных хранилищах или сохранять в браузере, чтобы не забыть. Но там их могут украсть мошенники, — отмечает собеседница «Известий». — Кроме того, лучше не использовать имена, фамилии и даты рождения близких. Намного безопаснее вспомнить строчку из любимой песни или девиз спортивной команды, добавить несколько цифр и символов, которые понятны только владельцу профиля.

В случае если человек использует двухфакторную авторизацию и вводит код из SMS на сайте, важно внимательно сверить символы в адресной строке: это должен быть официальный адрес портала gosuslugi.ru.

Также защитить профиль человека можно с помощью биометрии (тогда для входа на портал потребуется используются видеозапись лица и голос владельца профиля, а приложение будет называться «Госуслуги.Биометрия») или электронной подписи. Последнюю можно создать в специальных центрах, список которых размещен на сайте Минцифры. Юрист Ирина Минина также советует включать оповещения о входе в аккаунт: на электронную почту человека будут приходить мгновенные уведомления, и он сможет понять, что его взломали.

В случае если человек подозревает, что кто-то получил доступ к его профилю на «Госуслугах» (например, приходят оповещения о подозрительной активности или он не может восстановить доступ к аккаунту), юрист Владислав Шурховецкий советует сразу позвонить по телефону горячей линии и обратиться в ближайший центр обслуживания клиентов, взяв с собой паспорт и СНИЛС. Также стоит обратиться с заявлением в правоохранительные органы.

госуслуги

— Восстановить доступ в «Госуслуги» очень важно, поскольку через меню поданных заявлений можно проверить, какую именно информацию успели запросить злоумышленники, а также проверить, оформили ли они кредит, через раздел «Сведения о бюро кредитных историй», — заключает эксперт.

«Безопасность» Госуслуг: пока кто-то развенчивает мифы, вот вам реальность

А вы знаете, что электронная подпись юридического лица дает возможность заходить на «Госуслуги» под видом частного лица и . делать все, что угодно (в рамках возможностей ЛК), например, смотреть личные данные (недвижимость, обращения, налоги) и т. п.?

Как это проверить и как я про это узнал: оформил новую ЭП (кстати, термин ЭЦП давно выведен законодательством из обращения) на руководителя (себя). Решил проверить ее работоспособность. На токене размещена только одна подпись (сертификат), других нет. При заходе на портал «Госуслуги» выбираю «Войти с электронной подписью»:

После этого мне отображается перечень всех личных кабинетов, в которые я могу зайти (то есть всех организаций, где я являюсь руководителем, а также ссылка на доступ в личный кабинет физического лица, в терминологии портала – «частное лицо»):

Я попробовал: действительно, могу заходить во все организации, в ЛК «частного лица» и видеть всю доступную информацию, а также совершать различные действия. Например, можно видеть всю доступную в профиле информацию (привязанный телефон, личный адрес электронной почты и т. п.):

Также можно просмотреть все заявления, ответы на обращения, возможно, заказать какую-нибудь госуслугу (но я не стал пробовать).

Возможно (возможно), при оформлении какой-нибудь из них потребуется подпись физического лица, и тогда сделать по подписи ЮЛ не получится (но это не точно).

Кто-то может сказать: ну и что тут такого, ведь речь об одном и том же человеке, что тут страшного.

Ну, во-первых, считаю, статусы у этих подписей все-таки разные, и нехорошо по ЭП одной организации давать доступ к другой организации и, тем более, к данным физлица.

А во-вторых, и это самое, на мой взгляд, главное: подавляющее большинство организаций, причём неважно, со штатным бухгалтером или бухгалтерией на аутсорсе, подает всю отчетность (в налоговую, ФСС и т. п.) по подписи руководителя.

Просто потому, что нормального механизма с электронными доверенностями нет (насколько я знаю, поправьте, если не прав). То есть надо оформлять доверенность на сотрудника, как правило, в бумажном виде, отвозить в налоговую и тогда, возможно, получится отправлять электронную отчетность по электронной подписи сотрудника. При чем для каждого из органов, куда сдается отчетность, нужно оформлять свою доверенность.

Помнится, несколько лет назад я просил пойти бухгалтерию по такому пути, но те столкнулись с трудностями: то ли не принимались документы из-за отсутствия доверенности, хотя она была, то ли приходилось оформлять разные виды доверенностей и отвозить во все инстанции, куда подавалась отчетность. То есть все удобство от использования ЭП и электронной отчетности сводилось на нет.

И только со следующего года налоговая вводит механизм электронных доверенностей, но, как выясняется, окончательно утвержденного регламента и сроков пока нет. ~~Вот Вам и цифровизация~~.

В итоге, приходим к тому, что любая Марь Иванна из бухгалтерии или бухгалтер аутсорсинговой фирмы, которую Вы и в глаза никогда не видели, может спокойно лазать по личным кабинетам ваших остальных организаций (по которым у Вас нет договора с этой бухгалтерской фирмой) или по личному кабинету Вас, как физического лица, и знать про Вас такое, что Вы бы не хотели показывать посторонним людям (не потому, что это что-то плохое, а потому, что это Ваша личная информация).

А при worst-case scenario (то есть, скажу аккуратно, теоретически) такая Марь Иванна может без Вашего ведома оформить какую-нибудь госуслугу. Случайно, не со зла (хотя. случаи разные бывают).

Естественно, я обратился в чат поддержки с вопросом («почему по ЭП организации предоставляется доступ к ЛК частного лица? «) и более, чем через час, получил, как и ожидалось, невразумительный ответ:

Вот так, «нет возможности». Примерно, как «любой может войти в вашу электронную почту по дефолтному паролю 12345678, но запретить это нет возможности» (утрирую? Наверное, но сути дела это не сильно меняет).

Поэтому я рекомендую зайти в профиль и заблокировать доступ к порталу для соответствующих электронных подписей:

Правда, информация о подписи довольно скудная, есть только номер сертификата, Вы должны сверить его с тем, что хранится на токене и/или используется для подачи электронной отчетности (неудобно: хотя бы писали, что это за подпись — если на организацию, то какую).

А во-вторых, есть здесь еще одно большое «но»: даже заблокировав подпись, я снова смог по ней попасть на портал. Вот Вам скриншот с доказательством:

Я, как и положено, вышел из кабинета, затем попробовал войти вновь по заблокированной подписи и. у меня получилось (!)

Ок, подумал я, возможно, информация еще не успела обновиться, закэшировалась, но и через 45 минут у меня получилось зайти на портал и попасть в ЛК частного лица. Как видно на скриншоте, по заблокированной, якобы, подписи.

Я провел эксперимент на другом компьютере (ноутбуке): и у меня тоже получилось попасть в ЛК частного лица по заблокированной подписи.

Что объединяло эти два компьютера: я и ранее заходил на них в ЛК (до блокировки). Поэтому провел эксперимент на третьей машине, на которой ранее в свой ЛК не заходил. И уже на ней, при попытке входа вылезла надпись «отсутствует подходящая подпись» (или что-то в этом роде).

Я подумал, что на предыдущих двух машинах сохранились сертификаты заблокированной ЭП (может, поэтому и удавалось попасть на портал), полез в хранилище сертификатов. Но нет, там сертификата заблокированной подписи не нашел.

На этом свои эксперименты прекратил и пришел к выводу, что даже если заблокировать конкретную ЭП на портале, то пресловутая Марь Иванна, которая раньше могла заходить на ЭП по этой подписи, все равно будет иметь доступ к кабинету.

В любом случае, рекомендую заблокировать в настройках профиля доступ к порталу для соответствующих сертификатов ЭП — это лучше, чем ничего.

Ну и, в заключение, так как давно порывался написать пост про ЭП, но все не доходили руки, то вкратце поделюсь некоторыми мыслями:

Хорошие инициативы с ЭП у нас превратились в «как всегда». Я имею ввиду, в первую очередь, ситуацию с директорскими подписями, которую описал выше: даже те немногие, кто понимают, что так не очень хорошо делать с т. з. безопасности, вынуждены продолжать работу из-за серьезных неудобств, неотлаженных процессов.

Может, и есть нормальный способ, до ввода электронных доверенностей в следующем году, то буду, конечно, рад о нем услышать. Но то, что даже если он и существует, им мало, кто пользуется, это точно.

Во-вторых, безграмотность и безалаберность в вопросах работы с ЭП. Причем, даже среди айтишников. Рассказываю, как обычно выглядит процесс получения ЭП: Вы приходите в УЦ, Вам дают подписать заявление, и некий Вася выходит и выдает Вам «флэшку» (токен) с подписью. Ведь так Вы ее получали?

Можно смоделировать следующую ситуацию: потом этот Вася уволится (а текучка в УЦ, как я заметил, большая), прихватив с собой и все электронные подписи. А потом по стране прокатывается волна страшилок, когда без ведома собственника продавали его недвижимость. А дальше государство начинает ужесточать законодательство в сфере УЦ и ЭП (об этом чуть ниже).

Я же при получении подписи делаю не так: прихожу, и говорю, что закрытый ключ генерировать буду сам. У «манагера» УЦ глаза делаются большими и круглыми («вообще-то, так нельзя, никто так не делает, сейчас уточню»), он зовет Васю из подсобки, который приходит и нехотя подтверждает, что так, оказывается тоже можно. «Манагер» закатывает глаза и тяжко вздыхает, после чего я генеририрую ключевую пару на токене со своего ноута, и записываю сертификат, подписанный УЦ, на токене (это делается элементарно, средствами плагинов через браузер).

И я ничего не придумываю: такая ситуация у меня возникает практически каждый раз, когда получаешь новую подпись (вот почему удобнее продлевать до истечения — так можно избежать похода в УЦ).

Так вот, возвращаясь к ситуации с УЦ: государство (вернее, некомпетентные управленцы и исполнители) открыло этот рынок, аккредитовало УЦ, столкнулось, как обычно это бывает, с проблемами администрирования и контроля, и, по классике, пошло по самому простому для себя пути «закручивания гаек»: вначале пошли слухи, что УЦ останется только один государственный, потом чиновники, похоже, спохватились, что сами могут «треснуть» из-за этого, и определили переходный период, потом назначили срок перехода, потом его перенесли. В общем, я уже устал отслеживать все эти слухи, проекты изменений, переносы, внесения поправок в НПА. Это не моя профильная деятельность, хотя, по-хорошему, каждый гражданин должен более менее в вопросе разбираться и следить за происходящим.

В общем, тем, кто дочитал мой опус до конца, желаю быть аккуратными со своими ЭП, не попадать в ситуации их несанкционированного использования и с наступающим новым годом!

Как защитить аккаунт на «Госуслугах»: прячем документы в киберсейф

Пользуетесь «Госуслугами»? Рассказываем, как надежно защитить свои документы.

14 августа 2019

Безопасность аккаунтов в социальных сетях и онлайн-сервисах — та еще головная боль. У многих по меньшей мере с десяток учеток. Нередко они нужны буквально на один раз — скажем, учетная запись в интернет-магазине, в котором вы вряд ли еще раз что-то купите.

Однако аккаунты в некоторых сервисах гораздо важнее, и к их безопасности стоит подходить серьезно, даже если вы пользуетесь ими не очень часто. Один из таких сервисов — «Госуслуги».

Зачем защищать аккаунт на «Госуслугах»

Если злоумышленник получит доступ к вашему аккаунту на «Госуслугах», он сможет проворачивать от вашего имени аферы не только на самом портале, но и за его пределами. Причем речь идет не о мелких пакостях, а об очень серьезных вещах. Например, на вас могут оформить кредит. Или распорядиться вашей собственностью на свое усмотрение.

Так, в октябре прошлого года у одного из пользователей «Госуслуг» украли квартиру. Он узнал об этом случайно — от отца, который заметил в платежных документах чужую фамилию. Как позже выяснилось, чтобы оформить на себя недвижимость, мошенники не только взломали аккаунт жертвы, но и прикрепили к нему квалифицированную электронную подпись.

Это непростая задачка: чтобы получить такую подпись, необходимо лично явиться в удостоверяющий центр. Тем не менее, мошенники каким-то образом с этим справились и успешно провернули сделку, что пострадавшему подтвердили в Росреестре и полиции.

На историю с квартирой отреагировали законодатели: теперь продавать жилье удаленно можно только после того, как вы лично сообщите в Росреестр, что действительно этого хотите.

Однако воспользоваться вашей учетной записью на «Госуслугах» могут и иначе. Например, портал позволяет при наличии все той же квалифицированной электронной подписи оформить юридическое лицо. Если на ваше имя зарегистрируют фирму, проводящую сомнительные операции, вы рискуете не только потерять деньги, но и заработать проблемы с законом.

Как защитить аккаунт на gosuslugi.ru

Портал «Госуслуги» предлагает несколько инструментов для защиты вашего аккаунта. Они позволяют, с одной стороны, усложнить мошенникам работу, а с другой — помогут вам вовремя узнать о попытке взлома.