"Госключ" и практика получения ЭП через Госуслуги!

Столько хайпа вокруг этой темы с Госключом, что давайте разберем ситуацию.

Для тех, кто не в контексте - ВТБ, Ростелеком и Минкомсвязь запустили мобильное приложение «Госключ» для удаленной выдачи НЭП через Госуслуги с целью последующего подписания каких-то договоров. Подробнее тут: https://digital.gov.ru/ru/events/41201/

Идея светлая – удаленно выдать НЭП физлицам. Регуляторика под это была подготовлена давно, но никто не знал, во что эти законы выльются.

Например, коммерческое решение nopaper.ru это давно делает. Но при этом использует большое количеством фоновых дополнительных проверок для безопасности, SDK для встраивания, API и полноценным мобильным ЭДО. Банки могут выпустить ЭП через Госуслуги, да и другими способами. Главное - вообще без единой бумажки можно, подключить любой бизнес-сервис, что позволит раз и навсегда избавиться от этой макулатуры ЦЕЛИКОМ. Все это делается внутри банковского приложения, а не через отдельное «имени ВТБ, Ростелекома и Минкомсвязи»)))

А что же мы сейчас имеем в окологосударственном приложении «Госключ»? Отдельно-стоящее приложение (никакого SDK), которое умеет только подписывать (никакого обмена документами, ничего такого), работающее следующим образом:

• Регистрируемся с помощью номера телефона и ждем смс код.

• Вводим логин/пароль от Госуслуг

• Водим пальчиком по экрану для генерации случайного числа

• Радуемся полученной НЭП

• Ждем пока придет на подпись документ (и ждем... и ждем... и ждем...)

Из заявленной функциональности: подписание договоров на обслуживание у операторов сотовой связи (сейчас вроде как Tele2), а в перспективе – «сделки купли/продажи авто и аренды квартир». Задачи и планы опять-таки как с nopaper списали)

Итак, с Госключом получился некий аналог приложения myDSS, где есть только подписание, при этом с весьма сомнительным способом удаленного получения НЭП. Я провела эксперимент: ввела свой второй номер телефона (который не имеет никакого отношения к Госуслугам, да и зарегистрирован номер не на меня). Далее логин/пароль от Госуслуг, поводим пальчиком по экрану – и все, видим сертификат! 2FA (двухфакторной аутентификации) у меня нет. Ибо зачем? Госуслуги всегда были способом подачи заявлений в госорганы, где потом у тебя обязательно по приходу проверят паспорт. А если кто-то украдет мой логин и пароль – я не сильно расстроюсь. Разве что злоумышленник узнает, к какому врачу я ходила, или оплатит мои штрафы ГИБДД. Но тут уже другое! Побежала включать 2FA. Очень уж не хочется оформить на себя пару-тройку сим карт или внезапно снять несколько квартир.

Какой вывод из этого можно сделать?

1. Способ получения НЭП далеко небезопасный… Чтобы 2FA включили всем по умолчанию - это вряд-ли – сложно это нашим бабушкам, которые записываются в поликлинику. Так что дыра скорее всего в этом останется… Даже «Службу безопасности Госуслуг» мошенникам создавать не надо, чтобы парочку документов подписать от имени пользователя.

2. Когда в Госключе появятся бизнес-сервисы, кто к ним будет допущен? – большой вопрос.

3. Будет ли SDK в Госключе? Будет ли функциональность обмена и пр? С какой скоростью?

4. Да и останется ли этот эксперимент с Госключом в живых спустя год – тоже вопрос

А теперь о ХОРОШЕМ)))) На самом деле я очень рада, что Госключ вышел и хочу сказать ему огромное СПАСИБО! Дело в том, что раньше Банки до этого момента не верили, что достаточно произвести очную идентификацию по 115ФЗ, а затем выдать ЭП можно абсолютно спокойно удаленно, даже без первичного подписания сертификата ключа, и все договора и оферты подписывать сразу в электронном виде. Банки такие посылы воспринимали крайне... странно) Бытовало мнение, что все-таки первый бумажный сертификат надо подписать обязательно. И Госключ нам просто всем доказал, что НЕ НАДО))))) За это ему ОГРОМНОЕ спасибо) А реализация.... Ну... Есть альтернативы) Главное уловить, что даже Государство поддерживает идею)

Всем #ПОЛНЫЙДИДЖИТАЛ