Что делать, если не пришел qr-код

Учтенная запись

Свой звонок от имени службы поддержки портала «Госуслуги» мошенники объясняют либо утечкой данных, либо информацией о взятом на имя жертвы кредите, сообщил «Известиям» гендиректор производителя DeviceLock DLP Юрий Томашко. Под этим предлогом злоумышленники пытаются выманить поступающий через SMS код сброса пароля к сервису, передача которого якобы обеспечит безопасность аккаунта, пояснил он. По словам эксперта, за последнюю неделю таких жалоб в интернете зафиксировано около десятка, и каждый день появляется два-три новых сообщения.

Эта схема мошенничества пока только обкатывается преступниками, но уже представляет особую опасность в силу потенциальной массовости, так как для ее реализации требуются только персональные данные и номер телефона, которые в больших количествах и дешево продаются в даркнете, добавил Юрий Томашко. Он напомнил, что с помощью аккаунтов на «Госуслугах» также возможна подача заявок на онлайн-займы.

— В августе в даркнете и на ряде закрытых форумов выросло число предложений по продаже взломанных аккаунтов сервиса «Госуслуги», не использующих двухфакторную авторизацию при входе. Их стоимость упала со 100 рублей в начале года до 30–40 рублей за «новые» и до 4–5 рублей за использованные для регистрации на сайтах букмекерских контор, — рассказал эксперт.

Он подчеркнул, что всем пользователям портала «Госуслуги» следует в обязательном порядке включить двухфакторную авторизацию, а также уведомление о входе в личный кабинет. Если возникнут подозрения, что кто-то другой попал туда, то необходимо также сменить пароль, завершить все сессии и проверить подозрительную активность, включая выдачу электронных подписей и согласий на доступ к данным.

Об этом же способе мошенничества сообщается в одной из групп «ВКонтакте», узнали «Известия»: злоумышленники звонят со стационарных московских номеров и представляются службой безопасности портала «Госуслуги». Затем они присылают SMS якобы с кодом подтверждения об отмене заявки на смену номера телефона в личном кабинете портала. Также в записи приводятся номера телефонов, с которых звонят преступники.

«Известия» направили запросы о новом способе мошенничества в ЦБ, а также в Минцифры и «Ростелекоме», которые занимаются развитием портала «Госуслуги». В Минцифры сообщили только о том, как избежать обмана через фишинговые письма: нельзя проходить по ссылками с неизвестных адресов, а также оставлять там персональные или платежные данные. Техническая поддержка портала «Госуслуги» никогда не запрашивает пароли к личным аккаунтам пользователей, подчеркнули в «Ростелекоме».

О новой схеме телефонного мошенничества известно в «Лаборатории Касперского» и InfoSecurity a Softline, а также в СРО «Микрофинансирование и развитие» («МиР») и в МФК «Займер».

Портал в займ

С июля 2021 года Kaspersky Who Calls начал фиксировать большое количество анонимизированных жалоб на звонки от вероятных мошенников, которые представлялись сотрудниками портала «Госуслуги» и пытались получить доступ к аккаунтам граждан. В начале сентября количество подобных жалоб выросло еще в два раза, достигнув своего пика, сообщил «Известиям» аналитик сервиса Виталий Воробьев.

Одним из методов упрощенной идентификации заемщиков при обслуживании в МФО выступает обращение к сайту «Госуслуги», напомнил председатель совета СРО «МиР» Эльман Мехтиев. По его словам, взломы происходят в том числе при применении методов социальной инженерии.

— Кредиторы на данный момент не могут знать, включена ли у заемщика двухфакторная идентификация. В связи с этим СРО «МиР» еще в конце июля подготовила информационное письмо о мерах по предотвращению мошенничества при проведении идентификации заемщиков через ЕСИА. Среди них — применение не менее трех дополнительных способов проверки личности заемщика, — рассказал Эльман Мехтиев.

В CarMoney сообщили, что аутентификация через сервис «Госуслуги» используется только в мобильном приложении финорганизации, но без последующей верификации клиента заем оформить не получится. Гендиректор финтех-сервиса Анна Калугина уточнила, что для получения средств через мобильное приложение пользователю необходимо самостоятельно предоставить фотографии документов, селфи с ними, а также другие идентификационные данные.

МФК «Займер» работает полностью в онлайн-режиме, и все заемщики получают средства дистанционно, без посещения офиса, рассказал ее гендиректор Роман Макаров. В компании фиксировали попытки оформления займов с помощью аккаунтов портала «Госуслуги», принадлежащих третьим лицам, сообщил он, добавив, что мошеннику также требуется успешно пройти скоринговую проверку, фотоидентификацию и андеррайтинг.

Как зарегистрироваться на портале госуслуг

На сайте кнопка регистрации находится в правом верхнем углу.

• На сайте госуслуг. Это самый простой вариант. Чтобы выбрать его, нажмите «Другой способ регистрации». Так получают упрощенную или стандартную запись с ограниченными возможностями.
• Через банк, если у вас есть счет в любом банке из списка. Например, Тинькофф и Сбер. В этом случае регистрация пройдет на сайте финансового учреждения. Так получают подтвержденную запись с полным доступом к услугам сайта.
• Лично в центре обслуживания — так тоже получают подтвержденную запись.

О том, чем отличаются типы учетных записей, и как превратить упрощенный аккаунт в подтвержденный, расскажу дальше в статье.

Чем отличаются типы учетных записей на госуслугах

Есть три вида учетных записей: упрощенная, стандартная и подтвержденная. От этого зависит, какие услуги будут доступны пользователю на портале.

Тип аккаунта присваивают в зависимости от того, какой комплект документов вы загрузили на сайт. Их добавляют в разделе «Личные документы» — все сразу или по мере необходимости.

Упрощенная учетная запись — самый быстрый и простой способ регистрации на госуслугах. Для нее не требуются никакие документы. Чтобы создать упрощенную запись, укажите на портале фамилию, имя, отчество и электронную почту.

С таким аккаунтом вы сможете:

• Получить справочную информацию, например о судебной задолженности.
• Узнать о дорожных штрафах по свидетельству о регистрации или номеру авто и оплатить их.
• Во время пандемии — заполнить анкету прибывающего в Россию до возвращения границы.
• Передать сведения о  после возвращения в Россию.

Стандартная учетная запись дает доступ к большему количеству услуг. Ее нельзя создать с нуля: сначала регистрируют упрощенную, а затем добавляют паспортные данные и номер СНИЛС. После ввода этих данных статус учетной записи должен измениться в течение суток. Если этого не произошло — обратитесь в техподдержку на сайте.

• Получить выписку о состоянии пенсионного счета.
• Записаться к врачу и получить информацию об оказанных медицинских услугах.
• Подать заявку на регистрацию изобретения.
• Зарегистрировать товарный знак.
• Узнать о налоговых задолженностях.

Подтвержденная учетная запись пригодится тем, кто хочет пользоваться всеми возможностями госуслуг без ограничений, в том числе получить сертификат о вакцинации. Она дает доступ ко всем услугам портала. Такую учетную запись можно создать с нуля, пропустив этапы регистрации упрощенной и стандартной записи, если сразу подтвердить аккаунт. Как это сделать, расскажу дальше.

Тип аккаунта указан в разделе «Профиль» в личном кабинете.

Так выглядит личный кабинет на новой версии сайта госуслуг. указан тип учетной записи. У меня — подтвержденная. Эта информация указана сразу под моим именем

Безопасно ли вводить свои личные данные на госуслугах

На портале указано, что вводить свои персональные данные безопасно. Для защиты используют современные системы мониторинга, а также антивирусы и средства предотвращения вторжений. Портал не передает личную информацию, контакты и историю запросов третьим лицам.

Однако в мае 2021 журнал Forbes рассказал о взломе аккаунтов. Злоумышленники подобрали пароли к личным кабинетам пользователей, поэтому позаботьтесь о том, чтобы пароль был сложным, и не используйте его на других сайтах.

Дополнительно защитить данные поможет двухфакторная аутентификация — при входе на госуслуги на телефон придет смс с кодом, который нужно ввести для доступа на сайт. Еще портал может каждый раз отправлять уведомления о входе в аккаунт на электронную почту. А также открывать доступ к услугам по электронной подписи. О ней я расскажу дальше.

Для создания упрощенной записи нужны фамилия, имя, отчество, а также телефон или адрес электронной почты на выбор

Данные на портале защищены, поэтому можно внести все имеющиеся документы

Как подтвердить учетную запись на госуслугах

Подтверждение личности. Для полноценной работы в аккаунте нужно обязательно подтвердить свою личность. Это можно сделать несколькими способами:

• через онлайн-приложение банка;
• заказным письмом через Почту России;
• лично в центре обслуживания;
• с помощью электронной подписи.

Расскажу о каждом способе подробнее.

Подтвердить учетную запись через интернет-банк. С госуслугами сотрудничают не все банки.

Например, в «Сбербанке» учетную запись подтверждают на сайте или в мобильном приложении. Понадобятся номер паспорта и СНИЛС. Еще должны быть подключены уведомления по карте. Иначе на мобильный телефон не придет код подтверждения. Они стоят от 0 до 60 Р в месяц в зависимости от типа карты и тарифа.

Аналогичные документы требует и Тинькофф Банк, уведомления по картам обойдутся в 0—59 Р в зависимости от тарифа.

Чтобы получить услугу:

• Нажмите кнопку «Заказать письмо».
• В открывшемся окне введите почтовый адрес в России или за границей.
• После заполнения формы сохраните номер отслеживания письма на сайте Почты России.
• Ждите письма в течение 14 дней — такой срок заявлен на сайте госуслуг. В реальности он может быть больше, это зависит от скорости работы почты.
• В почтовый ящик придет извещение, где и когда можно забрать письмо. Для получения возьмите с собой паспорт и само извещение.
• Код из полученного заказного письма введите в специальное поле на странице с персональными данными.

Подтвердить учетную запись через центры обслуживания. Это отделения пенсионного фонда и некоторых банков, например «Почта-банка», «Росбанка», банка «Хоум-кредит». Адреса центров и время работы указаны на карте. Возьмите с собой паспорт и СНИЛС. Предварительная запись для посещения центра не нужна.

Подтвердить учетную запись с помощью усиленной квалифицированной электронной подписи (УКЭП). УКЭП — это цифровой аналог подписи от руки. Ее получают в удостоверяющих центрах, которые есть во всех крупных городах России. Для подачи заявки понадобится паспорт, СНИЛС, ИНН и заявление — бланк выдадут на месте. Уточните, что подпись нужна для госуслуг — центры выдают УКЭП для разных сервисов. Срок действия электронной подписи — один год, но для подтверждения учетной записи на госуслугах достаточно получить ее один раз.

Что можно сделать, если есть личный кабинет на портале госуслуг

Как найти нужную услугу на портале. На сайте работает чат-бот, а еще ссылки на самые популярные услуги расположены на главной странице госуслуг. Среди них оформление пособий, запись к врачу, получение сертификата о вакцинации и другие. Еще можно ввести запрос в поисковую строку или найти нужный сервис в каталоге госуслуг.

Бывает так, что в ответ на вопрос приходит уведомление «все операторы заняты». В этом случае подождите несколько часов — вам, скорее всего, ответят. Если нет, повторите вопрос на следующий день.

Расскажу о самых популярных возможностях госуслуг.

Сэкономить 30% на госпошлинах. Такую скидку дают при оплате на сайте или в приложении госуслуг. Как правило, счета на оплату появляются в личном кабинете автоматически. Но можно найти их по уникальному идентификационному номеру — УИН. Этот способ пригодится, если вы получили бумажную или электронную квитанцию, а на госуслугах счет не появился.

Кроме банковской карты любые штрафы и услуги можно оплатить с помощью Гугл-пэй, Эпл-пэй, «Киви-кошелька», «Вебмани», со счета мобильного телефона или по квитанции в банке — для этого ее отправляют с госуслуг на электронную почту и распечатывают.

Чтобы привязать банковскую карту, нужно перейти на страницу «Банковские карты и счета»

В этом окне введите данные карты. Чтобы проверить подлинность карты, с нее спишут от 0,01 до 9,99  и сразу вернут

Например, с карты «Сбербанка» спишут 9,85. На телефон придет код подтверждения, как для обычной покупки

Для проверки реквизитов нужно указать точную сумму, которую списали госуслуги. После этого она вернется на счет, а карта появится в личном кабинете

Получить пособия на детей. Многие социальные пособия можно оформить прямо на сайте, в том числе по беременности и родам, единовременные и ежемесячные выплаты. Все они собраны на отдельной странице.

Подать налоговую декларацию получится, только если у вас есть усиленная квалифицированная электронная подпись — УКЭП. О ней я рассказала выше. Для подачи декларации через госуслуги новую УКЭП придется получать каждый год.

После оформления электронной подписи перейдите на страницу «Подача налоговых деклараций» и выберите пункт «Сформировать декларацию онлайн». Такой электронный документ примут в налоговой инспекции по месту жительства.

Записаться к врачу. Для этого есть отдельная страница. Воспользоваться услугой могут пациенты с полисом ОМС. Они должны быть прикреплены к поликлинике — для этого нужно обратиться в медицинское учреждение с паспортом, полисом ОМС и СНИЛС. В Москве все эти процедуры можно пройти онлайн. Детям до 14 лет понадобится свидетельство о рождении.

При записи нужно ввести или подтвердить номер полиса ОМС и номер телефона. Затем выбрать специальность и фамилию врача, поликлинику, где он принимает, дату и время визита. Запись будет подтверждена и отобразится в личном кабинете госуслуг.

Анкету заполняют для того, чтобы встать на учет в управлении образования по месту жительства. Сделать это можно, когда родился ребенок.

На госуслугах нужно выбрать желаемую дату зачисления в детский сад. К этому числу ребенку должно исполниться не меньше двух месяцев, но и не больше восьми лет. Еще на портале указывают язык обучения, а также время пребывания в группе: полный день, кратковременный или круглосуточный режим. В отдельном поле выбирают направленность группы: компенсирующую, оздоровительную или общеразвивающую.

Госуслуги позволяют подать заявку и встать в очередь в определенный детский сад, например тот, что ближе к дому, или тот, который уже посещает брат или сестра ребенка. После заполнения анкеты ей присвоят индивидуальный номер, по которому можно отслеживать статус заявления.

Если в вашем регионе можно записать ребенка в детский сад через госуслуги, — справа появится кнопка «Заполнить заявление»

В анкете указывают фамилию, имя, отчество ребенка, а еще данные из свидетельства о рождении

В списке языков обучения не только языки разных стран, но и разных регионов России, например ненецкий, корякский и другие

Записать ребенка в школу. Сайт подскажет, каким способом подать заявку для зачисления в первый или другой класс: лично в учебном заведении, через МФЦ, по электронной почте или через РПГУ — региональные порталы госуслуг. Например, отдельные сайты есть у Санкт-Петербурга, Московской, Тульской областей и других регионов.

В Москве в школу записывают через портал mos.

По новым правилам заявки подают в два этапа. С 1 по 30 апреля документы примут у детей, которые живут на территории, закрепленной за школой. А еще у тех, чьи братья и сестры уже учатся в этом учебном заведении. Информацию о том, какие дома относятся к выбранной школе, должны разместить на ее сайте.

С 6 июля стартует второй этап. Он завершается, когда в классах заполнят все свободные места, но не позднее 5 сентября. В это время рассматривают заявки учеников, которые живут в других районах города.

В некоторых районах Алтайского края получится перейти на региональный портал госуслуг прямо из личного кабинета. Для этого надо нажать на кнопку «Получить услугу»

В других регионах портал порекомендует все способы записи ребенка в школу. Например, в Воронежской области заявку подают лично, по электронной почте, на сайте школы или через МФЦ

Записаться в Пенсионный фонд через госуслуги нельзя. Портал автоматически направит вас на сайт ПФР.

Записаться в соцзащиту через госуслуги тоже не получится: обычно в этих учреждениях действует живая очередь. Подать заявление на получение социальных услуг можно лично, через законного представителя или по электронной почте.

Какие документы получают на госуслугах

Все услуги, описанные в этом разделе, вы можете получить лично в ведомствах. Но в электронном виде будет быстрее и удобнее.

Получить сертификат о вакцинации или перенесенном заболевании, а также результат ПЦР-теста. Все документы, связанные с коронавирусом, находятся на отдельной странице. Если вы вакцинировались или переболели, но информация на сайте не появилась, обратитесь в техподдержку госуслуг.

Заполнить анкету прибывающего из-за рубежа. Анкету заполняют с компьютера и смартфона в любое время до регистрации на обратный рейс. На заполнение уйдет 2—3 минуты.

Получить выписку из единого государственного реестра недвижимости (ЕГРН). Она пригодится, например, при покупке или продаже квартиры, а также для подтверждения прав на недвижимость. Ее заказывают на специальной странице и получают в электронном или бумажном виде. Документы выдают после уплаты пошлины, размер которой зависит от вида выписки. Например, выписка о правах на объект недвижимости обойдется в 350 Р при оплате на сайте. Счет появится на госуслугах.

На основной странице раздела после входа на сайт указаны все услуги, которые вы можете получить в электронном виде

Получить кредитную историю. На самом сайте госуслуг не хранятся данные о кредитной истории, но портал подскажет, где их найти.

На госуслугах вы получите информацию о сайтах и телефонах кредитных бюро. В течение одного дня в личном кабинете появится список компаний, которые хранят вашу кредитную историю.

Данные запрашивают в любой организации на выбор, — два раза в год каждый россиянин может сделать это бесплатно.

Список бюро кредитных историй отображается в виде файла с данными, который отправят на электронную почту

Мне прислали список из трех бюро, достаточно запросить данные из одного на выбор

В Национальном бюро кредитных историй я бесплатно запросила отчет о кредитной истории и через минуту получила его по электронной почте

Получить информацию о пенсионных накоплениях и стаже работы. Зайдите на страницу «Выписка о состоянии индивидуального лицевого счета» и закажите выписку. Она появится в личном кабинете госуслуг в течение дня. Этот документ получают бесплатно.

Получить справки об отсутствии/наличии судимости. Такая справка понадобится, например, для работы с детьми или для оформления рабочей визы за рубеж. Зайдите на страницу «Получение справки об отсутствии (наличии) судимости» и выберите, в какой форме хотите получить документ:

• электронный — действует при пересылке в электронном виде из личного кабинета;
• бумажный — действует везде, где по  причинам не принимают электронный;
• бумажный с апостилем — действует за границей.

После выбора нужной опции вас попросят отправить заявление с фотографиями или сканами заполненных страниц паспорта. Справку бесплатно подготовят в течение 30 календарных дней.

Получить справки об отсутствии наказания за употребление наркотиков. Справка пригодится, например, тем, кто хочет получить лицензию на оружие или служить по контракту. Ее бесплатно оформляют на отдельной странице в электронном виде. Для заявления понадобятся фотографии или сканы российского паспорта. Документ подготовят в течение 15 дней. Электронная справка будет доступна на портале, бумажную можно получить в МФЦ. Для этого придите с паспортом в ближайший центр.

Получить информацию об угрозах туристам в конкретной стране. Сведения бесплатно предоставляет Федеральное агентство по туризму в течение четырех дней. Такая справка пригодится, если вы отмените тур из-за опасной обстановки в стране и захотите вернуть за него деньги. Вас попросят заполнить анкету и указать государство, о котором нужны данные.

Как оформить паспорт или загранпаспорт с помощью госуслуг

С помощью портала госуслуг подают заявку на получение паспорта гражданина России или заграничного паспорта. Расскажу об этих услугах подробнее.

Получить паспорт гражданина Российской Федерации. Через госуслуги подают заявку на замену документа в 20 и 45 лет. Еще можно поменять фамилию или другие сведения, исправить ошибки, восстановить паспорт, если он пришел в негодность или вы его потеряли.

Заявку на госуслугах подать не смогут:

• Дети до 14 лет.
• Те, кто, хочет заменить паспорт СССР.
• Те, кто собирается получить новый документ взамен того, что признан вещественным доказательством по уголовному делу.

Во всех остальных случаях заполните заявление на сайте, прикрепите к нему портретную фотографию и отправьте на проверку в МВД. После проверки в личном кабинете госуслуг появится уведомление для уплаты госпошлины. Стоимость услуги при оплате через банк — 300 Р, на сайте дадут скидку 30% — получится 210 Р.

Затем на госуслугах записываются на прием в МВД. В отделение приходят с оригиналом действующего паспорта или свидетельства о рождении для детей 14 лет. С собой берут и другие документы, например, загранпаспорт, свидетельства о браке или рождении ребенка. Все эти данные внесут в новый паспорт. Еще в отделении сделают фото для документа.

На изготовление паспорта обычно уходит 10 дней, но если вы подали заявление не по месту регистрации, то срок может быть увеличен до 30 дней. Уведомление о том, что документ готов, придет в личный кабинет.

Получить заграничный паспорт. На госуслугах подают заявку на документ — биометрический или обычный, то есть нового или старого образца. Для этого нужно перейти на страницу «Получение заграничного паспорта» и выбрать нужный вариант. Паспорт старого образца действует 5 лет, нового — 10 лет.

Для заполнения заявления понадобятся: фото в электронном формате, данные российского паспорта, сведения о работе по трудовой книжке за последние 10 лет.

Паспорт нового образца содержит биометрические данные — специальное фото и отпечатки пальцев.

Для его оформления придется приехать в паспортный стол дважды. В первый раз — чтобы сфотографироваться и снять отпечатки. Во второй — чтобы получить готовый документ.

Фото делают всем, включая детей любого возраста. Отпечатки пальцев сдают с 12 лет.

Еще придется уплатить госпошлину. При оплате через банк — 5000 Р для взрослого и 2500 Р для ребенка до 14 лет. Через госуслуги — 3500 Р и 1750 Р соответственно.

Паспорт старого образца забирают в МФЦ или паспортном столе по готовности. Госпошлина за паспорт старого образца при уплате через банк — 2000 Р для взрослого и 1400 Р для ребенка до 14 лет. Через госуслуги — 1400 Р и 700 Р соответственно.

Взрослые получают готовый паспорт старого или нового образца лично. Если делаете документ ребенку до 14 лет, его можно с собой не брать: нужны только свидетельство о рождении ребенка и ваш российский паспорт.

Получить второй заграничный паспорт. Он пригодится, если в первом осталось мало чистых страниц или есть штампы стран, с которыми не впустят в другие государства. Например, Ливан и Сирия не примут путешественников, у кого в паспорте есть отметка о пересечении границы с Израилем.

По правилам второй паспорт может быть только биометрическим. Нужно заполнить такую же анкету, как и для первого паспорта, но на вопрос «По какой причине оформляете загранпаспорт?» выбрать ответ «В дополнение к имеющемуся».

Список документов, сроки получения, размер пошлины и прочие условия — такие же, как и для первого биометрического паспорта.

Три действующих загранпаспорта иметь запрещено.

Запомнить

• Чтобы пользоваться всеми услугами, подтвердите учетную запись через , в центрах обслуживания или по почте.
• Электронные справки, которые выдают по запросу на госуслугах, имеют юридическую силу, как бумажные, но их принимают не везде. Рекомендую уточнять у конкретного учреждения, в каком виде они примут справку.
• На госуслугах можно получить сертификат вакцинации против коронавируса и о перенесенном заболевании, а еще — результат
• За оплату пошлин на госуслугах дают скидку 30%.
• Данные на портале надежно защищены, но пользователям рекомендуют соблюдать меры безопасности: устанавливать сложные пароли и никому не сообщать свои данные для входа.

О чем этот текст?

«Государство в смартфоне» — в России планируют полную цифровизацию госуслуг в ближайшие годы.

«Как власти защищают данные на Госуслугах» — все данные граждан хранятся в Единой системе идентификации и аутентификации и к безопасности сохранения информации у специалистов возникает много вопросов. Кроме того, юридически власти не обязаны сообщать о происходящих утечках.

Насколько уязвимы госуслуги? Независимое тестирование сайта, его уязвимости и взлом.

«Госуслуги» — не только справки — как в главный государственный портал попала политика. Именно через «Госуслуги» появилась возможность скачивать записи с камер видеонаблюдения на участках, что впоследствии привело к вскрытию фактов фальсификации в 2011-2012 годах.

Как партии используют «Госуслуги» на выборах — политические силы активно работают с персональными данными граждан. Иногда работа с данными происходит незаконно: аккаунты на «Госуслугах» взламываются в угоду одной из политических сил.

Как могли появиться слитые базы сторонников Навального — в апреле произошёл большой слив данных с сайта free. navalny. com в поддержку Алексея Навального. В сеть попала таблица, содержащая более 500 тысяч строк с почтами сторонников политика. Кажется, именно эта база и стала основой для других утечек.

Личные данные за копейки — как в России продают личные данные «Госуслуг» за копейки и чем взлом аккаунтов опасен для обычных граждан.

Государство в смартфоне

В ходе последнего послания Федеральному собранию, которое прошло в начале 2021 года, Владимир Путин заявил о необходимости цифровизации госуслуг в ближайшие года. Президент сообщил, что за грядущие три года власти должны перевести большую часть государственных и муниципальных услуг в онлайн и обеспечить к ним постоянный доступ — 24 часа 7 дней в неделю. Этот же вектор поддерживает и премьер Михаил Мишустин, который заявил, что от бумажного документооборота нужно уходить.

Тренд на цифровизацию в этой сфере массово начался с запуска «Госуслуг» в 2009 году. Сайт запустили на основе предшественника — сайта ogic. Он был неудачным прообразом «Госуслуг», который закрыли после смены руководства Минкомсвязи, заказчика разработки портала. Как тогда писали СМИ, власти не очень любили вспоминать неудачный кейс: за 495 млн бюджетных средств пользователи фактически получили «доску объявлений», где можно было узнать адрес госслужб и распечатать официальные бланки. Созданием этого сайта занимался ФГУП НИИ «Восход».

После изменения в руководстве Минкомсвязи было объявлено о начале тестового периода работы уже нового портала — «Госуслуги». Его разработкой на основе провального ОГИЦ занялся «Ростелеком» и «Энвижн груп» (дочерняя компания МТС) в рамках федеральной программы «Электронная Россия» (2002-2010 годы). Сайт обошёлся бюджету примерно в 100 млн рублей, а тестовый период работы начался 15 декабря. Тогда об этом объявил Игорь Щёголев, занимавший должность министра связи и массовых коммуникаций. Сейчас он — полпред президента в центральном федеральном округе.

Сразу после запуска сайт столкнулся с критикой: за первые полчаса работы «Госуслуги» несколько раз «упали» от наплыва посетителей. При этом сам портал был скуден на возможности. Он, как и предшественник, был скорее «картой» с множеством инструкций о том, как получить тот или иной документ без каких-либо возможностей их заказа «онлайн». Кроме того, сама информационная база была достаточно скупой: на старте сообщалось о доступе к 110 услугам федерального уровня и более 200 — регионального и муниципального.

Сейчас власти продолжают цифровизацию основных сфер деятельности граждан. Например, нынешний глава Минцифры Максут Шадаев, заявил, что пользователи «Госуслуг» через личный кабинет должны получить доступ ко всей электронной медицинской карте «в ближайшее время».

Как власти защищают личные данные на «Госуслугах»

Регистрация в Госуслугах проходит через Единую систему идентификации и аутентификации (ЕСИА). Она используется в качестве «электронного паспорта» граждан, а для получения учётной записи в системе необходимо пройти удостоверение личности, отправив паспортные данные и СНИЛС.

За разработку ЕСИА в разное время отвечали сразу несколько компаний: AT Consulting, R-Style, «РТ лабс» и «Реак софт». AT Consulting создавала систему с 2013 года, выиграв тендер «Ростелекома» за 70,5 млн рублей. В Сети сохранилась презентация компании о том, как компания видела развитие ЕСИА — для идентификации и аутентификации используется электронная подпись.

AT Consulting — крупная компания, среди клиентов которой были ВТБ, «ВымпелКом», Сбербанк, «Ростелеком», «Роснефть», «Россети», «Норильский никель». Её владельцы — Леонид Гаврилов и Сергей Шилов. Последний, по информации «Ъ», был задержан в 2018 году вместе с врио главы НПО «Спецтехника и спецсвязь» МВД Андреем Нечаевым по обвинению в пособничестве злоупотреблению должностными полномочиями (ст. 33 и 285 УК).

Как считало следствие, Нечаев принял работы по созданию интеллектуальной системы обеспечения деятельности (ИСОД) для МВД. Система включается в себя комплекс программ, автоматизирующих работу ведомства. Сообщалось, что он оплатил работы в полной мере, отдав компании 1,4 млрд рублей, хотя фактически система готова не была. Впоследствии дело прекратили, а Шилов, Нечаев и другие фигуранты были отпущены. Сейчас AT Consulting займётся разработкой системы фиксации рекламы, размещаемой в Рунете. Об этом сообщил РБК, обнаружив соответствующий тендер — за работу компания получит 96 млн рублей.

После этого развитием ЕСИА занялась компания R-Style которая в основном, согласно сайту, занимается разработкой банковского ПО. По данным издания CNews, работу над системой будучи субподрядчиком должна была продолжить всё та же AT Consulting. Кроме того, журналисты сообщали о переходе экспертов «Ростелекома» и AT Consulting в R-Style. В самой компании тогда сообщили, что в R-Style «перешло не больше людей, чем в другие компании»

Все персональные данные хранятся в ЕСИА. Кроме того, на «Госуслугах» сообщается, что система прошла сертификацию ФСБ и соответствует ФЗ-152 о защите персональных данных. Согласно законодательству, все вопросы об утечках данных должны решаться с оператором базы персональных данных — в случае с «Госуслугами» это «Ростелеком». Однако в действительности оператор в большинстве случаев избегает наказания:

«К данным из ЕСИА, так же как и к данным Единой биометрической системы (ЕБС) имеет доступ огромное количество пользователей из госаппарата и правоохранительных органов», — рассуждает глава юридической практики «РосКомСвободы» Саркис Дарбинян.

По его словам, даже если утечка произойдет на стороне одного из госслужащих и его поймают, «то вряд ли Ростелеком будет отвечать за сотрудника».

Но даже если и ответит, то на какую-либо справедливую судебную сатисфакцию за нарушение прав на защиту персональных данных вряд ли стоит надеяться. Если вина сотрудника и будет доказана, то моральная компенсация, которую потерпевший может запросить с «Ростелекома» составит не более 10-20 тысяч рублей, резюмирует Дарбинян.

Специалист поясняет, что российское законодательство фактически не обязывает компании заявлять о произошедших утечках в отличие от европейского закона GDPR (Общий регламент по защите данных ЕС), где обязанности компаний в части персональных данных прописаны строго.

«Поэтому у нас все пытаются затихарить такие ситуации и порой правду выяснить становится невозможно. Пользователи остаются в полном неведении», —  продолжает Дарбинян.

Несмотря на это, государство собирается мониторить утечки данных. Так, 12 ноября Минцифры опубликовало тендер в 68 млн рублей на сбор информации об утечках данных. Среди целей госконтракта в документации указано:

• своевременное выявление информации об утечках персональных данных (ПДн);
• получение статистики, связанным с покупкой и продажей ПДн, их объёму и спросу;
• мониторинг открытых и закрытых источников (darknet) в сети Интернет на предмет выявления информации об утечках ПДн.

«Минцифры надеется, что „информация о фактах наличия утечек ПДн позволит своевременно инициировать проведение мероприятий по расследованию и реагированию на соответствующие“ инциденты», — сообщал телеграм-канал «Телеком-ревью», первым обративший внимание на тендер.

Насколько уязвимы госуслуги?

В сентябре 2021 года эксперты по IT-безопасности обратили внимание на уязвимость, позволяющую злоумышленникам получить доступ к аккаунтам пользователей «Госуслуг». Эксперт инжинирингового центра SafeNet Игорь Бедеров обнаружил возможность «скрытой переадресации» (covert redirect) на сайт мошенников. Суть этой уязвимости в том, что после ввода «капчи» пользователь может быть перенаправлен на мошеннический ресурс. Уже оттуда у пользователя могут быть украдены данные для входа. Бедеров сообщил администрации «Госуслуг» о найденной уязвимости.

Спустя два месяца, в ноябре, наличие уязвимости решил проверить независимый исследователь Сергей Дьяконов. Он обнаружил, что после заявления Бедерова проблема не была исправлена. Более того, исследователь обнаружил ещё одну уязвимость — она позволяет красть cookie пользователя. Это происходит с применением XSS(CSRF)-уязвимости. Дьяконов поясняет, что такая атака касается прежде всего тех пользователей у которых отсутствует двухфакторная авторизация:

Он поясняет, что на портале «стоит довольно сильная» защита от прямых атак. Однако некоторые атаки всё-таки возможны и «если покопаться, то можно найти достаточно» подобного рода уязвимостей. По мнению Дьяконова, специалисты в области защиты данных нацелены на работу с «Госуслугами», но есть некоторые проблемы. Например, часть из них «боится» работать с государственным сектором, а части — просто невыгодно. Хотя портал имеет огромное количество данных граждан:

Кроме того, 11 ноября 2021 года неизвестные взломали чат-бота «Госуслуг», который должен помогать в навигации на сервисе. Макс (так зовут бота) стал рассылать пользователям одну из конспирологических теорий о том, что коронавируса «не существует». Взлом бота совпал с мощной хакерской атакой, которая, по заявлениям Минцифры, длилась несколько дней.

«Госуслуги» — это не только справки

Задача портала состояла в том, чтобы упростить доступ граждан к органам власти. Впоследствии «Госуслуги» стали охватывать всё больше сфер — граждане получили возможность наблюдать на выборах. В 2011 году стало известно, что Минкомсвязи разработал программу по видеонаблюдению на ближайших тогда выборах президента 2012 года — тогда же на участках впервые появились камеры. Инициатива о введении камер появилась после массовых протестов о результатах выборов в декабре 2011 года.

На разработку документации программы ушло два дня, а деньги были взяты из бюджета, выделенного на модернизацию избирательной системы. Власти рассчитывали, что видеонаблюдение поможет сделать выборы более прозрачными:

«Кроме того, там есть определённый резерв средств, который может уже непосредственно быть направлен на то, чтобы оборудовать избирательные комиссии соответствующими камерами для прозрачности подсчёта голосов, прозрачности проведения выборов. Такие ресурсы мы найдём вместе с Минкомсвязи и такие поправки в эту программу подготовим», — заявил тогда Антон Силуанов, министр финансов на тот момент.

Получить доступ к записям с участков мог любой желающий. Это делалось удалённо: граждане могли запросить запись в Минкомсвязи через тот же портал «Госуслуг».

После президентских выборов, в марте, прошли массовые протесты — «Марш миллионов», «Оккупай Абай» и другие акции.

Спустя четыре года, в 2016-м, получить видеозаписи с участков удалённо стало практически невозможно. «Ведомости» сообщили, что по решениям комиссий Санкт-Петербурга и Татарстана избиратель мог запросить видео только с избирательного участка, где он голосовал лично. При этом обратившийся должен был лично присутствовать в избиркоме для копирования видео. Получить их дистанционно, как было возможно в 2012 году, стало нельзя.

Основной тезис отказа от предоставления доступа к камерам: соблюдение информационной безопасности. По словам главы ЦИКа, сейчас «нет необходимости выставлять всю страну напоказ всему миру».

Как партии используют «Госуслуги» на выборах

Спустя год после запуска портала государственных услуг, в 2010 году, политические партии получили к нему доступ. Согласно реестру операторов, осуществляющих обработку персональных данных, каждая парламентская партия нового парламента имеет доступ к обработке персональных данных. Реестр ведут территориальные управления ведомства и в каждом регионе оно своё. Больше всего отделений с доступом к личной информации граждан есть у «Новых людей» (50 юрлиц). На втором месте — «Единая Россия» (41 юрлицо). Партии имеют право собирать, хранить и обрабатывать основные данные граждан: ФИО, ИНН, СНИЛС, номера телефонов, адреса и т. В реестре перечислены субъекты, чья информация может обрабатываться.

Например, юрлицо «Единой России» может работать с данными очень расширенного круга лиц. Кроме сторонников, членов и самих сотрудников политического объединения, ЕР может также работать с данными и тех, кто оставил согласие на обработку данных (и в том числе передавать эти данные. Кому именно — неясно ).

Как сообщили в Роскомнадзоре Томской области (корреспондент «Роскомсвободы» не представился журналистом), политические партии имеют доступ только к тем данным, которые граждане оставили на сайте сами. К базам «Госуслуг» имеют доступ ФНС, ПФР и прочие ведомства, которые предоставляют услуги на портале. На вопрос о доступе к данным «Госуслуг» со стороны силовых ведомств в Роскомнадзоре сообщили, что «в этой сфере не работают», однако отметили, что «скорее всего налажено межведомственное взаимодействие» и информация предоставляется «по запросу».

В период электронного голосования, 19 сентября, в Сети был опубликован ролик с названием «Видеоотчёт» Алчевского центра культуры и народного творчества ЛНР. На кадрах мужчина сообщает, что 17 сентября входит в различные аккаунты портала «Госуслуг», где голосует за «Единую Россию». Первым изданием, обратившим внимание на ролик, стала «Новая газета». Затем «Лента. ру» назвала видео «фейком», поскольку почты взломанных людей «подозрительно похожи друг на друга», а пароли — «однотипны» и содержат инициалы владельца аккаунта, год рождения и цифры даты рождения.

В ролике видно, что мужчина заходит на официальный сайт «Госуслуг» и на портал электронного голосования vybory. gov. Во всех случаях, показанных на видео, аккаунты принадлежат людям, родившимся с 1958 по 1967 год. На кадрах также видно, что на ящиках есть всего около 10 писем, а регистрация на «Госуслугах» была примерно летом 2021 года. Остаётся неясным, чьи это данные и как мужчина смог получить к ним доступ.

Во время предварительного голосования «Единой России» граждане сообщали о массовых взломах своих аккаунтов на «Госуслугах». Злоумышленники изменяли место голосования в «Госуслугах» с настоящего адреса взломанного пользователя на любой другой и регистрировали его на праймериз партии. Как рассказала «Роскомсвободе» Юлия (Томск), её аккаунт использовался для регистрации на предварительном голосовании. В аккаунте девушки был изменен адрес прописки на другой, также в черте города. Однако проголосовать за неё в итоге не удалось:

«Сайт затребовал подтверждение прописки, оно не было дано», — рассказала Юлия «Роскомсвободе».

Кроме того, «Роскомсвобода» получала сообщения о том, что на праймериз заставляли регистрироваться бюджетников с последующим обязательным голосованием за конкретных кандидатов. Подобные кейсы происходили по всей России, а одной из задач была проверка степени мобилизации бюджетников.

В некоторых случаях хакеры попадали в «Госуслуги» через сторонний сервис — «Центр обработки персональных данных Всероссийской политической партии “ЕДИНАЯ РОССИЯ”». Проблему взлома «Госуслуг» также признали и в Минцифры, сообщив «Ъ» о фиксировании «попытки совершения мошеннических действий в отношении отдельных учётных записей».

Как пояснила «Роскомсвободе» доцент ТГУ, кандидат исторических наук Татьяна Ширко, основной взлом аккаунтов на «Госуслугах» впоследствии мог быть выгоден «Единой России». Это делалось для того, чтобы достичь конкретных показателей зарегистрированных в праймериз выборщиков, а во время взломов место жительства в «Госуслугах» изменяли на те регионы, где голосование проходило в электронной форме, рассуждает Татьяна Ширко, кандидат исторических наук и доцент ТГУ.

Как могли появиться слитые базы сторонников Навального

В 2021 году манипуляции с Госуслугами проводились не только во время выборов. Например, в апреле произошла утечка с сайта free. navalny. com — в ней фигурировали данные с «Госуслуг». Тогда в сеть попала база почт людей (более 500 тысяч строк), зарегистрированных на сайте в поддержку Алексея Навального. На сайте было возможно оставить только почту без каких-либо персональных данных. Впоследствии появилось несколько слитых баз данных с зарегистрированными на сайте: таблица с обезличенными данными и документ с персональной информацией (ФИО, телефон, почта, прописка, иногда учебное заведение/место работы).

Как писала «Медуза», организаторами взлома могли выступать сотрудники администрации президента, его управделами и ФСБ. Последняя, согласно расследованию «Медузы», могла участвовать в работе по наполнению слитой базы. По информации близкого к силовикам источника, сотрудники спецслужбы обращались в даркнет с подобными просьбами.

В Томске ещё 23 апреля, за сутки до акции в поддержку Алексея Навального, полиция вызвала «на профилактическую беседу» множество студентов ТГУ. Как тогда выяснила «Медуза», почты этих учащихся удалось найти минимум в одной из баз. По словам собеседников издания, студенты использовали эти электронные почты для регистрации на free. navalny. com и учётной записи «Госуслуг».

17 августа в сети также появилась и другая таблица с личной информацией. Новый документ содержал 10 тысяч строк с персональными данными людей, которые якобы регистрировались в приложении и на сайте «Умного голосования». Таблица содержит ФИО, номера телефонов, дату рождения и место работы. «Роскомсвобода» побеседовала с некоторыми пользователями, чьи данные утекли в сеть и выяснила, что часть данных в этой базе уже фигурировала в апрельской утечке. Кроме того, в некоторых случаях в новой базе место работы было изменено или отсутствовало вовсе, т. не соответствовало актуальному. Само приложение «Навальный» и сайт «Умного голосования» не собирали таких данных с пользователей.

Ближе к выборам стали появляться якобы новые слитые базы данных, состоящие из данных пользователей, установивших приложение для «Умного голосования». 3 сентября стало известно о появившейся базе «донаторов» ФБК (организация объявлена экстремистской), содержащей сведения о более чем 71 тысяче человек с той же персональной информацией, что и в базе от 17 августа: ФИО, номера телефонов и места работы. После этого к оказавшимся в базе жителям Москвы  пришла полиция с требованием объяснить, как граждане попали в эту слитую базу данных. В некоторых случаях полицейские требовали написать заявление на Алексея Навального за незаконную передачу персональных данных.

16 сентября у «Русской службы Би-Би-Си» вышел текст про слитую базу «донаторов ФБК» (организация объявлена экстремистской) — она появилась в сети 2 сентября. Журналисты отметили, что данные о работодателях могли быть взяты из других слитых баз — Федеральной налоговой службы (ФНС) и Пенсионного фонда России (ПФР). Например, корреспонденту «Би-би-си» Андрею Захарову удалось обнаружить собственные данные о местах, где он получал доход и платил налоги (такая информация могла быть получена из базы данных ФНС). При этом журналисты отмечали, что большая часть данных базы «донаторов ФБК» (организация объявлена экстремистской) получена в результате обогащения информацией. Это значит, что к уже имеющейся информации (электронным адресам) в результате поисках в других базах были добавлены ФИО, адреса и место работы.

В этой слитой базе были и обновления. У людей были добавлены места работы, актуальные на 2020-21 года. Как рассказал «Би-Би-Си» Даниил Беловодьев, автор телеграм-канала об утечках данных DR417 и журналист Daily Storm, на чёрном рынке такой информации нет ни в одной из утекших баз. Таким образом авторы расследования «Би-би-си» приходят к выводу, что эта утечка обогащалась иным способом. Можно предположить, что дополнительные сведения о месте работы и ФИО могут быть взяты с «Госуслуг» или из ФНС — именно там есть актуальные данные. Эту же гипотезу высказывает Беловодьев в тексте «Би-Би-Си».

«Зачем им что-то покупать и взламывать, если у них и так все это есть?!» — сообщал Волков.

Однако на рынке пробива не все согласны с такими выводами, следует из разговора «Роскомсвободы» с крупным поставщиком подобных услуг в России. Утечки из ФНС и ПФР «носят точечный характер», сообщает собеседник издания и отмечает: в этих ведомствах базы «закрыты», а масштабных сливов оттуда не было.

Гораздо вероятнее, что данные о месте работы и появившаяся впоследствии база «донатеров» могли быть взяты из банковской сферы, предполагает участник рынка пробива:

На чёрных рынках базы данных обычно запускаются при помощи одной из нескольких систем управления базами данных (СУБД): например «Кронос». По сути СУБД — это программа (как Microsoft Access), позволяющая открывать специальный формат файлов, который используют базы данных с черных рынков. В разных СУБД запускаются разные базы данных. Как правило, базы данных на чёрные рынки попадают через коррумпированных сотрудников госорганов, заверяет «Роскомсвободе» собеседник с рынка пробива и «скорее всего поддерживаются МВД». Либо же — через таких же коррумпированных сотрудников банков или силовых ведомств, которые становятся одновременно потребителями и распространителями нелегальных баз данных. Именно они впоследствии сливают данные пробивщикам на чёрный рынок.

Если клиенту требуется точечный пробив по отдельным структурам (по той же базе ФНС или ПФР), то пробивщики предоставляют такую возможность через отдельных сотрудников. Об этом «Роскомсвободе» рассказал сам продавец данных. Он пояснил, что на черном рынке большие массивы данных можно получить через слитые базы, а «точечный пробив» (актуальную и подробную информацию об одном человеке) можно добыть при помощи сотрудников конкретных ведомств (например, ФНС и ПФР), имеющих доступ к действующим базам.

Впоследствии слитые данные использовались для угроз и манипуляций на выборах. Ещё в апреле пользователи, чьи почты попали в слитую базу, получали угрозы. Злоумышленники обещали направить данные пользователей работодателям, в места учёбы, за поддержку оппозиционера. Доцент кафедры социологии ТГУ рассказала «Роскомсвободе», что это делается для обеспечения контроля за голосующими:

«Политическая выгода подобного рода манипуляций заключается в обеспечении контроля за поведением голосующих. Это происходит путём насаждения страха. Нагнетание страха — классический вариант циничной манипулятивной политики авторитарного режима, позволяющий ощутить человеку в атоминизированном обществе его беспомощность перед государством», — рассказывает кандидат исторических наук, доцент ТГУ Татьяна Ширко.

Как подтвердить учетную запись на Госуслугах?

Сверьте все данные паспорта, номер СНИЛС и дату рождения. В личном кабинете под вашими ФИО должны быть надпись «Подтвержденная учетная запись». Если запись подтверждена и данные верны, опишите ситуацию в специальной форме на портале. В этом случае вам выдадут временный сертификат с QR – кодом

Куда вводить код для подтверждения учетной записи на Госуслугах?

Открыв личный кабинет и посетив раздел с личными сведениями, пользователь увидит 2 блока. Слева будут представлены непосредственно личные сведения, справа – трехступенчатая система идентификации. Необходимо выбрать статус подтвержденный и ввести полученный код доступа