В Российской Федерации развивается практика интеграции государственных информационных систем с цифровыми коммуникационными платформами, включая мессенджеры. Одновременно рассматриваются механизмы использования таких платформ в качестве инструмента авторизации при доступе к государственным услугам.
При этом действующее законодательство не закрепляет чёткий архитектурный принцип, определяющий, что государственная система идентификации должна быть единственным корневым источником юридически значимой цифровой аутентификации. Отсутствие такой нормы создает правовую неопределённость и допускает реализацию моделей, при которых доступ к государственным сервисам может зависеть от функционирования и безопасности внешней коммуникационной платформы.
Государственная система идентификации (ЕСИА) используется для доступа к государственным реестрам, социальным выплатам, юридически значимым действиям и иным сервисам, затрагивающим права и обязанности граждан. Уровень доверия к такой системе объективно выше, чем к коммуникационным сервисам, регистрация в которых зачастую осуществляется по номеру телефона и не предполагает сопоставимых процедур подтверждения личности.
Использование мессенджеров в качестве механизма авторизации для государственных информационных систем создает ряд рисков:
формирование зависимости государственной инфраструктуры от частной платформы;
расширение поверхности кибератак за счёт дополнительного канала интеграции;
повышение вероятности компрометации учетных записей через социальную инженерию и атаки на номер мобильного телефона (SIM-swap);
создание единой точки отказа, при которой блокировка или компрометация аккаунта в мессенджере может повлиять на доступ к государственным услугам;
увеличение объема коррелируемых идентификаторов (номер телефона, аккаунт платформы, государственный профиль), что повышает риски утечек и неправомерного доступа к персональным данным.
Дополнительно следует учитывать, что государственные информационные системы могут относиться к объектам критической информационной инфраструктуры. Формирование зависимости механизма аутентификации от внешней коммуникационной среды потенциально снижает устойчивость такой инфраструктуры.
Таким образом, в настоящее время отсутствует нормативно закрепленный принцип, обеспечивающий иерархию доверия в сфере цифровой идентификации граждан. Это создает предпосылки для внедрения архитектурных решений, которые могут снизить уровень информационной безопасности и устойчивости государственной цифровой среды.
Указанная правовая неопределенность требует законодательного урегулирования.
Практический результат
1. Повышение устойчивости государственной цифровой инфраструктуры.
Исключение зависимости механизма аутентификации государственных информационных систем от внешних коммуникационных платформ снизит риск системных сбоев и массовых инцидентов.
2. Снижение вероятности компрометации учетных записей граждан.
Минимизация дополнительных каналов авторизации уменьшит риски атак социальной инженерии, SIM-swap и перехвата сессий.
3. Соблюдение принципа иерархии доверия в цифровой идентификации.
Государственная система идентификации будет закреплена как корневой источник юридически значимой аутентификации.
4. Защита персональных данных граждан.
Сокращение корреляции идентификаторов (номер телефона, аккаунт платформы, государственный профиль) снизит вероятность неправомерного доступа и масштабных утечек.
5. Предотвращение формирования единой точки отказа.
Доступ к государственным услугам не будет зависеть от функционирования или блокировки аккаунта в частной платформе.
6. Повышение доверия к государственным цифровым сервисам.
Законодательное закрепление прозрачной архитектуры аутентификации укрепит правовую определенность и предсказуемость цифровых процессов.
7. Создание долгосрочной устойчивой модели цифровой идентификации.
Будет сформирована системная правовая база, обеспечивающая развитие цифровых сервисов без снижения уровня информационной безопасности.