Интернет-сервисы такие как госуслуги, банковские приложения, интернет-магазины, используют методы авторизации (входа) посредством логина и пароля, а в качестве дополнительного средства проверки, используется номер телефона и СМС (либо специальное приложение на телефоне). Эта комбинация может использоваться как простая электронная подпись, а значит, имеет юридическую силу и позволяет совершать практически любые операции (Федеральный закон от 06.04.2011 № 63-ФЗ (ред. от 02.07.2021) (с изм. и доп., вступ. в силу с 01.03.2022) "Об электронной подписи" Статья 5. Виды электронных подписей).
Интернет-сервисы и операторы связи не имеют в настоящее время четких регламентов по взаимодействию между собой и с клиентом в целях обеспечения безопасности. В ущерб безопасности они упрощают правила пользования своими услугами, а количество преступлений в сфере информационных технологий непрерывно растет, и причина этого роста не слабая техническая защищенность, а в первую очередь, отсутствие стандартов безопасности подкрепленных законодательно.
Практический результат
Мошеннические схемы основанные на перевыпуске СИМ-карты или перехвате логина и пароля перестанут работать. Телефонные номера останутся у своих владельцев. Все неучтенные телефоны будут заблокированы.
1. Запретить операторам связи по умолчанию, осуществлять очное обслуживание физических лиц по доверенности, дистанционное обслуживание без авторизацией посредством портала госуслуг.
2. Запретить операторам связи забирать у клиентов их номера телефонов в течении одного года. В случае неоплаты или отсутствия активности, оператор может приостановить предоставление услуг, но клиент в течении года будет иметь возможность
восстановить доступ к своему номеру телефона.
3. Реализовать механизм оповещения операторов связи о прекращении действия юридического лица или смерти физического лица, со стороны государственных органов, для приостановления обслуживания номера телефона.
4. Запретить операторам связи предоставлять услуги связи, а клиентам пользоваться услугами, от имени снятых с регистрации юрлиц или умерших людей. Назначить уголовную и административную ответственность за несоблюдение.
Разработать механизм преемственной передачи номера телефона.
5. Запретить предоставление услуг связи без регистрации, запретить анонимную регистрацию.
6. Имеет место быть когда продавец СИМ-карт, регистрирует номера телефонов на себя или на знакомых, а затем продает их полулегальным образом. Либо руководитель компании покупает телефоны сотрудникам и раздает их без всякого контроля.
В связи с этим, уже разработаны механизмы регистрации фактических пользователей номеров телефонов, но их явно не достаточно. Предлагаю запретить регистрировать на одно физическое лицо больше 10 номеров телефонов, без дополнительного разрешения.
7. Запретить владельцам интернет-сервисов предоставлять первичный доступ к своему сайту или приложению без подтверждения авторизации через портал госуслуг.
Далее владелец интернет-сервиса сам будет определять меры защиты учетной записи пользователя. Иными словами для конечного пользователя ничего не изменится. Но поддельные учетные записи будет практически невозможно зарегистрировать.
8. Запретить владельцам интернет-сервисов дистанционно восстанавливать доступ пользователю, при утере логина и пароля, а также запретить менять номер телефона, при недоступности старого. Большинство мошеннических схем до сих пор работает только потому что это разрешено.
9. Обязать владельцев интернет-ресурсов, и операторов связи, осуществлять обслуживание клиента только с устройств на которых была пройдена первичная авторизация. Имеется ввиду смена IMEI телефона или смена browserID, серийного номера устройства и т.п.
10. Обязать владельцев интернет-ресурсов, рекомендовать конечным пользователям устройств ставить пароль на СИМ-карту, на телефон или др. устройство.