Инициатива по замене номеров СНИЛС и ОМС на сотовые номера владельцев упростит доступ мошенникам. Об этом Агентству городских новостей «Москва» сообщил заведующий лабораторией доверенного искусственного интеллекта РТУ МИРЭА Юрий Силаев, комментируя предложение депутатов Госдумы о предоставлении гражданам права добровольно заменять присвоенные номера СНИЛС и/или ОМС на номер мобильного телефона.
«Инициатива по унификации номеров СНИЛС и ОМС с форматом телефонных номеров на первый взгляд кажется логичным шагом в сторону упрощения административных процедур для граждан. Однако с точки зрения кибербезопасности и защиты персональных данных такая система создает значительные и потенциально опасные риски. Основная проблема заключается в кардинальном изменении природы самого идентификатора. В текущей системе номера СНИЛС и ОМС являются конфиденциальной информацией, известной ограниченному кругу лиц и организаций. Их случайный подбор крайне затруднен из-за структуры и алгоритмов формирования. Если же эти номера станут похожи на телефонные, то есть последовательными и предсказуемыми, они фактически превратятся из секретного ключа в публичный логин. Это принципиально снижает их защитную функцию. Именно это и открывает широкие возможности для мошенников», – сказал Силаев.
Эксперт отметил, что, зная номер телефона человека, который в современном мире часто является публичным, злоумышленник потенциально сможет вычислить или подобрать его номер СНИЛС.
«Это создает прямую угрозу для доступа к конфиденциальной информации. Через различные государственные и медицинские порталы, используя связку «номер СНИЛС – номер телефона» для получения одноразового кода подтверждения, мошенники могут получить несанкционированный доступ к медицинской истории, данным о состоянии пенсионного счета, истории больничных и другой чувствительной информации», – уточнил Силаев.
Он подчеркнул, что такая система также упрощает социальную инженерию. «Мошенник, звонящий человеку и называющий не только его имя, но и номер СНИЛС, сразу вызывает больше доверия. Это повышает эффективность схем выманивания денег или получения дополнительных персональных данных под предлогом, например, «подтверждения операции» или «проблемы со страховкой». Угроза заключается не только в прямом цифровом взломе, но и в психологическом давлении на граждан. Вместо унификации в формате телефонного номера, безопасность граждан была бы значительно усилена за счет внедрения многофакторной аутентификации, где биометрические данные или аппаратные ключи защиты дополняли бы существующие идентификаторы», – добавил Силаев.
Эксперт напомнил, что ключевым принципом информационной безопасности является то, что публичная информация (например, номер телефона) не должна использоваться для восстановления доступа или идентификации в системах, содержащих критически важные приватные данные.
«Предлагаемая инициатива нарушает этот фундаментальный принцип и может привести к росту числа краж личных данных и мошенничеств», – заключил Силаев.