Информируем вас о дополнительных мерах, которые мы предприняли и планируем предпринять в ближайшее время для обеспечения защиты информации в ФГИС ВетИС и компонента Меркурий, в частности.
Первое. Как вы знаете, ВетИС и ее компоненты интегрированы с системой ЕСИА (Единая Система Идентификации и Аутентификации). Это дает возможность зарегистрированным пользователям ВетИС дополнительно аутентифицироваться в любом компоненте ВетИС с использованием реквизитов доступа к сервисам Электронного правительства. ЕСИА предоставляет широкие возможности по настройке способа аутентификации, включая двухфакторную аутентификацию или аутентификацию с использованием средств Электронной Подписи. Эта возможность была предоставлена как дополнительная к существовавшему тогда единственному способу аутентификации – с использованием реквизитов (имени пользователя и пароля) ВетИС, предоставляемых при регистрации.
Сейчас в целях дополнительной защиты информации, персональных данных и прочей конфиденциальной информации пользователей, нами принято решение, что пользователь должен иметь возможность не только подключать новые способы аутентификации, но и ограничить те, использовать которые он не планирует. Например, использовать для аутентификации в ВетИС только ЕСИА и не использовать реквизиты ВетИС. Это изменение, в том числе, позволит компаниям, которые предъявляют повышенные требования к защите информации, выполнять аутентификацию в ВетИС только с использованием средств Электронной Подписи. Такие обращения мы получали от хозяйствующих субъектов и сейчас удовлетворяем эти пожелания.
Для этого в компоненте Паспорт, реализована и будет доступна пользователям с 16.02.2021 дополнительная функция, с помощью которой пользователь может подключить возможность аутентификации с использованием ЕСИА и заблокировать иные способы аутентификации.
Второе. Дополнительно, мы начали работы по реализации возможности регистрации новых пользователей в ВетИС с использованием ЕСИА и сведений Портала Государственных Услуг. О вводе в эксплуатацию этой возможности будет сообщено дополнительно.
Третье. Для повышения безопасности в ближайшее время во всех компонентах ВетИС будут включены автоматизированные средства контроля соблюдения пользователями парольной политики, в случае использования при аутентификации реквизитов ВетИС. Основные аспекты парольной политики следующие.
• Срок действия пароля: 180 дней, с последующей обязательной сменой. За 14 дней до истечения срока действия пароля ВетИС будет отображать соответствующее предупреждение. Новый пароль не должен повторять 10 предыдущих.
• Длина и формирование пароля: не менее 8 символов, в пароле обязательно должны присутствовать строчные и прописные буквы, цифры.
Вводить средства автоматизированного контроля парольной политики мы начнем с компонента Веста. Где при входе, в случае приближения даты истечения срока действия пароля, будет выводиться предупреждение вида:
«Срок действия вашего пароля заканчивается. Сменить пароль вы можете в своем профиле компонента Паспорт. Процесс аутентификации будет автоматически продолжен через 10 секунд или вы можете продолжить самостоятельно».
А при истечении срока действия пароля, доступ в компонент будет заблокирован с соответствующим сообщением:
«Ваш пароль устарел. Для продолжения работы, вам необходимо его изменить».
В дальнейшем такая проверка появится во всех компонентах ВетИС, о чем мы будем предварительно информировать в нашем Telegram-канале ВетИС.Новости.
Четвертое. Вынуждены еще раз привлечь ваше внимание к вопросу о необходимости внесения полных регистрационных данных лиц, имеющих доступ к ВетИС. Ранее (см. публикации О заполнении реестров ВетИС и Об изменении порядка доступа к ВетИС из анонимных сетей) мы не раз обращали ваше внимание на необходимость указания в регистрационных данных личных мобильных номеров как средства осуществления двойной идентификации пользователей и СНИЛС как единственного в России уникально идентификатора гражданина. Поясняли, что это в интересах добросовестных участников производства и обращения, поскольку эти данные мы используем для верификации того, что доступ к системе осуществляет именно тот, кто зарегистрирован, и тот, чьи регистрационные данные в ВетИС указаны верно.
Мониторинг этого вопроса показал, что наши предупреждения вами не услышаны и вот какую картину мы имеем на сегодняшний день с указанием номеров мобильных телефонов.
Из 796’893 уполномоченных лиц и аттестованных специалистов, осуществляющих в настоящее время, доступ к системе указали в регистрационных данных номер своего телефона только 19’693 человека, что составляет 2% от этого числа.
Из 38’942 сотрудников региональных ветслужб и подведомственных им учреждений, осуществляющих в настоящее время, доступ к системе указали в регистрационных данных номер своего телефона только 2’590 человек, что составляет 6,7% от этого числа. Такая ситуация – это открытые ворота для жуликов, чем те сейчас и пользуются, в том числе нанося ущерб добросовестным участникам производства и обращения.
В связи с вышеизложенным и отсутствием вашей, уважаемые дамы и господа, коллеги, реакции на уговоры в течение более, чем полутора лет, вынуждены сообщить, что с 01.03.2021 доступ не указавших в регистрационных данных упомянутые сведения лиц к ВетИС вообще, и к системе Меркурий в частности, будет прекращен.
Надеемся, что прошедших полутора лет и оставшегося времени вам хватит, чтобы внести эти данные. Пожалуйста, обратите внимание на этот вопрос во избежание срывов в вашей работе после 01.03.2021.
По вопросам работы в компоненте Паспорт обращайтесь по электронной почте на адрес технической поддержки passport@fsvps.ru.