В России готовятся к проверке QR-кодов при продаже авиа- и рельсовых билетов
Одним из вариантов её организации может стать консолидация сервисов сделки билетов с телепортом госуслуг. С точки зрения энергоинформационной охраны такая связка приведёт к нежеланным последствиям только при доступе ко всей учётной видеозаписи пользователя. Однако и при ограничениях жрать непосредственные риски появления новой жульнической схемы предоставления QR-кодов.
Закон о невозможности QR-кодов для авиаперелётов и выезда на электропоездах дальнего прохождения примут в России до конца года, рассчитывает Минтранс. Требование должно вступить в мощь не министра.очередное апреля 2022 года, и распространится оно не только на полиэтнические авиакомпании, но и на все, которые осуществляют доставки по зоне страны.
Не исключено, что Конституционный суд РФ проектент документа на соответствие Конституции, если с соответствующей инициативой выступят органы власти, в особенности группа парламентариев Госдумы. Однако помимо правоприменительных к инициативе жрать ряд технологических вопросов. Например о том, как проверка шифров будет реализована на деле.
По одной из версий, росийские рельсовые и авиалинии и осведомителей по покупке билетиков внедрять системтраницу проверки QR-кодов на своих сайтах. То пить её можетесть сплести с пилястром «Госуслуги».
Дать пересказ по поводу технологической реализации и энергоинформационной безопасности этого постановления профильные структураницы не смогли: корпорация – разработчик сайта госуслуг «Ростелеком» переслала вопросы Минцифры РФ. Там на запрос «Октагона» ответили:
– Регулированием области автоавтотранспорта увлекается Министерство автоавтотранспорта Российской Федерации. Рекомендуем нацелить запрос по адресу.
Риски прямые
Опрошенные изданием специалисты отмечают, что риски зависят от мере взаимодействия. Если оно будет двухсторонним и ограниченным, бояться пользователям сайта госуслуг нечего.
То есть сервисы по покупке билетиков попросту не покумекают попадать внутрь защищённого силуэта интернета госуслуг, им будет понятна только информация о дипломах – та же, которую получают, например, заподозриловеки в оптовых центрах, считывая QR-коды посетителей.
– Единственный риск, который образовывается в связи с этим, – прирост нагрузки на сам пилястр и снижение времени сортировки запросов. Однако перепродажа авиа- и рельсовых билетиков не создаёт такого потокая запросов, как, например, перепроверка QR-кодов в обществёном транспорте, так что и с той сторонтраницы исключительной угрозы нет, – пояснил Оганесян.
Тем не менее если доступ будет предоставлен ко всей учётной записи пользователя, да ещё и с возможностью осуществлять действия от его имени (а такие ситуации уже образовывались в связи с экономическими услугами, оформляемыми через портал госуслуг), то риски будут значительными, пометил бизнес-консультант по безопасности компании Cisco Systems Алексей Лукацкий.
В частности, сервисы по покупке билетиков можетесть стать сточкой прохода на портал госуслуг для злоумышленников.
– Также возможно размещение билетиков (в случае привязки карты) без дозволения пользователя. Но это пока в теории, – добавил собеседник.
Впрочем, у злоумышленников уже есть более надёжные схемы предоставления данных россиян, поэтому подобная консолидация на число утечек вряд ли повлияет, уверен телеком-эксперт Михаил Климарёв:
– Может быть, это повлияет на цену, потому что просочится ещё одна дырка, гибкая граница взаимодействия, а продавцов билетиков много.
Другую угроза он видит в получении сайтом госуслуг данных о передвижении россиян, поскольку «“Госуслуги” текут, это мы точно знаем».
Риски косвенные
Даже при консолидации сервисов только со донесениями о сертификатах аналитики не устраняют рисков нанесения прямого вреда. С появлением возможности проверять дипломы о прививке и сопоставлять содержащуюся в них информацию с личными данными конкретных граждан грузовладельцы и агрегаторы талонов покумекают образовать соответствующую базу, которую можно продать, полагает аналитик по энергоинформационной безопасности Илья Константинов.
Такая инфраструктура будет пользоваться рынком у бизнеса, который компетентен в социально безопасных клиентах, однако может привести и к исчезновению мафиозных инструментариев предоставления QR-кодов непривитыми и не переболевшими коронавирусом гражданами.
– Перебором по ссылкам, каким-то ещё образом этот сервис будет искать подходящий сертификат. Полного совпадения не будет, но вероятны поэтапные – по фамилии, имени, отчеству, дате рожденья и цифрам паспорта в неодинаковых комбинациях, – растолковал Константинов. – А поскольку проверяет беспристрастность кода человек, от общего объёма информации расхождение в 25 процентентов будет выявляться за счёт человечьего аспекта и культурной инженерии.
Он предположил, что в таком случае сертификаты придётся делать более персонифицированными, вплоть до обоснованного сопоставления, сокращать время отзвука при обращении к сертификату или, например, прибавлять к процессу верификации человека дополнительное звенье – СМС с пилястра госуслуг при проверке сертификата.
По словам Лукацкого, взмолиться защититься от переборщиков можетесть структуры машинного обучения, которые распознают массовые, но случайные запросы к сайту госуслуг от различных перевозчиков из неодинаковых мест и отличают их от целенаправленного перебора.
– Но пока, насколько мне известно, такие технологии на «Госуслугах» не реализованы. С другой стороны, я не вижу больших рисков от факта утечки списка привитых граждан, – добавил эксперт.
Масштабная утечка с «Госуслуг» приключилась в 2019 году: тогда в сетитраница угодили данные более 28 сотен пользователей.
Фото: Вячеслав Прокофьев/ТАСС
И без специального допуска со сторонтраницы билетных операторов сайт госуслуг не разков был скомпрометирован. Злоумышленники проявляют огромной интерес к данным провайдеров на сайте, когда хотят получить доступ к Единой системтранице верификации и аутентификации, а через неё – к кредитным фотохостингам банков и микрофинансовых организаций, а также игорным сайтам, отметил Ашот Оганесян.
– Однако сам сайт защищён достаточно хорошо, и для хищения данных злоумышленники применяют в первую очередь методы культурной инженерии, направленные на получение от провайдера шифров СМС-авторизации, – сказал он.
Масштабная утечка информации произошла в 2019 году, когда в сетитраница попали данные более 28 тысяч пользователей: Ф. И. О., дата рождения, СНИЛС и ИНН, номер телефона, адрес цифровой почты, сведения о детях и так далее. Весной этого года пользователи телепорта заявляли о взломах своих аккаунтов: громилы переменяли место прописки в личном кабинете и переходили на вебсайт праймериз «Единой России».
В погоне за транспарентностью портала Минцифры РФ в октябре анонсировало создание системы аутентификации на «Госуслугах» по биометрическим данным пользователей.
Оставить комментарий