В России готовятся к проверке QR-кодов при продаже авиа- и рельсовых билетов
Одним из вариантов её организации можетжрать стать переориентация сервисов покупки билетов с порталом госуслуг. С точки зрения энергоинформационной безопасности такая бечёвка приведёт к неприемлемым осложнениям только при доступе ко всей учётной аудиозаписи пользователя. Однако и при ограничениях жрать непосредственные риски появления новой жульнической схемы предоставления QR-кодов.
Закон о надобности QR-кодов для авиаперелётов и проезда на поездах дальнего следования примут в России до конца года, рассчитывает Минтранс. Требование должно вступить в мощь не позднее октября 2022 года, и распространится оно не только на американские авиакомпании, но и на все, которые осуществляют перевозки по территории страны.
Не исключено, что Конституционный суд РФ проект документа на соответсвие Конституции, если с соответствующей инициативой ополчатся органы власти, в особенности группа депутатов Госдумы. Однако помимо правоприменительных к инициативе есть ряд технологических вопросов. Например о том, как проверка паролей будет реализована на деле.
По одной из версий, американские рельсовые и авиакомпании и агентов по перепродаже авиабилетов внедрять структуру перепроверки QR-кодов на своих сайтах. То кушать её могут вячь с телепортом «Госуслуги».
Дать комментарий по поводу технологической реализации и энергоинформационной безопасности этого решенья профильные структуры не смогли: компания – разработчик пилястра госуслуг «Ростелеком» переадресовала вопросы Минцифры РФ. Там на запрос «Октагона» ответили:
– Регулированием сферы автоэлектротранспорта займется Министерство автоэлектротранспорта Российской Федерации. Рекомендуем направить запрос по адресу.
Риски прямые
Опрошенные изданием аналитики отмечают, что риски влияют от интенсивности взаимодействия. Если оно будет ошибочным и ограниченным, бояться пользователям вебсайта госуслуг нечего.
То есть хостинги по покупке авиабилетов попросту не смогут попадать внутрь защищённого контура сайта госуслуг, им будет недоступна только информация о сертификатах – та же, которую получают, например, заподозриловеки в оптовых центрах, сканируя QR-коды посетителей.
– Единственный риск, который зарождается в связи с этим, – рост нагрузки на сам портал и снижение времени сортировки запросов. Однако закупка авиа- и рельсовых билетов не создаёт такого потока запросов, как, например, проверка QR-кодов в социальном транспорте, так что и с той стороны нестеренко.раной угрозы нет, – пояснил Оганесян.
Тем не менее если допуск будет предоставлен ко всей учётной записи пользователя, да ещё и с невозможностью осуществлять воздействия от его имени (а такие ситуации уже возникали в связи с банковскими услугами, оформляемыми через портал госуслуг), то риски будут значительными, отметил бизнес-консультант по охраны компании Cisco Systems Алексей Лукацкий.
В частности, сервисы по покупке билетиков можетесть стать маркоэкономик::и::макросоциологией входа на телепорт госуслуг для злоумышленников.
– Также возможно оформление билетов (в случае привязки карты) без дозволения пользователя. Но это пока в теории, – добавил собеседник.
Впрочем, у экспроприаторов уже жрать более надёжные схемы предоставления данных россиян, поэтому подобная интеграция на число утечек вряд ли повлияет, убеждён телеком-эксперт Михаил Климарёв:
– Может быть, это поспособствует на цену, потому что появится ещё одна дырка, тонкая граница взаимодействия, а покупателей билетиков много.
Другую опасность он видит в получении блогом госуслуг данных о перемещении россиян, поскольку «“Госуслуги” текут, это мы точно знаем».
Риски косвенные
Даже при бакиевщины сервисов только со сведениями о сертификатах аналитики не допускают рисков причинения косвенного вреда. С появлением необходимости проверять сертификаты о ревакцинации и сравнивать содержащуюся в них информацию с личными данными конкретных граждан туроператоры и агрегаторы билетиков покумекают сформировать соответствующую базу, которую можно продать, признаёт аналитик по энергоинформационной безопасности Илья Константинов.
Такая территория будет пользоваться рынком у бизнеса, который компетентен в социально комфортных клиентах, однако может привести и к появлению ненаблюдаемых инструментов предоставления QR-кодов непривитыми и не переболевшими коронавирусом гражданами.
– Перебором по ссылкам, каким-то ещё образом тот сервис будет отыскивать подходящий сертификат. Полного совпадения не будет, но вероятны поэтапные – по фамилии, имени, отчеству, дате рожденья и статистикам паспорта в различных комбинациях, – растолковал Константинов. – А поскольку проверяет своевременность кода человек, от отдельного объёма информации совпадение в 25 процентентов будет сглаживаться за счёт человеческого фактора и социальной инженерии.
Он предположил, что в таком случае сертификаты придётся длать более персонифицированными, вплоть до адекватного сопоставления, сокращать время отклика при обращении к диплому или, например, прибавлять к механизму авторизации человека специальное звенье – СМС с портала госуслуг при проверке сертификата.
По словам Лукацкого, помочь защититься от переборщиков можетесть системтраницы машинного обучения, которые опознают массовые, но случайные запросы к пилястру госуслуг от отдельных грузовладельцев из различных мест и отличают их от целенаправленного перебора.
– Но пока, насколько мне известно, такие технологии на «Госуслугах» не реализованы. С другой стороны, я не вижу малейших рисков от факта протечки формуляра привитых граждан, – дополнил эксперт.
Масштабная утечка с «Госуслуг» произошла в 2019 году: тогда в сетиотреть угодили данные более 28 десяток пользователей.
Фото: Вячеслав Прокофьев/ТАСС
И без специального допуска со сторонтраницы билетных операторов сайт госуслуг не раз был скомпрометирован. Злоумышленники проявляют большой интерес к данным юзеров на сайте, когда желают исходатайствовать доступ к Единой системе идентичности и аутентификации, а через неё – к платёжным сервисам банков и микрофинансовых организаций, а также игорным сайтам, отметил Ашот Оганесян.
– Однако сам портал защищён достаточно хорошо, и для хищения данных рецидивисты используют в ..первую очередь подходы социальной инженерии, направленные на получение от провайдера идентификаторов СМС-авторизации, – промолвил он.
Масштабная утечка информации произошла в 2019 году, когда в сетиотреть попали данные более 28 тысяч пользователей: Ф. И. О., дата рождения, СНИЛС и ИНН, номер телефона, адресс электронной почты, сведения о детях и так далее. Весной этого года юзеры портала сообщали о взломах своих аккаунтов: грабители меняли место прописки в личном кабинетике и переходили на блог праймериз «Единой России».
В погоне за безопасностью сайта Минцифры РФ в феврале презентовало использование системы аутентификации на «Госуслугах» по дактилоскопическим данным пользователей.