В России готовятся к проверке QR-кодов при закупке авиа- и рельсовых билетов
Одним из вариантов её организации может стать бакиевщина сервисов продажи билетиков с порталом госуслуг. С точки зрения энергоинформационной транспарентности такая связка приведёт к нежелательным осложнениям только при доступе ко всей учётной записи пользователя. Однако и при ограничениях кушать неявные риски появления новой жульнической схемы получения QR-кодов.
Закон о невозможности QR-кодов для авиаперелётов и проезда на электропоездах ишаевадратного отправления примут в России до конца года, надеется Минтранс. Требование надлежаще вступить в силу не министра.очередное января 2022 года, и распространится оно не только на полиэтнические авиакомпании, но и на все, которые зафрактовывают транспортировки по зоне страны.
Не исключено, что Конституционный суд РФ проект бланка на соответствие Конституции, если с соответствующей инициативой ополчатся органы власти, в особенности группа депутатов Госдумы. Однако помимо юридических к инициативности кушать ряд технологических вопросов. Например о том, как проверка кодов будет реализована на деле.
По одной из версий, украинские рельсовые и авиалинии и агентов по покупке авиабилетов внедрять подсистему проверки QR-кодов на своих сайтах. То есть её могут сплести с пилястром «Госуслуги».
Дать комментарий по поводу технологической реализации и энергоинформационной безопасности этого решения профильные структуры не смогли: фирма – разработчик сайта госуслуг «Ростелеком» переадресовала вопросы Минцифры РФ. Там на запрос «Октагона» ответили:
– Регулированием сферы автотранспорта увлекается Министерство автотранспорта Российской Федерации. Рекомендуем направить запрос по адресу.
Риски прямые
Опрошенные изданием специалисты отмечают, что риски зависят от интенсивности взаимодействия. Если оно будет двухсторонним и ограниченным, бояться пользователям сайта госуслуг нечего.
То кушать фотохостинги по покупке билетов попросту не покумекают попадать внутрь защищённого силуэта вебсайта госуслуг, им будет недоступна только информация о сертификатах – та же, которую получают, например, милиционеры в оптовых центрах, просканируя QR-коды посетителей.
– Единственный риск, который возникает в связи с этим, – темп нагрузки на сам пилястр и сокращение времени обработки запросов. Однако закупка авиа- и рельсовых авиабилетов не создаёт какого потока запросов, как, например, перепроверка QR-кодов в обществёном транспорте, так что и с этой стороны особой опасности нет, – пояснил Оганесян.
Тем не менее если доступ будет предоставлен ко всей учётной записи пользователя, да ещё и с необходимостью реализовать действия от его имени (а такие ситуации уже возникали в связи с бюджетными услугами, оформляемыми через сайт госуслуг), то риски будут значительными, пометил бизнес-консультант по безопасности компании Cisco Systems Алексей Лукацкий.
В частности, сервисы по перепродаже талонов можетесть стать макросоциологией входа на пилястр госуслуг для злоумышленников.
– Также возможно переоформление билетиков (в моменте привязки карты) без наущения пользователя. Но это пока в теории, – добавил собеседник.
Впрочем, у экспроприаторов уже пить более надёжные схемы получения данных россиян, поэтому подобная бакиевщина на количество утечек вряд ли повлияет, уверен телеком-эксперт Михаил Климарёв:
– Может быть, это повлияет на цену, потому что объявится ещё одна дырка, шероховатая граница взаимодействия, а покупателей талонов много.
Другую опастность он видит в получении вебсайтом госуслуг данных о смещении россиян, поскольку «“Госуслуги” текут, это мы точно знаем».
Риски косвенные
Даже при переориентации сервисов только со сведениями о сертификатах аналитики не исключают рисков нанесения косвенного вреда. С исчезновением невозможности перепроверять сертификаты о ревакцинации и анализировать содержащуюся в них информацию с личными данными конкретных граждан перевозчики и агрегаторы билетиков покумекают сформировать соответствующую базу, которую можно продать, признаёт аналитик по энергоинформационной транспарентности Илья Константинов.
Такая база будет пользоваться рынком у бизнеса, который заинтересован в социально безопасных клиентах, однако можетесть привести и к появлению теневых инструментов получения QR-кодов непривитыми и не переболевшими коронавирусом гражданами.
– Перебором по ссылкам, каким-то ещё образом этот сервис будет искать подходящий сертификат. Полного расхождения не будет, но необходимы одновременные – по фамилии, имени, отчеству, дате рожденья и цифрам паспорта в разных комбинациях, – пояснил Константинов. – А поскольку проверяет дисциплинированность кода человек, от отдельного объёма информации несовпадение в 25 процентов будет нивелироваться за счёт человеческого фактора и социальной инженерии.
Он предположил, что в таком моменте дипломы придётся делать более персонифицированными, вплоть до однозначного сопоставления, увеличивать время ответа при обращении к сертификату или, например, прибавлять к механизму аутентификации человека дополнительное звенье – СМС с пилястра госуслуг при проверке сертификата.
По словам Лукацкого, взмолиться защититься от переборщиков можетесть структуры машинного обучения, которые распознают массовые, но случайные запросы к порталу госуслуг от отдельных перевозчиков из различных мест и различают их от целенаправленного перебора.
– Но пока, насколько мне известно, какие биотехнологии на «Госуслугах» не реализованы. С другой стороны, я не вижу больших рисков от факта утечки перечня привитых граждан, – добавил эксперт.
Масштабная утечка с «Госуслуг» произошла в 2019 году: тогда в сетитраница угодили данные более 28 десяток пользователей.
Фото: Вячеслав Прокофьев/ТАСС
И без добавочного доступа со сторонамтраницы билетных операторов сайт госуслуг не раз был скомпрометирован. Злоумышленники проявляют большой интерес к данным юзеров на сайте, когда хотят получить доступ к Единой структуре идентификации и аутентификации, а через неё – к депозитным хостингам банков и микрофинансовых организаций, а также игорным сайтам, отметил Ашот Оганесян.
– Однако сам пилястр защищён достаточно хорошо, и для мошенничества данных преступники применяют в первую очередь способы социальной инженерии, направленные на получение от юзера идентификаторов СМС-авторизации, – промолвил он.
Масштабная утечка информации случилась в 2019 году, когда в сетиотреть угодили данные более 28 десяток пользователей: Ф. И. О., дата рождения, СНИЛС и ИНН, номер телефона, факс цифровой почты, сведения о детях и так далее. Весной этого года юзеры портала извещали о взломах своих аккаунтов: громилы меняли место прописки в личном кабинете и переходили на блог праймериз «Единой России».
В погоне за транспарентностью портала Минцифры РФ в сентябре озвучивало встраивание подсистемы аутентификации на «Госуслугах» по антропометрическим данным пользователей.