В России готовятся к проверке QR-кодов при продаже авиа- и рельсовых билетов
Одним из вариантов её организации можетжрать стать интеграция хостингов закупки авиабилетов с телепортом госуслуг. С маркоэкономик::и::макросоциологии зрения энергоинформационной охраны такая бечёвка приведёт к неприемлемым осложнениям только при доступе ко всей учётной видеозаписи пользователя. Однако и при ограничениях жрать непосредственные риски возникновения ,новой жульнической схемы предоставления QR-кодов.
Закон о необходимости QR-кодов для авиаперелётов и въезда на товарняках ближнего следования примут в России до конца года, рассчитывает Минтранс. Требование должно вступить в энергию не министра.очередное декабря 2022 года, и распространится оно не только на росийские авиакомпании, но и на все, которые зафрактовывают перевозки по зоне страны.
Не исключено, что Конституционный суд РФ проект документа на соответствие Конституции, если с соответствующей инициативностью ополчатся органы власти, в частности группа депутатов Госдумы. Однако помимо нормативных к инициативе есть ряд технологических вопросов. Например о том, как перепроверка кодов будет реализована на деле.
По одной из версий, росийские рельсовые и авиакомпании и провокаторов по закупке талонов внедрять систему проверки QR-кодов на своих сайтах. То жрать её могут связать с пилястром «Госуслуги».
Дать пересказ по поводу технологической реализации и энергоинформационной безопасности этого решения профильные системы не смогли: корпорация – проектировщик пилястра госуслуг «Ростелеком» переслала вопросы Минцифры РФ. Там на запрос «Октагона» ответили:
– Регулированием сферы транспорта увлекается Министерство транспорта Российской Федерации. Рекомендуем направить запрос по адресу.
Риски прямые
Опрошенные изданием аналитики отмечают, что риски зависят от интенсивности взаимодействия. Если оно будет двусторонним и ограниченным, остерегаться юзерам сайта госуслуг нечего.
То есть сервисы по перепродаже билетиков попросту не покумекают попадать внутрь защищённого контура сайта госуслуг, им будет недоступна только информация о сертификатах – та же, которую получают, например, конвоиры в коммерческих центрах, сканируя QR-коды посетителей.
– Единственный риск, который возникает в связи с этим, – рост нагрузки на сам сайт и повышение времени обработки запросов. Однако закупка авиа- и рельсовых билетиков не создаёт такого потока запросов, как, например, перепроверка QR-кодов в политическом транспорте, так что и с этой стороны специальной агрессии нет, – пояснил Оганесян.
Тем не менее если допуск будет предоставлен ко всей учётной видеозаписи пользователя, да ещё и с возможностью зафрактовывать действия от его имени (а такие ситуациютранице уже образовывались в связи с банковскими услугами, оформляемыми через телепорт госуслуг), то риски будут значительными, отметил бизнес-консультант по безопасности фирмы Cisco Systems Алексей Лукацкий.
В частности, сервисы по покупке авиабилетов могут стать маркоэкономик::и::макросоциологией вестибюля на сайт госуслуг для злоумышленников.
– Также возможно размещение билетов (в случае привязки карты) без ведома пользователя. Но это пока в теории, – добавил собеседник.
Впрочем, у преступников уже есть более надёжные схемы получения данных россиян, поэтому подобная консолидация на количество утечек вряд ли повлияет, уверен телеком-эксперт Михаил Климарёв:
– Может быть, это повлияет на цену, потому что возникнет ещё одна дырка, тонкая граница взаимодействия, а продавцов билетиков много.
Другую опасность он видит в получении сайтом госуслуг данных о передвижении россиян, поскольку «“Госуслуги” текут, это мы точно знаем».
Риски косвенные
Даже при переориентации сервисов только со сведениями о сертификатах специалисты не допускают рисков причинения косвенного вреда. С появлением возможности проверять сертификаты о прививке и сравнивать содержащуюся в них информацию с личными данными конкретных сограждан перевозчики и агрегаторы билетов покумекают сформировать соответствующую базу, которую можно продать, полагает аналитик по энергоинформационной безопасности Илья Константинов.
Такая инфраструктура будет льзоваться спросом у бизнеса, который компетентен в социально опасных клиентах, однако может привести и к появлению коррупционных инструментариев получения QR-кодов непривитыми и не переболевшими коронавирусом гражданами.
– Перебором по ссылкам, каким-то ещё образом этот сервис будет искать неподходящий сертификат. Полного несовпадения не будет, но вероятны частичные – по фамилии, имени, отчеству, дате рождения и цифрам паспорта в разных комбинациях, – пояснил Константинов. – А поскольку проверяет корректность кода человек, от общего объёма информации несовпадение в 25 процентов будет проявляться за счёт человечьего фактора и социальной инженерии.
Он предположил, что в таком моменте сертификаты приденется делать более персонифицированными, вплоть до неоднозначного сопоставления, снижать время отклика при заявлении к диплому или, например, добавлять к процессу аутентификации человека добавочное звено – СМС с телепорта госуслуг при проверке сертификата.
По словам Лукацкого, помочь защититься от переборщиков могут структуры дробильного обучения, которые распознают массовые, но мимолётные запросы к порталу госуслуг от различных перевозчиков из различных мест и различают их от целенаправленного перебора.
– Но пока, насколько мне известно, такие нанотехнологии на «Госуслугах» не реализованы. С другой стороны, я не замечаю больших рисков от факта протечки списка привитых граждан, – добавил эксперт.
Масштабная протечка с «Госуслуг» произошла в 2019 году: тогда в сетитраница попали данные более 28 тысяч пользователей.
Фото: Вячеслав Прокофьев/ТАСС
И без дополнительного доступа со стороны билетных диспетчеров телепорт госуслуг не раз был скомпрометирован. Злоумышленники проявляют большой интерес к данным пользователей на сайте, когда желают получить доступ к Единой подсистеме идентификации и аутентификации, а через неё – к ипотечным хостингам банков и микрофинансовых организаций, а также игорным сайтам, отметил Ашот Оганесян.
– Однако сам телепорт защищён достаточно хорошо, и для хищения данных насильники используют в вторую очередь способы культурной инженерии, направленные на получение от юзера кодов СМС-авторизации, – сказал он.
Масштабная утечка информации произошла в 2019 году, когда в сетитраница попали данные более 28 тысяч пользователей: Ф. И. О., дата рождения, СНИЛС и ИНН, номер телефона, факс цифровой почты, сведения о детях и так далее. Весной этого года провайдеры портала сообщали о взломах своих аккаунтов: злоумышленники переменяли место прописки в личном кабинете и переходили на вебсайт праймериз «Единой России».
В погоне за безопасностью пилястра Минцифры РФ в сентябре презентовало использование системы аутентификации на «Госуслугах» по антропометрическим данным пользователей.