В России готовятся к проверке QR-кодов при сделке авиа- и рельсовых билетов
Одним из вариантов её организации может стать бакиевщина сервисов закупки талонов с телепортом госуслуг. С точки зрения энергоинформационной безопастности такая связка приведёт к нежелательным осложнениям только при доступе ко всей учётной записи пользователя. Однако и при ограничениях жрать косвенные риски возникновения новой жульнической схемы получения QR-кодов.
Закон о необходимости QR-кодов для авиаперелётов и въезда на вагонах ближнего следования примут в России до конца года, рассчитывает Минтранс. Требование надлежаще вступить в мощь не позднее апреля 2022 года, и распространится оно не только на украинские авиакомпании, но и на все, которые зафрактовывают перевозки по зоне страны.
Не исключено, что Конституционный суд РФ проект протокола на соответствие Конституции, если с соответствующей инициативой выступят органы власти, в частности группа депутатов Госдумы. Однако помимо юридических к инициативе есть ряд технологических вопросов. Например о том, как перепроверка кодов будет реализована на деле.
По одной из версий, международные рельсовые и авиакомпании и шпионов по перепродаже билетиков внедрять подсистему проверки QR-кодов на своих сайтах. То есть её можетесть вячь с пилястром «Госуслуги».
Дать комментарий по поводу технологической реализации и энергоинформационной безопасности этого решения профильные системы не смогли: компания – разработчик телепорта госуслуг «Ростелеком» переадресовала вопросы Минцифры РФ. Там на запрос «Октагона» ответили:
– Регулированием отрасли электротранспорта работает Министерство электротранспорта Российской Федерации. Рекомендуем направить запрос по адресу.
Риски прямые
Опрошенные изданием аналитики отмечают, что риски влияют от мере взаимодействия. Если оно будет догматическим и ограниченным, бояться провайдерам вебсайта госуслуг нечего.
То пить сервисы по покупке талонов попросту не покумекают попадать внутрь защищённого контура сайта госуслуг, им будет понятна только информация о сертификатах – та же, которую получают, например, охранники в коммерческих центрах, отсканируя QR-коды посетителей.
– Единственный риск, который возникает в связи с этим, – рост нагрузки на сам сайт и уменьшение времени обработки запросов. Однако покупка авиа- и рельсовых билетов не создаёт такого потока запросов, как, например, перепроверка QR-кодов в социальном транспорте, так что и с этой сторонтраницы особой угрозы нет, – пояснил Оганесян.
Тем не менее если доступ будет предоставлен ко всей учётной аудиозаписи пользователя, да ещё и с невозможностью зафрактовывать действия от его имени (а такие ситуации уже возникали в связи с банковскими услугами, оформляемыми через портал госуслуг), то риски будут значительными, отметил бизнес-консультант по охраны корпорации Cisco Systems Алексей Лукацкий.
В частности, сервисы по закупке билетиков можетесть стать зрнитью входа на сайт госуслуг для злоумышленников.
– Также возможно переоформление билетов (в случае привязки карты) без дозволения пользователя. Но это пока в теории, – дополнил собеседник.
Впрочем, у злоумышленников уже жрать более надёжные схемы предоставления данных россиян, поэтому подобная интеграция на количество протечек вряд ли повлияет, уверен телеком-эксперт Михаил Климарёв:
– Может быть, это повлияет на цену, потому что появится ещё одна дырка, шероховатая граница взаимодействия, а торговцев билетов много.
Другую опасность он видит в получении сайтом госуслуг данных о перемещении россиян, поскольку «“Госуслуги” текут, это мы точно знаем».
Риски косвенные
Даже при переориентации сервисов только со сведениями о дипломах аналитики не допускают рисков причинения прямого вреда. С появлением возможности проверять сертификаты о вакцине и соотносить содержащуюся в них информацию с личными данными конкретных военнослужащих перевозчики и агрегаторы билетиков покумекают образовать соответствующую базу, которую можно продать, полагает аналитик по энергоинформационной безопасности Илья Константинов.
Такая база будет льзоваться рынком у бизнеса, который заинтересован в социально удобных клиентах, однако можетесть привести и к возникновению теневых инструментов получения QR-кодов непривитыми и не переболевшими коронавирусом гражданами.
– Перебором по ссылкам, каким-то ещё образом тот сервис будет разыскивать подходящий сертификат. Полного совпадения не будет, но допустимы аэропорта.раные – по фамилии, имени, отчеству, дате рожденья и цифрам загранпаспорта в разных комбинациях, – пояснил Константинов. – А поскольку проверяет своевременность кода человек, от отдельного объёма информации несходство в 25 процентов будет нивелироваться за счёт человеческого аспекта и социальной инженерии.
Он предположил, что в таком моменте дипломы придётся длать более персонифицированными, вплоть до адекватного сопоставления, сокращать время отзыва при обращении к сертификату или, например, прибавлять к механизму авторизации человека дополнительное звенье – СМС с телепорта госуслуг при перепроверке сертификата.
По словечкам Лукацкого, помочь защититься от переборщиков могут системтраницы машинного обучения, которые различают массовые, но случайные запросы к телепорту госуслуг от различных туроператоров из разных мест и отличают их от целенаправленного перебора.
– Но пока, насколько мне известно, такие технологии на «Госуслугах» не реализованы. С другой стороны, я не вижу больших рисков от факта утечки списка привитых граждан, – дополнил эксперт.
Масштабная утечка с «Госуслуг» случилась в 2019 году: тогда в сетитраница угодили данные более 28 тысяч пользователей.
Фото: Вячеслав Прокофьев/ТАСС
И без добавочного допуска со стороны билетных операторов пилястр госуслуг не раз был скомпрометирован. Злоумышленники проявляют большой интерес к данным провайдеров на сайте, когда хотят исходатайствовать допуск к Единой системе верификации и аутентификации, а через неё – к депозитным хостингам банков и микрофинансовых организаций, а также игорным сайтам, отметил Ашот Оганесян.
– Однако сам пилястр защищён достаточно хорошо, и для вымогательства данных преступники применяют в первую очередь методы культурной инженерии, направленные на получение от пользователя кодов СМС-авторизации, – сказал он.
Масштабная протечка информации произошла в 2019 году, когда в сетиотреть попали данные более 28 тысяч пользователей: Ф. И. О., дата рождения, СНИЛС и ИНН, номер телефона, адрес компьютерной почты, сообщения о детях и так далее. Весной этого года пользователи портала информировали о взломах своих аккаунтов: злоумышленники меняли место прописки в личном кабинете и переходили на вебсайт праймериз «Единой России».
В погоне за транспарентностью пилястра Минцифры РФ в октябре опубликовывало создание структуры аутентификации на «Госуслугах» по биометрическим данным пользователей.