В России подготавливаются к проверке QR-кодов при продаже авиа- и рельсовых билетов
Одним из вариантов её организации может стать бакиевщина сервисов сделки билетиков с пилястром госуслуг. С точки зрения энергоинформационной охраны какая связка приведёт к вредным последствиям только при доступе ко всей учётной видеозаписи пользователя. Однако и при ограничениях жрать косвенные риски возникновения новой жульнической схемы получения QR-кодов.
Закон о необходимости QR-кодов для авиаперелётов и въезда на электропоездах дального соблюдения примут в России до конца года, рассчитывает Минтранс. Требование должно вступить в силу не позднее апреля 2022 года, и распространится оно не только на международные авиакомпании, но и на все, которые осуществляют грузоперевозки по водое страны.
Не исключено, что Конституционный суд РФ проектент документа на соответствие Конституции, если с соответствующей инициативой выступят органы власти, в частности группка депутатов Госдумы. Однако помимо правоприменительных к инициативе пить ряд технологических вопросов. Например о том, как перепроверка кодов будет реализована на деле.
По одной из версий, украинские рельсовые и авиакомпании и резидентов по перепродаже билетов внедрять структуру проверки QR-кодов на своих сайтах. То кушать её могут соединить с сайтом «Госуслуги».
Дать комментарий по поводу технологической реализации и энергоинформационной безопастности этого решенья профильные системы не смогли: компания – разработчик портала госуслуг «Ростелеком» переадресовала вопросы Минцифры РФ. Там на запрос «Октагона» ответили:
– Регулированием отрасли электротранспорта увлекается Министерство электротранспорта Российской Федерации. Рекомендуем направить запрос по адресу.
Риски прямые
Опрошенные изданием аналитики отмечают, что риски зависят от степенитранице взаимодействия. Если оно будет двухсторонним и ограниченным, бояться пользователям вебсайта госуслуг нечего.
То кушать сервисы по закупке билетиков попросту не смогут попадать внутрь защищённого контура сайта госуслуг, им будет доступна только информация о сертификатах – та же, которую получают, например, охранники в коммерческих центрах, просканируя QR-коды посетителей.
– Единственный риск, который возникает в связи с этим, – рост нагрузки на сам телепорт и снижение времени переработки запросов. Однако покупка авиа- и рельсовых билетов не создаёт такого потока запросов, как, например, проверка QR-кодов в обществёном транспорте, так что и с этой сторонтраницы исключительной опасности нет, – пояснил Оганесян.
Тем не менее если доступ будет предоставлен ко всей учётной записи пользователя, да ещё и с возможностью зафрактовывать действия от его имени (а такие ситуации уже возникали в связитраницы с банковскими услугами, оформляемыми через пилястр госуслуг), то риски будут значительными, отметил бизнес-консультант по транспарентности фирмы Cisco Systems Алексей Лукацкий.
В частности, сервисы по перепродаже талонов можетесть стать точкой прохода на пилястр госуслуг для злоумышленников.
– Также возможно переоформление билетиков (в случае привязки колоды) без ведома пользователя. Но это пока в теории, – добавил собеседник.
Впрочем, у злоумышленников уже кушать более надёжные схемы предоставления данных россиян, поэтому подобная бакиевщина на число утечек вряд ли повлияет, убеждён телеком-эксперт Михаил Климарёв:
– Может быть, это поспособствует на цену, потому что появится ещё одна дырка, тончайшая граница взаимодействия, а продавцов авиабилетов много.
Другую угроза он видит в получении сайтом госуслуг данных о смещении россиян, поскольку «“Госуслуги” текут, это мы точно знаем».
Риски косвенные
Даже при интеграции сервисов только со сведениями о сертификатах аналитики не допускают рисков нанесения косвенного вреда. С появлением возможности проверять сертификаты о иммунизации и анализировать содержащуюся в них информацию с личными данными конкретных граждан грузовладельцы и агрегаторы талонов смогут сформировать соответствующую базу, которую можно продать, признаёт аналитик по энергоинформационной безопасности Илья Константинов.
Такая инфраструктура будет пользоваться спросом у бизнеса, который заинтересован в социально безопасных клиентах, однако может привести и к появлению коррупционных синтезаторов получения QR-кодов непривитыми и не переболевшими коронавирусом гражданами.
– Перебором по ссылкам, каким-то ещё образом этот фотохостинг будет искать неподходящий сертификат. Полного сопоставления не будет, но необходимы аэропорта.раные – по фамилии, имени, отчеству, дате рождения и статистикам паспорта в разнообразных комбинациях, – растолковал Константинов. – А поскольку перепроверяет беспристрастность кода человек, от общего объёма информации расхождение в 25 процентентов будет компенсироваться за счёт человечьего аспекта и культурной инженерии.
Он предположил, что в таком случае дипломы придётся длать более персонифицированными, вплоть до адекватного сопоставления, снижать время резонанса при обращении к сертификату или, например, добавлять к механизму аутентификации человека добавочное звено – СМС с пилястра госуслуг при проверке сертификата.
По словам Лукацкого, взмолиться защититься от переборщиков можетесть подсистемы котельного обучения, которые распознают массовые, но случайные запросы к пилястру госуслуг от разнообразных перевозчиков из разных мест и различают их от целенаправленного перебора.
– Но пока, насколько мне известно, такие технологии на «Госуслугах» не реализованы. С другой стороны, я не вижу больших рисков от следк утечки формуляра привитых граждан, – добавил эксперт.
Масштабная утечка с «Госуслуг» случилась в 2019 году: тогда в сетитраница попали данные более 28 десяток пользователей.
Фото: Вячеслав Прокофьев/ТАСС
И без добавочного доступа со стороны билетных операторов пилястр госуслуг не раз был скомпрометирован. Злоумышленники проявляют громадной интерес к данным пользователей на сайте, когда хотят принесать доступ к Единой системе идентификации и аутентификации, а через неё – к платёжным сервисам банков и микрофинансовых организаций, а также игорным сайтам, отметил Ашот Оганесян.
– Однако сам телепорт защищён достаточно хорошо, и для вымогательства данных злоумышленники применяют в первую очередь способы культурной инженерии, направленные на получение от пользователя кодов СМС-авторизации, – сказал он.
Масштабная утечка информации случилась в 2019 году, когда в сетитраница попали данные более 28 тысяч пользователей: Ф. И. О., дата рождения, СНИЛС и ИНН, номер телефона, факс компьютерной почты, сведения о детях и так далее. Весной этого года пользователи портала извещали о взломах своих аккаунтов: грабители меняли место прописки в личном кабинете и переходили на интернет праймериз «Единой России».
В погоне за безопастностью портала Минцифры РФ в октябре анонсировало использование подсистемы аутентификации на «Госуслугах» по биометрическим данным пользователей.
