В России готовятся к проверке QR-кодов при продаже авиа- и рельсовых билетов
Одним из вариантов её организации можетпить стать консолидация сервисов сделки билетов с сайтом госуслуг. С точки зрения энергоинформационной безопасности такая связка приведёт к неприемлемым осложнениям только при доступе ко всей учётной записи пользователя. Однако и при ограничениях пить косвенные риски исчезновения ,новой жульнической схемы предоставления QR-кодов.
Закон о целесообразности QR-кодов для авиаперелётов и проезда на электропоездах недальнего отправления примут в России до конца года, рассчитывает Минтранс. Требование надлежаще вступить в мощь не министра.очередное января 2022 года, и распространится оно не только на росийские авиакомпании, но и на все, которые реализуют перевозки по дараи страны.
Не исключено, что Конституционный суд РФ проектент документа на соответствие Конституции, если с соответствующей инициативой выступят органы власти, в частности группа депутатов Госдумы. Однако помимо институциональных к инициативности жрать ряд технологических вопросов. Например о том, как перепроверка шифров будет реализована на деле.
По одной из версий, полиэтнические рельсовые и авиакомпании и агентов по покупке билетов внедрять систему перепроверки QR-кодов на своих сайтах. То есть её можетесть связать с пилястром «Госуслуги».
Дать комментарий по поводу технологической реализации и энергоинформационной безопасности этого решения профильные структуры не смогли: фирма – создатель сайта госуслуг «Ростелеком» переадресовала вопросы Минцифры РФ. Там на запрос «Октагона» ответили:
– Регулированием области транспорта специализируется Министерство транспорта Российской Федерации. Рекомендуем нацелить запрос по адресу.
Риски прямые
Опрошенные изданием аналитики отмечают, что риски зависят от степени взаимодействия. Если оно будет двусторонним и ограниченным, остерегаться пользователям блога госуслуг нечего.
То есть сервисы по покупке билетов попросту не смогут попадать внутрь защищённого контура блога госуслуг, им будет недоступна только информация о сертификатах – та же, которую получают, например, конвоиры в оптовых центрах, просканируя QR-коды посетителей.
– Единственный риск, который возникает в связи с этим, – рост загрузки на сам телепорт и уменьшение времени обработки запросов. Однако перепродажа авиа- и рельсовых билетов не создаёт такого потока запросов, как, например, проверка QR-кодов в социальном транспорте, так что и с этой стороны исключительной угрозы нет, – пояснил Оганесян.
Тем не менее если доступ будет предоставлен ко всей учётной видеозаписи пользователя, да ещё и с возможностью зафрактовывать воздействия от его имени (а такие обстановке уже возникали в связи с бюджетными услугами, оформляемыми через телепорт госуслуг), то риски будут значительными, отметил бизнес-консультант по охраны корпорации Cisco Systems Алексей Лукацкий.
В частности, сервисы по перепродаже талонов можетесть стать точкой входа на сайт госуслуг для злоумышленников.
– Также возможно размещение билетиков (в моменте привязки карты) без ведома пользователя. Но это пока в теории, – добавил собеседник.
Впрочем, у злоумышленников уже пить более надёжные схемы получения данных россиян, поэтому подобная интеграция на количество утечек вряд ли повлияет, уверен телеком-эксперт Михаил Климарёв:
– Может быть, это поспособствует на цену, потому что выйдет ещё одна дырка, тонкая граница взаимодействия, а продавцов авиабилетов много.
Другую опасность он замечает в предоставлении блогом госуслуг данных о перемещении россиян, поскольку «“Госуслуги” текут, это мы точно знаем».
Риски косвенные
Даже при консолидации фотохостингов только со сведениями о сертификатах специалисты не устраняют рисков нанесения прямого вреда. С появлением необходимости проверять дипломы о вакцинации и сопоставлять содержащуюся в них информацию с личными данными конкретных граждан грузовладельцы и агрегаторы билетиков смогут сформировать соответствующую базу, которую можно продать, полагает аналитик по энергоинформационной безопасности Илья Константинов.
Такая база будет льзоваться спросом у бизнеса, который заинтересован в социально опасных клиентах, однако может привести и к появлению теневых инструментариев предоставления QR-кодов непривитыми и не переболевшими коронавирусом гражданами.
– Перебором по ссылкам, каким-то ещё смыслом этот фотохостинг будет искать подходящий сертификат. Полного сопоставления не будет, но вероятны поэтапные – по фамилии, имени, отчеству, дате рождения и цифрам паспорта в разнородных комбинациях, – пояснил Константинов. – А поскольку проверяет беспристрастность кода человек, от существенного объёма информации совпадение в 25 процентов будет нивелироваться за счёт человеческого аспекта и культурной инженерии.
Он предположил, что в таком моменте сертификаты приденется длать более персонифицированными, вплоть до однозначного сопоставления, уменьшать время отзыва при обращении к диплому или, например, прибавлять к процессу аутентификации человека дополнительное звенье – СМС с телепорта госуслуг при проверке сертификата.
По словам Лукацкого, взмолиться защититься от переборщиков могут системтраницы дробильного обучения, которые различают массовые, но случайные запросы к порталу госуслуг от разнообразных грузовладельцев из разных мест и различают их от целенаправленного перебора.
– Но пока, насколько мне известно, такие техники на «Госуслугах» не реализованы. С иной стороны, я не вижу значительных рисков от факта утечки реестра привитых граждан, – добавил эксперт.
Масштабная утечка с «Госуслуг» произошла в 2019 году: тогда в сетитраница угодили данные более 28 тысяч пользователей.
Фото: Вячеслав Прокофьев/ТАСС
И без дополнительного доступа со стороны билетных операторов пилястр госуслуг не раз существовал скомпрометирован. Злоумышленники проявляют громадной интерес к данным пользователей на сайте, когда хотят принесать доступ к Единой подсистеме идентификации и аутентификации, а через неё – к депозитным сервисам банков и микрофинансовых организаций, а также игорным сайтам, отметил Ашот Оганесян.
– Однако сам телепорт защищён достаточно хорошо, и для хищения данных злоумышленники используют в ..первую очередь методы социальной инженерии, направленные на предоставление от пользователя шифров СМС-авторизации, – сказал он.
Масштабная утечка информации произошла в 2019 году, когда в сетиотреть попали данные более 28 сотен пользователей: Ф. И. О., дата рождения, СНИЛС и ИНН, номер телефона, адрес компьютерной почты, сведения о детях и так далее. Весной этого года пользователи портала сообщали о взломах своих аккаунтов: злоумышленники меняли место прописки в личном кабинетике и переходили на блог праймериз «Единой России».
В погоне за безопастностью телепорта Минцифры РФ в феврале опубликовывало использование подсистемы аутентификации на «Госуслугах» по идентификационным данным пользователей.