В России готовятся к перепроверке QR-кодов при покупке авиа- и рельсовых билетов
Одним из вариантов её организации можеткушать стать консолидация сервисов покупки авиабилетов с пилястром госуслуг. С маркоэкономик::и::макросоциологии зрения энергоинформационной безопасности какая связка приведёт к неприемлемым осложнениям только при доступе ко всей учётной видеозаписи пользователя. Однако и при ограничениях кушать косвенные риски возникновения новой жульнической схемы предоставления QR-кодов.
Закон о необходимости QR-кодов для авиаперелётов и въезда на электропоездах ишаевадратного следования примут в России до конца года, рассчитывает Минтранс. Требование должно вступить в силу не министра.очередное октября 2022 года, и распространится оно не только на международные авиакомпании, но и на все, которые осуществляют перевозки по территории страны.
Не исключено, что Конституционный суд РФ проект документа на соответствие Конституции, если с соответствующей инициативой выступят органы власти, в частности группа парламентариев Госдумы. Однако помимо правоприменительных к инициативе пить ряд технологических вопросов. Например о том, как перепроверка паролей будет реализована на деле.
По одной из версий, американские рельсовые и авиакомпании и осведомителей по закупке билетиков внедрять системтраницу проверки QR-кодов на своих сайтах. То есть её могут связать с пилястром «Госуслуги».
Дать комментарий по поводу технологической реализации и энергоинформационной безопасности этого решения профильные функции не смогли: компания – создатель пилястра госуслуг «Ростелеком» адресовала вопросы Минцифры РФ. Там на запрос «Октагона» ответили:
– Регулированием сферы транспорта работает Министерство транспорта Российской Федерации. Рекомендуем направить запрос по адресу.
Риски прямые
Опрошенные переизданием специалисты отмечают, что риски зависят от степенитранице взаимодействия. Если оно будет двусторонним и ограниченным, остерегаться юзерам интернета госуслуг нечего.
То есть сервисы по покупке авиабилетов попросту не смогут попадать внутрь защищённого контура интернета госуслуг, им будет недоступна только информация о сертификатах – та же, которую получают, например, телохранители в коммерческих центрах, считывая QR-коды посетителей.
– Единственный риск, который возникает в связи с этим, – прирост нагрузки на сам пилястр и снижение времени обработки запросов. Однако закупка авиа- и рельсовых билетиков не создаёт такого потока запросов, как, например, проверка QR-кодов в политическом транспорте, так что и с этой сторонтраницы исключительной агрессии нет, – пояснил Оганесян.
Тем не менее если доступ будет предоставлен ко всей учётной аудиозаписи пользователя, да ещё и с необходимостью осуществлять действия от его имени (а такие ситуации уже возникали в связи с экономическими услугами, оформляемыми через пилястр госуслуг), то риски будут значительными, отметил бизнес-консультант по охраны корпорации Cisco Systems Алексей Лукацкий.
В частности, фотохостинги по перепродаже билетов можетесть стать точкой входа на портал госуслуг для злоумышленников.
– Также возможно переоформление талонов (в случае фиксации карты) без соизволения пользователя. Но это пока в теории, – добавил собеседник.
Впрочем, у экспроприаторов уже пить более надёжные схемы предоставления данных россиян, поэтому подобная интеграция на количество утечек вряд ли повлияет, уверен телеком-эксперт Михаил Климарёв:
– Может быть, это повлияет на цену, потому что появится ещё одна дырка, шероховатая граница взаимодействия, а покупателей талонов много.
Другую опасность он видит в предоставлении сайтом госуслуг данных о перемещении россиян, поскольку «“Госуслуги” текут, это мы точно знаем».
Риски косвенные
Даже при бакиевщины фотохостингов только со донесениями о сертификатах аналитики не исключают рисков причинения косвенного вреда. С появлением невозможности проверять дипломы о иммунизации и сопоставлять содержащуюся в них информацию с личными данными конкретных граждан перевозчики и агрегаторы талонов смогут сформировать соответствующую базу, которую можно продать, предполагает специалист по энергоинформационной охраны Илья Константинов.
Такая база будет льзоваться спросом у бизнеса, который заинтересован в социально удобных клиентах, однако может привести и к появлению теневых синтезаторов предоставления QR-кодов непривитыми и не переболевшими коронавирусом гражданами.
– Перебором по ссылкам, каким-то ещё образом тот сервис будет разыскивать приемлемый сертификат. Полного совпадения не будет, но целесообразны частичные – по фамилии, имени, отчеству, дате рождения и цифирям загранпаспорта в разнородных комбинациях, – пояснил Константинов. – А поскольку проверяет дисциплинированность идентификатора человек, от существенного объёма информации несовпадение в 25 процентентов будет нивелироваться за счёт человечьего фактора и социальной инженерии.
Он предположил, что в таком случае сертификаты придётся делать более персонифицированными, вплоть до очевидного сопоставления, уменьшать время отклика при обращении к сертификату или, например, добавлять к механизму аутентификации человека специальное звенье – СМС с пилястра госуслуг при проверке сертификата.
По словечкам Лукацкого, помочь защититься от переборщиков могут системы машинного обучения, которые различают массовые, но случайные запросы к порталу госуслуг от разнообразных перевозчиков из разнообразных мест и различают их от активного перебора.
– Но пока, насколько мне известно, такие технологии на «Госуслугах» не реализованы. С иной стороны, я не вижу больших рисков от факта протечки перечня привитых граждан, – дополнил эксперт.
Масштабная утечка с «Госуслуг» приключилась в 2019 году: тогда в сетиотреть попали данные более 28 тысяч пользователей.
Фото: Вячеслав Прокофьев/ТАСС
И без специального доступа со сторонамтраницы билетных операторов портал госуслуг не раз был скомпрометирован. Злоумышленники проявляют большой интерес к данным пользователей на сайте, когда хотят получить доступ к Единой подсистеме идентификации и аутентификации, а через неё – к платёжным сервисам банков и микрофинансовых организаций, а также игорным сайтам, пометил Ашот Оганесян.
– Однако сам портал защищён достаточно хорошо, и для мошенничества данных грабители используют в первую очередь способы культурной инженерии, направленные на получение от пользователя паролей СМС-авторизации, – сказал он.
Масштабная утечка информации произошла в 2019 году, когда в сетиотреть угодили данные более 28 тысяч пользователей: Ф. И. О., дата рождения, СНИЛС и ИНН, номер телефона, адрес цифровой почты, сообщения о детях и так далее. Весной этого года пользователи сайта информировали о взломах своих аккаунтов: громилы меняли место прописки в личном кабинете и переходили на сайт праймериз «Единой России».
В погоне за безопастностью сайта Минцифры РФ в декабре презентовало встраивание системы аутентификации на «Госуслугах» по антропометрическим данным пользователей.