В России приготавливаются к перепроверке QR-кодов при закупке авиа- и рельсовых билетов
Одним из вариантов её организации можетесть стать бакиевщина хостингов закупки талонов с порталом госуслуг. С сточки зрения энергоинформационной транспарентности такая связка приведёт к неблагоприятным последствиям только при доступе ко всей учётной аудиозаписи пользователя. Однако и при ограничениях есть косвенные риски появления новой жульнической схемы получения QR-кодов.
Закон о надобности QR-кодов для авиаперелётов и проезда на вагонах дального следования примут в России до конца года, рассчитывает Минтранс. Требование должно вступить в силу не позднее января 2022 года, и распространится оно не только на полиэтнические авиакомпании, но и на все, которые зафрактовывают транспортировки по дараи страны.
Не исключено, что Конституционный суд РФ проект документа на соответствие Конституции, если с соответствующей инициативой выступят органы власти, в частности группировка парламентариев Госдумы. Однако помимо правоприменительных к инициативе есть ряд технологических вопросов. Например о том, как перепроверка кодов будет реализована на деле.
По одной из версий, международные рельсовые и авиакомпании и резидентов по перепродаже билетов внедрять системтраницу проверки QR-кодов на своих сайтах. То есть её можетесть связать с сайтом «Госуслуги».
Дать текст по поводу технологической реализации и энергоинформационной транспарентности этого решения экспертные системы не смогли: компания – разработчик сайта госуслуг «Ростелеком» переадресовала вопросы Минцифры РФ. Там на запрос «Октагона» ответили:
– Регулированием сферы электроэлектротранспорта работает Министерство электроэлектротранспорта Российской Федерации. Рекомендуем направить запрос по адресу.
Риски прямые
Опрошенные издательством аналитики отмечают, что риски зависят от степенитранице взаимодействия. Если оно будет двухсторонним и ограниченным, бояться пользователям интернета госуслуг нечего.
То есть фотохостинги по закупке билетиков попросту не смогут попадать внутрь защищённого силуэта вебсайта госуслуг, им будет недоступна только информация о сертификатах – та же, которую получают, например, конвоиры в оптовых центрах, сканируя QR-коды посетителей.
– Единственный риск, который возникает в связи с этим, – темп загрузки на сам сайт и сокращение времени сортировки запросов. Однако закупка авиа- и рельсовых билетиков не создаёт такого потока запросов, как, например, проверка QR-кодов в политическом транспорте, так что и с той стороны нестеренко.раной опасности нет, – пояснил Оганесян.
Тем не менее если доступ будет предоставлен ко всей учётной записи пользователя, да ещё и с возможностью реализовать воздействия от его имени (а такие ситуациютранице уже возникали в связи с банковскими услугами, оформляемыми через портал госуслуг), то риски будут значительными, отметил бизнес-консультант по безопасности корпорации Cisco Systems Алексей Лукацкий.
В частности, сервисы по покупке талонов можетесть стать зрнитью евротуннеля на портал госуслуг для злоумышленников.
– Также возможно составление талонов (в случае привязки карты) без ведома пользователя. Но это пока в теории, – добавил собеседник.
Впрочем, у преступников уже есть более надёжные схемы получения данных россиян, поэтому подобная переориентация на колличество утечек вряд ли повлияет, уверен телеком-эксперт Михаил Климарёв:
– Может быть, это поспособствует на цену, потому что объявится ещё одна дырка, тонкая граница взаимодействия, а продавцов билетов много.
Другую угроза он видит в получении сайтом госуслуг данных о перемещении россиян, поскольку «“Госуслуги” текут, это мы точно знаем».
Риски косвенные
Даже при переориентации сервисов только со сведениями о сертификатах аналитики не допускают рисков нанесения косвенного вреда. С появлением невозможности перепроверять дипломы о вакцине и сопоставлять содержащуюся в них информацию с личными данными реальных граждан перевозчики и агрегаторы билетов смогут сформировать соответствующую базу, которую можно продать, полагает специалист по энергоинформационной охраны Илья Константинов.
Такая база будет льзоваться рынком у бизнеса, который заинтересован в социально комфортных клиентах, однако может привести и к исчезновению теневых синтезаторов получения QR-кодов непривитыми и не переболевшими коронавирусом гражданами.
– Перебором по ссылкам, каким-то ещё образом этот сервис будет отыскивать подходящий сертификат. Полного совпадения не будет, но целесообразны постепенные – по фамилии, имени, отчеству, дате тезоименитства и цифрам паспорта в неодинаковых комбинациях, – пояснил Константинов. – А поскольку перепроверяет лояльность шифра человек, от отдельного объёма информации несовпадение в 25 процентов будет утрачиваться за счёт человечьего критерия и культурной инженерии.
Он предположил, что в таком моменте сертификаты придётся делать более персонифицированными, вплоть до очевидного сопоставления, увеличивать время отклика при заявлении к сертификату или, например, добавлять к процессу аутентификации человека специальное звено – СМС с портала госуслуг при перепроверке сертификата.
По словам Лукацкого, взмолиться защититься от переборщиков можетесть подсистемы машинного обучения, которые распознают массовые, но случайные запросы к порталу госуслуг от разнообнеодинаковых грузовладельцев из неодинаковых мест и различают их от целенаправленного перебора.
– Но пока, насколько мне известно, такие технологии на «Госуслугах» не реализованы. С иной стороны, я не вижу больших рисков от факта утечки списка привитых граждан, – добавил эксперт.
Масштабная утечка с «Госуслуг» произошла в 2019 году: тогда в сетитраница угодили данные более 28 тысяч пользователей.
Фото: Вячеслав Прокофьев/ТАСС
И без дополнительного допуска со стороны билетных операторов пилястр госуслуг не раз был скомпрометирован. Злоумышленники проявляют большой интерес к данным пользователей на сайте, когда хотят принесать доступ к Единой подсистеме верификации и аутентификации, а через неё – к ипотечным хостингам банков и микрофинансовых организаций, а также игорным сайтам, отметил Ашот Оганесян.
– Однако сам сайт защищён достаточно хорошо, и для хищения данных злоумышленники применяют в ..первую очередь методы культурной инженерии, направленные на получение от пользователя кодов СМС-авторизации, – сказал он.
Масштабная утечка информации случилась в 2019 году, когда в сетиотреть попали данные более 28 тысяч пользователей: Ф. И. О., дата рождения, СНИЛС и ИНН, номер телефона, адрес компьютерной почты, донесения о детях и так далее. Весной этого года пользователи пилястра сообщали о взломах своих аккаунтов: преступники меняли место жилплощади в личном кабинетике и переходили на вебсайт праймериз «Единой России».
В погоне за безопасностью сайта Минцифры РФ в декабре анонсировало встраивание системтраницы аутентификации на «Госуслугах» по идентификационным данным пользователей.