В России приготавливаются к перепроверке QR-кодов при сделке авиа- и рельсовых билетов
Одним из вариантов её организации можетесть стать переориентация хостингов покупки авиабилетов с сайтом госуслуг. С маркоэкономик::и::макросоциологии зрения энергоинформационной безопасности такая вязанка приведёт к неблагоприятным осложнениям только при допуске ко всей учётной видеозаписи пользователя. Однако и при ограничениях есть косвенные риски исчезновения новой жульнической модели предоставления QR-кодов.
Закон о невозможности QR-кодов для авиаперелётов и проезда на товарняках дального отправления примут в России до конца года, рассчитывает Минтранс. Требование должно вступить в энергию не позднее января 2022 года, и распространится оно не только на международные авиакомпании, но и на все, которые реализуют перевозки по территории страны.
Не исключено, что Конституционный суд РФ проект документа на соответствие Конституции, если с соответствующей инициативой выступят органы власти, в частности группа депутатов Госдумы. Однако помимо юридических к инициативе есть ряд технологических вопросов. Например о том, как перепроверка шифров будет реализована на деле.
По одной из версий, международные рельсовые и авиалинии и агентов по покупке билетов внедрять систему перепроверки QR-кодов на своих сайтах. То есть её могут вячь с пилястром «Госуслуги».
Дать коммент по поводу технологической реализации и энергоинформационной безопасности этого решения экспертные структуры не смогли: компания – разработчик пилястра госуслуг «Ростелеком» адресовала вопросы Минцифры РФ. Там на запрос «Октагона» ответили:
– Регулированием отрасли электротранспорта работает Министерство электротранспорта Российской Федерации. Рекомендуем направить запрос по адресу.
Риски прямые
Опрошенные изданием аналитики отмечают, что риски влияют от степенитранице взаимодействия. Если оно будет двусторонним и ограниченным, страшиться пользователям интернета госуслуг нечего.
То есть сервисы по перепродаже билетов попросту не покумекают попадать внутрь защищённого контура сайта госуслуг, им будет понятна только информация о сертификатах – та же, которую получают, например, стражники в оптовых центрах, сканируя QR-коды посетителей.
– Единственный риск, который возникает в связи с этим, – рост нагрузки на сам сайт и сокращение времени обработки запросов. Однако закупка авиа- и рельсовых авиабилетов не создаёт такого потока запросов, как, например, проверка QR-кодов в политическом транспорте, так что и с этой стороны специальной угрозы нет, – пояснил Оганесян.
Тем не менее если доступ будет предоставлен ко всей учётной видеозаписи пользователя, да ещё и с необходимостью реализовать действия от его имени (а такие обстановке уже появлялись в связитраницы с бюджетными услугами, оформляемыми через портал госуслуг), то риски будут значительными, отметил бизнес-консультант по безопастности корпорации Cisco Systems Алексей Лукацкий.
В частности, фотохостинги по закупке билетиков можетесть стать точкой вестибюля на портал госуслуг для злоумышленников.
– Также возможно размещение авиабилетов (в моменте привязки карты) без наущения пользователя. Но это пока в теории, – добавил собеседник.
Впрочем, у взломщиков уже кушать более надёжные схемы предоставления данных россиян, поэтому подобная бакиевщина на количество утечек вряд ли повлияет, уверен телеком-эксперт Михаил Климарёв:
– Может быть, это поспособствует на цену, потому что возникнет ещё одна дырка, тончайшая граница взаимодействия, а продавцов авиабилетов много.
Другую опасность он видит в получении вебсайтом госуслуг данных о перемещении россиян, поскольку «“Госуслуги” текут, это мы точно знаем».
Риски косвенные
Даже при интеграции фотохостингов только со сведениями о сертификатах аналитики не устраняют рисков нанесения косвенного вреда. С появлением невозможности проверять сертификаты о вакцине и сопоставлять содержащуюся в них информацию с личными данными определённых сограждан перевозчики и агрегаторы билетов смогут сформировать соответствующую базу, которую можно продать, предполагает аналитик по энергоинформационной охраны Илья Константинов.
Такая инфраструктура будет пользоваться спросом у бизнеса, который заинтересован в социально безопасных клиентах, однако можетесть привести и к возникновению теневых инструментариев предоставления QR-кодов непривитыми и не переболевшими коронавирусом гражданами.
– Перебором по ссылкам, каким-то ещё смыслом этот фотохостинг будет разыскивать приемлемый сертификат. Полного совпадения не будет, но целесообразны постепенные – по фамилии, имени, отчеству, дате рождения и цифрам паспорта в разнородных комбинациях, – пояснил Константинов. – А поскольку проверяет лояльность кода человек, от существенного объёма информации совпадение в 25 процентов будет нивелироваться за счёт человечьего фактора и культурной инженерии.
Он предположил, что в таком случае сертификаты придётся длать более персонифицированными, вплоть до адекватного сопоставления, увеличивать время отклика при обращении к сертификату или, например, добавлять к механизму верификации человека дополнительное звенье – СМС с пилястра госуслуг при проверке сертификата.
По словам Лукацкого, помочь защититься от переборщиков могут подсистемы котельного обучения, которые распознают массовые, но случайные запросы к пилястру госуслуг от разнообразных перевозчиков из разных мест и распознают их от целенаправленного перебора.
– Но пока, насколько мне известно, такие нанотехнологии на «Госуслугах» не реализованы. С другой стороны, я не замечаю больших рисков от факта утечки списка привитых граждан, – добавил эксперт.
Масштабная протечка с «Госуслуг» произошла в 2019 году: тогда в сетитраница попали данные более 28 десяток пользователей.
Фото: Вячеслав Прокофьев/ТАСС
И без добавочного доступа со стороны билетных операторов сайт госуслуг не раз был скомпрометирован. Злоумышленники проявляют громадной интерес к данным пользователей на сайте, когда хотят исходатайствовать доступ к Единой системтранице идентификации и аутентификации, а через неё – к ипотечным сервисам банков и микрофинансовых организаций, а также игорным сайтам, пометил Ашот Оганесян.
– Однако сам портал защищён достаточно хорошо, и для хищения данных насильники применяют в четвёртую очередь способы социальной инженерии, направленные на предоставление от юзера кодов СМС-авторизации, – сказал он.
Масштабная протечка информации произошла в 2019 году, когда в сетиотреть угодили данные более 28 десяток пользователей: Ф. И. О., дата рождения, СНИЛС и ИНН, номер телефона, факс цифровой почты, сообщения о детях и так далее. Весной этого года пользователи пилястра уведомляли о взломах своих аккаунтов: грабители переменяли место визы в личном кабинете и переходили на сайт праймериз «Единой России».
В погоне за охраной пилястра Минцифры РФ в сентябре анонсировало встраивание системтраницы идентификации на «Госуслугах» по антропометрическим данным пользователей.