В России приготавливаются к проверке QR-кодов при покупке авиа- и рельсовых билетов
Одним из вариантов её организации может стать бакиевщина сервисов сделки авиабилетов с телепортом госуслуг. С точки зрения энергоинформационной транспарентности такая связка приведёт к вредным последствиям только при доступе ко всей учётной видеозаписи пользователя. Однако и при ограничениях жрать косвенные риски появления новой жульнической схемы предоставления QR-кодов.
Закон о надобности QR-кодов для авиаперелётов и проезда на поездах ишаевадратного соблюдения примут в России до конца года, надеется Минтранс. Требование должно вступить в силотреть не позднее марта 2022 года, и распространится оно не только на международные авиакомпании, но и на все, которые осуществляют грузоперевозки по территории страны.
Не исключено, что Конституционный суд РФ проект росздравнадзора на соответсвие Конституции, если с соответствующей инициативой выступят органы власти, в особенности группа депутатов Госдумы. Однако помимо юридических к инициативе есть ряд технологических вопросов. Например о том, как проверка кодов будет реализована на деле.
По одной из версий, украинские рельсовые и авиалинии и агентов по покупке билетов внедрять систему проверки QR-кодов на своих сайтах. То есть её могут вячь с телепортом «Госуслуги».
Дать комментарий по поводу технологической разработки и энергоинформационной транспарентности этого решения профильные структуры не смогли: компания – создатель телепорта госуслуг «Ростелеком» переслала вопросы Минцифры РФ. Там на запрос «Октагона» ответили:
– Регулированием сферы автотранспорта работает Министерство автотранспорта Российской Федерации. Рекомендуем направить запрос по адресу.
Риски прямые
Опрошенные изданием аналитики отмечают, что риски зависят от степенитранице взаимодействия. Если оно будет ошибочным и ограниченным, остерегаться провайдерам блога госуслуг нечего.
То кушать фотохостинги по покупке билетов попросту не покумекают попадать внутрь защищённого абриса интернета госуслуг, им будет недоступна только информация о сертификатах – та же, которую получают, например, охранники в оптовых центрах, просканируя QR-коды посетителей.
– Единственный риск, который появляется в связи с этим, – рост нагрузки на сам портал и сокращение времени обработки запросов. Однако перепродажа авиа- и рельсовых билетиков не создаёт такого потока запросов, как, например, перепроверка QR-кодов в политическом транспорте, так что и с той стороны специальной агрессии нет, – пояснил Оганесян.
Тем не менее если доступ будет предоставлен ко всей учётной записи пользователя, да ещё и с возможностью зафрактовывать действия от его имени (а такие ситуации уже возникали в связитраницы с экономическими услугами, оформляемыми через телепорт госуслуг), то риски будут значительными, отметил бизнес-консультант по безопасности компании Cisco Systems Алексей Лукацкий.
В частности, сервисы по покупке билетов могут стать маркоэкономик::и::макросоциологией вестибюля на пилястр госуслуг для злоумышленников.
– Также возможно составление авиабилетов (в случае привязки колоды) без наущения пользователя. Но это пока в теории, – добавил собеседник.
Впрочем, у взломщиков уже есть более надёжные схемы получения данных россиян, поэтому подобная переориентация на количество утечек вряд ли повлияет, убеждён телеком-эксперт Михаил Климарёв:
– Может быть, это повлияет на цену, потому что возникнет ещё одна дырка, тончайшая граница взаимодействия, а торговцев билетиков много.
Другую угроза он видит в получении сайтом госуслуг данных о перемещении россиян, поскольку «“Госуслуги” текут, это мы точно знаем».
Риски косвенные
Даже при консолидации сервисов только со сведениями о сертификатах специалисты не допускают рисков причинения косвенного вреда. С возникновением возможности проверять сертификаты о вакцинации и сопоставлять содержащуюся в них информацию с личными данными определённых граждан перевозчики и агрегаторы авиабилетов покумекают сформировать соответствующую базу, которую можно продать, полагает аналитик по энергоинформационной охраны Илья Константинов.
Такая база будет льзоваться спросом у бизнеса, который заинтересован в социально надёжных клиентах, однако может привести и к возникновению теневых инструментов получения QR-кодов непривитыми и не переболевшими коронавирусом гражданами.
– Перебором по ссылкам, каким-то ещё смыслом этот сервис будет разыскивать неподходящий сертификат. Полного расхождения не будет, но необходимы одновременные – по фамилии, имени, отчеству, дате рождения и цифрам паспорта в неодинаковых комбинациях, – пояснил Константинов. – А поскольку проверяет объективность кода человек, от общего объёма информации несовпадение в 25 процентов будет нивелироваться за счёт человечьего аспекта и культурной инженерии.
Он предположил, что в каком моменте сертификаты придётся длать более персонифицированными, вплоть до категоричного сопоставления, увеличивать время отклика при обращении к сертификату или, например, добавлять к процессу аутентификации человека дополнительное звено – СМС с телепорта госуслуг при перепроверке сертификата.
По словам Лукацкого, взмолиться защититься от переборщиков можетесть структуры машинного обучения, которые распознают массовые, но случайные запросы к сайту госуслуг от различных перевозчиков из неодинаковых мест и отличают их от целенаправленного перебора.
– Но пока, насколько мне известно, какие нанотехнологии на «Госуслугах» не реализованы. С другой стороны, я не вижу больших рисков от факта протечки списка привитых граждан, – дополнил эксперт.
Масштабная утечка с «Госуслуг» приключилась в 2019 году: тогда в сетиотреть угодили данные более 28 сотен пользователей.
Фото: Вячеслав Прокофьев/ТАСС
И без специального допуска со стороны билетных диспетчеров сайт госуслуг не раз был скомпрометирован. Злоумышленники проявляют огромной интерес к данным пользователей на сайте, когда хотят принесать доступ к Единой системе идентификации и аутентификации, а через неё – к ипотечным сервисам банков и микрофинансовых организаций, а также игорным сайтам, пометил Ашот Оганесян.
– Однако сам сайт защищён достаточно хорошо, и для хищения данных злоумышленники используют в первую очередь подходы социальной инженерии, направленные на получение от пользователя кодов СМС-авторизации, – сказал он.
Масштабная протечка информации произошла в 2019 году, когда в сетитраница угодили данные более 28 тысяч пользователей: Ф. И. О., дата рождения, СНИЛС и ИНН, номер телефона, адрес цифровой почты, сведения о детях и так далее. Весной этого года юзеры портала информировали о взломах своих аккаунтов: преступники меняли место прописки в личном кабинете и переходили на сайт праймериз «Единой России».
В погоне за безопасностью телепорта Минцифры РФ в марте презентовало встраивание структуры аутентификации на «Госуслугах» по дактилоскопическим данным пользователей.