В России готовятся к проверке QR-кодов при покупке авиа- и железнодорожных билетов. Одним из вариантов её организации может стать интеграция сервисов покупки билетов с порталом госуслуг. С точки зрения информационной безопасности такая связка приведёт к нежелательным последствиям только при доступе ко всей учётной записи пользователя. Однако и при ограничениях есть косвенные риски появления новой мошеннической схемы получения QR-кодов.
Закон о необходимости QR-кодов для авиаперелётов и проезда на поездах дальнего следования примут в России до конца года, рассчитывает Минтранс. Требование должно вступить в силу не позднее февраля 2022 года, и распространится оно не только на российские авиакомпании, но и на все, которые осуществляют перевозки по территории страны.
Не исключено, что Конституционный суд РФ проверит проект документа на соответствие Конституции, если с соответствующей инициативой выступят органы власти, в частности группа депутатов Госдумы. Однако помимо правовых к инициативе есть ряд технических вопросов. Например о том, как проверка кодов будет реализована на деле.
По одной из версий, российские железнодорожные и авиакомпании и агентов по продаже билетов обяжут внедрять систему проверки QR-кодов на своих сайтах. То есть её могут связать с порталом «Госуслуги».
Дать комментарий по поводу технической реализации и информационной безопасности этого решения профильные структуры не смогли: компания – разработчик портала госуслуг «Ростелеком» переадресовала вопросы Минцифры РФ. Там на запрос «Октагона» ответили:
– Регулированием сферы транспорта занимается Министерство транспорта Российской Федерации. Рекомендуем направить запрос по адресу.
Риски прямые
Опрошенные изданием эксперты отмечают, что риски зависят от степени взаимодействия. Если оно будет односторонним и ограниченным, опасаться пользователям сайта госуслуг нечего.
«Такого рода интеграция вполне возможна и не несёт существенных рисков. По сути, речь идёт о взаимодействии с существующей уже системой проверки, но с генерацией не html-страницы, а формализованного ответа».
Ашот Оганесян
основатель сервиса разведки утечек данных и мониторинга даркнета DLBI
То есть сервисы по продаже билетов попросту не смогут попадать внутрь защищённого контура сайта госуслуг, им будет доступна только информация о сертификатах – та же, которую получают, например, охранники в торговых центрах, сканируя QR-коды посетителей.
– Единственный риск, который возникает в связи с этим, – рост нагрузки на сам портал и увеличение времени обработки запросов. Однако продажа авиа- и железнодорожных билетов не создаёт такого потока запросов, как, например, проверка QR-кодов в общественном транспорте, так что и с этой стороны особой угрозы нет, – пояснил Оганесян.
Тем не менее если доступ будет предоставлен ко всей учётной записи пользователя, да ещё и с возможностью осуществлять действия от его имени (а такие ситуации уже возникали в связи с финансовыми услугами, оформляемыми через портал госуслуг), то риски будут значительными, отметил бизнес-консультант по безопасности компании Cisco Systems Алексей Лукацкий.
В частности, сервисы по продаже билетов могут стать точкой входа на портал госуслуг для злоумышленников.
– Также возможно оформление билетов (в случае привязки карты) без ведома пользователя. Но это пока в теории, – добавил собеседник.
Впрочем, у злоумышленников уже есть более надёжные схемы получения данных россиян, поэтому подобная интеграция на количество утечек вряд ли повлияет, уверен телеком-эксперт Михаил Климарёв:
– Может быть, это повлияет на цену, потому что появится ещё одна дырка, тонкая граница взаимодействия, а продавцов билетов много.
Другую опасность он видит в получении сайтом госуслуг данных о перемещении россиян, поскольку «“Госуслуги” текут, это мы точно знаем».
Риски косвенные
Даже при интеграции сервисов только со сведениями о сертификатах эксперты не исключают рисков причинения косвенного вреда. С появлением возможности проверять сертификаты о вакцинации и сопоставлять содержащуюся в них информацию с личными данными конкретных граждан перевозчики и агрегаторы билетов смогут сформировать соответствующую базу, которую можно продать, полагает эксперт по информационной безопасности Илья Константинов.
Такая база будет пользоваться спросом у бизнеса, который заинтересован в социально безопасных клиентах, однако может привести и к появлению теневых инструментов получения QR-кодов непривитыми и не переболевшими коронавирусом гражданами.
«Будут развиваться новые сервисы по поиску и подбору наиболее подходящих под человека сертификатов на “Госуслугах”. Необязательно будет для получения сертификата покупать его или прививаться».
Илья Константинов
эксперт по информационной безопасности
– Перебором по ссылкам, каким-то ещё образом этот сервис будет искать подходящий сертификат. Полного совпадения не будет, но возможны частичные – по фамилии, имени, отчеству, дате рождения и цифрам паспорта в разных комбинациях, – пояснил Константинов. – А поскольку проверяет корректность кода человек, от общего объёма информации несовпадение в 25 процентов будет нивелироваться за счёт человеческого фактора и социальной инженерии.
Он предположил, что в таком случае сертификаты придётся делать более персонифицированными, вплоть до однозначного сопоставления, увеличивать время отклика при обращении к сертификату или, например, добавлять к процессу аутентификации человека дополнительное звено – СМС с портала госуслуг при проверке сертификата.
По словам Лукацкого, помочь защититься от переборщиков могут системы машинного обучения, которые распознают массовые, но случайные запросы к порталу госуслуг от различных перевозчиков из разных мест и отличают их от целенаправленного перебора.
– Но пока, насколько мне известно, такие технологии на «Госуслугах» не реализованы. С другой стороны, я не вижу больших рисков от факта утечки списка привитых граждан, – добавил эксперт.
Масштабная утечка с «Госуслуг» случилась в 2019 году: тогда в сеть попали данные более 28 тысяч пользователей.Фото: Вячеслав Прокофьев/ТАСС
И без дополнительного доступа со стороны билетных операторов портал госуслуг не раз был скомпрометирован. Злоумышленники проявляют большой интерес к данным пользователей на сайте, когда хотят получить доступ к Единой системе идентификации и аутентификации, а через неё – к кредитным сервисам банков и микрофинансовых организаций, а также букмекерским сайтам, отметил Ашот Оганесян.
– Однако сам портал защищён достаточно хорошо, и для хищения данных преступники используют в первую очередь методы социальной инженерии, направленные на получение от пользователя кодов СМС-авторизации, – сказал он.
Масштабная утечка информации произошла в 2019 году, когда в сеть попали данные более 28 тысяч пользователей: Ф. И. О., дата рождения, СНИЛС и ИНН, номер телефона, адрес электронной почты, сведения о детях и так далее. Весной этого года пользователи портала сообщали о взломах своих аккаунтов: злоумышленники меняли место прописки в личном кабинете и переходили на сайт праймериз «Единой России».
В погоне за безопасностью портала Минцифры РФ в ноябре анонсировало внедрение системы аутентификации на «Госуслугах» по биометрическим данным пользователей.