Обновить
4K+
86

ИБ / IT / AI

289
Подписчики
Отправить сообщение
Текущий мир ЭЦП итак очень недружелюбен к обычным пользователям.
Тест очень простой, а может ли ваша мама использовать ЭЦП для решения своих повседневных вопросов без посторонней помощи.


При выборе вариантов правки закона приоритет делался на сохранение простоты использования ЭП для ее владельца. По сути единственным препятствием для них станет необходимость личного визита в УЦ. Да, это «тяжело». Но тут ничего не сделаешь, текущий уровень безопасности системы слишком низок. В остальном их жизнь, с появлением стандартизированных СКЗИ, должна стать значительно проще.
Возможно хватит и одного СНИЛС. Для точного ответа на вопрос нужно проводить дополнительное исследование.

P.S.
Проблема может быть в том, что не у всех он есть. Получить могут люди зарегистрированные в ПФР. Соответственно у каждого субъекта будут периоды времени когда у него нет СНИЛС. Впрочем это справедливо и для ИНН.

Как тогда его идентифицировать? Запрещать электронные сделки до получения СНИЛС?
Эта статья про uprade закона.

В текущий ситуации с защитой от мошенничества с ЭП как для физ. лиц так и для юр. лиц чуть лучше чем никак. По защите от регистраций левых ЮЛ на физ. лицо можно посмотреть в этом посте.
Ну по этому и предлагается идентифицировать людей по связке ИНН + СНИЛС.
Связка значений нужна для того, чтобы избежать проблем (дублирование, отсутствие и т.д.) с одним из номеров.
Вы уж определитесь, то ли законодательство хреновое, то ли правильным УЦ быть не выгодно.

Скажем так, в текущей законодательной базе быть правильным УЦ невыгодно.
Какой конкретно использовать стандарт — это тема отдельной дискуссии. Главное положить конец существующему «СКЗИ-рабству», т.е. когда электронное взаимодействие привязано к решениям одного вендора.
И вообще давно пора каждому выдать свой номер

Эта здравая идея с точки зрения IT, но жуткая ересь с точки зрения многих мировых религий.
Блокчейн как технологическая основа сервиса третьей доверенной стороны довольно интересен. Например, сервис длительного обеспечения юридической значимости документов это прям для него. Но тут нужна проработка, кто будет хранителем реестра, как защитится от уязвимостей свойственных данной технологии (например, проблема контроля 51% вычислительной мощности и др.) и еще много чего.

В отношении банков, то они уже и так выполняют много чего (валютный контроль, сбор биометрии), что не свойственно «классическим» кредитным организациям и причем за «спасибо» от государства. Вводить для них новую обязаловку, думаю не здорово, а на добровольной основе они могут выполнять функции УЦ и так.
Текущая коммерческая ИБ — это позиционная война.
Потери — реализация одной из стороной своих целей, например, кража данных. Союзники «светлой стороны»- CERT, правоохранительные органы. Союзники «темной» — darknet, хакерские группировки, криминал.
Крайне интересная мысль про доказательства, но думается что все же есть нюансы.

Информационная безопасность, суть информационное противоборство людей: хакера с жертвой, хакера с хакером, хакера с безопасником и т.д. По сути ИБ это война, и изучаться она должна с точки зрения военных конфликтов.

Приводимые математические показатели number to treat / number to harm для военного дела подходят плохо, как так существенную роль в победе (излечении с точки зрения медицины) могут съиграть неколичественные факторы: моральный дух войск, тактика и т.д. Аналогично и в ИБ. Грамотный человек, соблюдая жесткие требования информационной гигиены может долго обходится без антивируса. Другому же, менее «подкованному», без антивируса никуда.

Подобные количественные критерии подошли бы для повторяемых действий. В ИБ с «измеряемой» повторяемостью проблема.
В последнее время на Хабре стало появятся очень много годноты, в результате чего количество закладок уверено перевалило за несколько сотен.

При таких объемах существующая система навигации при работе с закладками — выборка по меткам, прямой перебор становится неудобной. Она не позволяет быстро находить требуемую информацию. Когда нужно найти что-то, из того что ранее читал, проще перейти в Яндекс, и на нем сделать поиск соотвествующей инфы по Хабру (поисковый запрос вида: «что-то» site:habr.com).

Поэтому хочу внести ряд предложений по улучшению работы с «Закладками»:
1) Реализовать возможность установки ограничения «только по закладкам», при осуществлении полнотекстового поиска.
2) Реализовать возможность добавлять к закладкам собственные теги и делать поиск по ним отбор.
3) Реализовать возможность управления порядком вывода закладок (сортировка по автору, времени и т.д.)
4) Реализовать вывод закладок в виде «бесконечной» ленты скролинга, желательно с возможность активации режима показа только заголовков

Я тут написал конечного много всего, поэтому если получится реализовать хоть что-нибудь будет очень хорошо.
Когда пользователь вернется, чтобы войти на сайт, ему все равно нужно будет отправить свой (открытый) пароль на сервер, чтобы он сделал проверку.

Пароли обычно хэшируются на стороне клиента.

Для усиления статьи стоит упомянуть SESPAKE, благо он подробно расписан на хабре —
habr.com/ru/post/282043
В приведенных статьях УК РФ нет понятий «исследовательских целей». Преступление это или нет должна решать полиция.
Работник УЦ ОБЯЗАН руководствоваться регламентом УЦ. Когда клиент выбирает в каком УЦ получить ЭП, он должен ознакомиться с регламентом, оценить удовлетворяет ли он его требованиям безопасности и т.д.

Если в регламенте УЦ написано, что блокировка производится по простому звонку, то оператор ОБЯЗАН выполнить ее. Клиент должен был оценить риски подобных действий до подписания документов.

На практике, все удостоверяющие центры гос. и коммерческие обычно, с которыми я работал, проводят подобные действия по кодовому слову.
Скорее все журналисты столкнулись с преступной халатностью работников УЦ.

И на последок про DoS. Если вы нашли на улице банковскую карту, то вы можете позвонить в банк эмитент сказать им об этом и ее заблокируют просто по вашему звонку…
Менять бизнес-процессы и принятые бизнес-практики, но это очень сложно, почти нереально.

Если говорить о практике, то варианты есть — кодовое слово, биометрическая идентификация, идентификация через доверенный сторонний сервис и т.д. Ну и в конце концов, можно применять различные методы идентификации для операций различного уровня риска.

Проблема в том, что это будет «усилий» от клиента, но тут уже ничего не поделаешь. Хочешь жить — борись за жизнь.
Проблем тут несколько
1) Паспортные данные, СНИЛС используется как аутентификационная информация, но по сути это публичные данные. Нужно искоренять практику, когда для аутентификации личности используется данная информация.

2) У текущей схемы государственного PKI — набора аккредитованных УЦ (63-ФЗ) есть фатальная проблема конфликт интересов УЦ между безопасностью и продажами. УЦ зарабатывают на количестве проданных ЭП (электронных подписей). Для упрощения продаж ослабляются процедуры проверки документов и идентификации личности. Клиенты не хотят заморачиваться и любую «безопасность» воспринимают как бюрократию, в результате чего пойдут в тот УЦ, где «бюрократии» нет. Это не проблема одного УЦ, это системная проблема, решить которую можно только на уровне законодательства. Нужно менять всю схему. Текущая вариант, когда государство периодически проводит проверки качества работы УЦ по факту не решает проблему.

С точки зрения публикации, то тут журналисты совершили уголовку — подделали подпись собственника (заявителя) ЭП, подделали сканы паспорта. Такое может быть даже если документы будут внимательно проверять. По сути работник УЦ ОБЯЗАН был звонить не журналисту «заминать» вопрос, а в полицию и возбуждать 159, 327 УК РФ.

Не стоит забывать, что подделывая бумажную подпись можно бед натворить много больше, нежели с помощью ЭП.
Можете рассказать, какие железки тестили.
В статье упоминаются только Google Glass и RealWear HMT-1z1, а было ли еще что-нибудь? Ну, например, те же Oculus или Cardboad?
Вы правы, нельзя заниматься compliance-ИБ не зная или не отслеживая законы, но это еще не все. Для качественной работы нужно еще их правильно интерпретировать, а для этого одного чтения документов мало, нужна дополнительная инфа: курсы, конференции, профессиональное общение и т.д.
Зачем обязательно RCE? DoSа вполне хватит (например, SYN flood никто не отменял, да и slow lori тоже могут покатать неплохо). Причем в зависимости от настроек системы, подобное открытие еще может дать неплохой amplify для reflected DDoS.

Информация

В рейтинге
Не участвует
Откуда
Москва, Москва и Московская обл., Россия
Зарегистрирован
Активность

Специализация

Директор по информационным технологиям, Руководитель ИБ (CISO)
Ведущий
Защита информации
Информационная безопасность
Сетевая безопасность
Криптография
Форензика
IDS
Firewall
Администрирование сетей
Виртуализация
Системное администрирование