Информация
- В рейтинге
- Не участвует
- Откуда
- Москва, Москва и Московская обл., Россия
- Зарегистрирован
- Активность
Специализация
Директор по информационным технологиям, Руководитель ИБ (CISO)
Ведущий
Защита информации
Информационная безопасность
Сетевая безопасность
Криптография
Форензика
IDS
Firewall
Администрирование сетей
Виртуализация
Системное администрирование
При выборе вариантов правки закона приоритет делался на сохранение простоты использования ЭП для ее владельца. По сути единственным препятствием для них станет необходимость личного визита в УЦ. Да, это «тяжело». Но тут ничего не сделаешь, текущий уровень безопасности системы слишком низок. В остальном их жизнь, с появлением стандартизированных СКЗИ, должна стать значительно проще.
P.S.
Проблема может быть в том, что не у всех он есть. Получить могут люди зарегистрированные в ПФР. Соответственно у каждого субъекта будут периоды времени когда у него нет СНИЛС. Впрочем это справедливо и для ИНН.
Как тогда его идентифицировать? Запрещать электронные сделки до получения СНИЛС?
В текущий ситуации с защитой от мошенничества с ЭП как для физ. лиц так и для юр. лиц чуть лучше чем никак. По защите от регистраций левых ЮЛ на физ. лицо можно посмотреть в этом посте.
Связка значений нужна для того, чтобы избежать проблем (дублирование, отсутствие и т.д.) с одним из номеров.
Скажем так, в текущей законодательной базе быть правильным УЦ невыгодно.
Эта здравая идея с точки зрения IT, но жуткая ересь с точки зрения многих мировых религий.
В отношении банков, то они уже и так выполняют много чего (валютный контроль, сбор биометрии), что не свойственно «классическим» кредитным организациям и причем за «спасибо» от государства. Вводить для них новую обязаловку, думаю не здорово, а на добровольной основе они могут выполнять функции УЦ и так.
Потери — реализация одной из стороной своих целей, например, кража данных. Союзники «светлой стороны»- CERT, правоохранительные органы. Союзники «темной» — darknet, хакерские группировки, криминал.
Информационная безопасность, суть информационное противоборство людей: хакера с жертвой, хакера с хакером, хакера с безопасником и т.д. По сути ИБ это война, и изучаться она должна с точки зрения военных конфликтов.
Приводимые математические показатели number to treat / number to harm для военного дела подходят плохо, как так существенную роль в победе (излечении с точки зрения медицины) могут съиграть неколичественные факторы: моральный дух войск, тактика и т.д. Аналогично и в ИБ. Грамотный человек, соблюдая жесткие требования информационной гигиены может долго обходится без антивируса. Другому же, менее «подкованному», без антивируса никуда.
Подобные количественные критерии подошли бы для повторяемых действий. В ИБ с «измеряемой» повторяемостью проблема.
При таких объемах существующая система навигации при работе с закладками — выборка по меткам, прямой перебор становится неудобной. Она не позволяет быстро находить требуемую информацию. Когда нужно найти что-то, из того что ранее читал, проще перейти в Яндекс, и на нем сделать поиск соотвествующей инфы по Хабру (поисковый запрос вида: «что-то» site:habr.com).
Поэтому хочу внести ряд предложений по улучшению работы с «Закладками»:
1) Реализовать возможность установки ограничения «только по закладкам», при осуществлении полнотекстового поиска.
2) Реализовать возможность добавлять к закладкам собственные теги и делать поиск по ним отбор.
3) Реализовать возможность управления порядком вывода закладок (сортировка по автору, времени и т.д.)
4) Реализовать вывод закладок в виде «бесконечной» ленты скролинга, желательно с возможность активации режима показа только заголовков
Я тут написал конечного много всего, поэтому если получится реализовать хоть что-нибудь будет очень хорошо.
Пароли обычно хэшируются на стороне клиента.
Для усиления статьи стоит упомянуть SESPAKE, благо он подробно расписан на хабре —
habr.com/ru/post/282043
Если в регламенте УЦ написано, что блокировка производится по простому звонку, то оператор ОБЯЗАН выполнить ее. Клиент должен был оценить риски подобных действий до подписания документов.
На практике, все удостоверяющие центры гос. и коммерческие обычно, с которыми я работал, проводят подобные действия по кодовому слову.
Скорее все журналисты столкнулись с преступной халатностью работников УЦ.
И на последок про DoS. Если вы нашли на улице банковскую карту, то вы можете позвонить в банк эмитент сказать им об этом и ее заблокируют просто по вашему звонку…
Если говорить о практике, то варианты есть — кодовое слово, биометрическая идентификация, идентификация через доверенный сторонний сервис и т.д. Ну и в конце концов, можно применять различные методы идентификации для операций различного уровня риска.
Проблема в том, что это будет «усилий» от клиента, но тут уже ничего не поделаешь. Хочешь жить — борись за жизнь.
1) Паспортные данные, СНИЛС используется как аутентификационная информация, но по сути это публичные данные. Нужно искоренять практику, когда для аутентификации личности используется данная информация.
2) У текущей схемы государственного PKI — набора аккредитованных УЦ (63-ФЗ) есть фатальная проблема конфликт интересов УЦ между безопасностью и продажами. УЦ зарабатывают на количестве проданных ЭП (электронных подписей). Для упрощения продаж ослабляются процедуры проверки документов и идентификации личности. Клиенты не хотят заморачиваться и любую «безопасность» воспринимают как бюрократию, в результате чего пойдут в тот УЦ, где «бюрократии» нет. Это не проблема одного УЦ, это системная проблема, решить которую можно только на уровне законодательства. Нужно менять всю схему. Текущая вариант, когда государство периодически проводит проверки качества работы УЦ по факту не решает проблему.
С точки зрения публикации, то тут журналисты совершили уголовку — подделали подпись собственника (заявителя) ЭП, подделали сканы паспорта. Такое может быть даже если документы будут внимательно проверять. По сути работник УЦ ОБЯЗАН был звонить не журналисту «заминать» вопрос, а в полицию и возбуждать 159, 327 УК РФ.
Не стоит забывать, что подделывая бумажную подпись можно бед натворить много больше, нежели с помощью ЭП.
В статье упоминаются только Google Glass и RealWear HMT-1z1, а было ли еще что-нибудь? Ну, например, те же Oculus или Cardboad?