Forwarded from Тотальный диджитализм / Total digitalization
🔒Биометрия: действительно ли наши персональные данные под надежной защитой?
В конце прошлого года Минцифры заключило контракт с “Ростелеком”, по которому единая система идентификации и аутентификации (ЕСИА) «Госуслуг» должна быть интегрирована с государственной информационной системой «Единая биометрическая система» (ГИС ЕБС). Инициатива позволяет пользователям портала государственных услуг авторизовываться с помощью биометрических данных, а именно лица и голоса.
Как сообщает министерство, “использование биометрической аутентификации на Госуслугах будет добровольным”. Однако, по данным источника “Ъ”, Минцифры планирует с помощью ограничения доступа к некоторым сервисам портала ставить граждан в безвыходное положение и, таким образом, не оставить выбор не регистрировать свою биометрию. При этом ведомство отрицает данную информацию и утверждает, что у пользователей сохраняется возможность использовать привычный способ входа на “Госуслуги”, дополняя, что сдавшие биометрию просто будут иметь расширенный доступ к дистанционным услугам. Минцифры также аргументирует интеграцию ЕБС повышением безопасности аккаунта и получения госуслуг.
🔻Тем не менее, за последнее время наблюдаются неоднократные сообщения об утечке или взломе портала “Госуслуги”. Учитывая, что технология DeepFake продолжает совершенствоваться и пока что остается одной из серьезных угроз кибербезопасности, вопрос сохранности биометрических данных в системе ЕБС и на портале как никогда является актуальным.
⚡ В августе 2021 года компания по производству систем борьбы с утечками данных DeviceLock сообщила о жалобах пользователей на взлом их аккаунтов на портале “Госуслуг”. В это же время зафиксирован рост предложений о продаже учетных записей.
⚡ Ноябрь 2021 года запомнился кибератаками на чат-бот “Госуслуг”.
⚡ 27 декабря 2021 года основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян сообщил, что произошла утечка исходного кода из открытого репозитория.
⚡ 25 января 2022 года появилась информация, что на теневом форуме выставлены на продажу QR-коды о вакцинации, которые, в результате выборочной проверки, оказались действительны. “Ростелеком” сообщил, что база данных не является валидной и была сгенерирована вне системы, “персональные данные пользователей находятся в безопасности”.
❗Отметим, приложение “Биометрия” оператора ЕБС “Ростелекома” позволяет дистанционно оформить eSIM, оформить кредит или открыть вклад. При этом пока сдать биометрию онлайн нет возможности. Напомним, Наталья Касперская высказалась о том, что гражданам «ни в коем случае нельзя сдавать биометрические данные», так как риск их утечки и продажи очень высок.
#ЭкспертДиджитализма
Серебрянский Денис, Руководитель backend разработки Orion Protocol
Системы, подобные "Госуслугам", должны разрабатываться с учетом того, что злоумышленникам доступен исходный код. При правильном проектировании такие утечки никак не должны влиять на безопасность использования системы. Многие мессенджеры, блокчейны, биржи и другие системы, содержащие "чувствительные" данные, разрабатываются изначально в open source - с открытым исходным кодом.
DeepFake также не представляется ключевой проблемой, поскольку данная технология использует обучение нейронных сетей на большом массиве данных. Для того, чтобы обучить сеть проходить биометрическую аутентификацию, придется предоставить ей множество фотографий потенциальной жертвы, а также записи ее голоса. Стоимость преодоления защиты значительно повышается при неизменности получаемой выгоды. Есть ли смысл для злоумышленника тратить значительные ресурсы ради возможности оплатить налоги своей жертвы или заказа справки от ее имени?
На мой взгляд, основная проблема заключается в сохранении конфиденциальности биометрии пользователей. Сможет ли портал "Госуслуг" гарантировать, что собранные на добровольной основе данные не попадут в открытый доступ? Такие утечки дорого обойдутся как создателям системы, так и ее пользователям.
В конце прошлого года Минцифры заключило контракт с “Ростелеком”, по которому единая система идентификации и аутентификации (ЕСИА) «Госуслуг» должна быть интегрирована с государственной информационной системой «Единая биометрическая система» (ГИС ЕБС). Инициатива позволяет пользователям портала государственных услуг авторизовываться с помощью биометрических данных, а именно лица и голоса.
Как сообщает министерство, “использование биометрической аутентификации на Госуслугах будет добровольным”. Однако, по данным источника “Ъ”, Минцифры планирует с помощью ограничения доступа к некоторым сервисам портала ставить граждан в безвыходное положение и, таким образом, не оставить выбор не регистрировать свою биометрию. При этом ведомство отрицает данную информацию и утверждает, что у пользователей сохраняется возможность использовать привычный способ входа на “Госуслуги”, дополняя, что сдавшие биометрию просто будут иметь расширенный доступ к дистанционным услугам. Минцифры также аргументирует интеграцию ЕБС повышением безопасности аккаунта и получения госуслуг.
🔻Тем не менее, за последнее время наблюдаются неоднократные сообщения об утечке или взломе портала “Госуслуги”. Учитывая, что технология DeepFake продолжает совершенствоваться и пока что остается одной из серьезных угроз кибербезопасности, вопрос сохранности биометрических данных в системе ЕБС и на портале как никогда является актуальным.
⚡ В августе 2021 года компания по производству систем борьбы с утечками данных DeviceLock сообщила о жалобах пользователей на взлом их аккаунтов на портале “Госуслуг”. В это же время зафиксирован рост предложений о продаже учетных записей.
⚡ Ноябрь 2021 года запомнился кибератаками на чат-бот “Госуслуг”.
⚡ 27 декабря 2021 года основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян сообщил, что произошла утечка исходного кода из открытого репозитория.
⚡ 25 января 2022 года появилась информация, что на теневом форуме выставлены на продажу QR-коды о вакцинации, которые, в результате выборочной проверки, оказались действительны. “Ростелеком” сообщил, что база данных не является валидной и была сгенерирована вне системы, “персональные данные пользователей находятся в безопасности”.
❗Отметим, приложение “Биометрия” оператора ЕБС “Ростелекома” позволяет дистанционно оформить eSIM, оформить кредит или открыть вклад. При этом пока сдать биометрию онлайн нет возможности. Напомним, Наталья Касперская высказалась о том, что гражданам «ни в коем случае нельзя сдавать биометрические данные», так как риск их утечки и продажи очень высок.
#ЭкспертДиджитализма
Серебрянский Денис, Руководитель backend разработки Orion Protocol
Системы, подобные "Госуслугам", должны разрабатываться с учетом того, что злоумышленникам доступен исходный код. При правильном проектировании такие утечки никак не должны влиять на безопасность использования системы. Многие мессенджеры, блокчейны, биржи и другие системы, содержащие "чувствительные" данные, разрабатываются изначально в open source - с открытым исходным кодом.
DeepFake также не представляется ключевой проблемой, поскольку данная технология использует обучение нейронных сетей на большом массиве данных. Для того, чтобы обучить сеть проходить биометрическую аутентификацию, придется предоставить ей множество фотографий потенциальной жертвы, а также записи ее голоса. Стоимость преодоления защиты значительно повышается при неизменности получаемой выгоды. Есть ли смысл для злоумышленника тратить значительные ресурсы ради возможности оплатить налоги своей жертвы или заказа справки от ее имени?
На мой взгляд, основная проблема заключается в сохранении конфиденциальности биометрии пользователей. Сможет ли портал "Госуслуг" гарантировать, что собранные на добровольной основе данные не попадут в открытый доступ? Такие утечки дорого обойдутся как создателям системы, так и ее пользователям.
Forwarded from Тотальный диджитализм / Total digitalization
✅ ДЭГ приводят в порядок
Госдума приняла в I чтении законопроект о единых правилах онлайн-голосования: ДЭГ будет проводиться исключительно с использованием региональных государственных информационных систем, прошедших сертификацию. Инициативу разработали Дмитрий Вяткин и Дмитрий Ламейкин - депутаты от “Единой России”.
Теперь во всех регионах и на выборах всех уровней электронное голосование будет проводиться посредством ГАС «Выборы» (через него проходят проверку заявления желающих участвовать в ДЭГ) или других сертифицированных государственных информсистем, требования к которым будет устанавливать ЦИК РФ.
Избирательные комиссии субъектов РФ, в свою очередь, по согласованию с ЦИК смогут принять решение о проведении ДЭГ на выборах в органы госвласти своего региона или на референдуме.
Касаемо регламента. Он будет содержать:
🔻Сроки подачи заявления об участии в ДЭГ и его отзыва;
🔻Порядок аутентификации и идентификации избирателя или участника референдума при подаче онлайн-заявления об участии в ДЭГ;
🔻Порядок обеспечения гласности при осуществлении ДЭГ и установлении его итогов;
🔻Порядок установления итогов ДЭГ и правила его учета при определении результатов выборов или референдума.
#ЭкспертДиджитализма
Начевский Михаил
Начальник Управления цифровой трансформации РЭУ имени Г.В. Плеханова
Почему инициатива упорядочения правил проведения ДЭГ нам необходима? В первую очередь, электронное голосование способствует привлечению бОльшего количества людей к участию в политической жизни страны, особенно молодого поколения.
Кроме этого, мы не можем отрицать цифровой прогресс, и для нас онлайн голосование как глоток свежего воздуха в архаичной системе посещения избирательных участков. Современные молодые люди, привыкшие к присутствию в виртуальном мире, предпочтут электронное голосование физическому присутствию.
ДЭГ требует внимания, особенно со стороны технически компетентных IT-специалистов. Ключевая задача сегодня - создать общественный институт доверия, подтвержденный профессионалами в области цифровых решений, фиксация всех правил и исключений, допуск этичных хакеров и комплексная проверка устойчивости системы к кибератакам. Все это в конечном счете сформирует более совершенную и прозрачную систему, которая удовлетворит пожелания всех участников онлайн голосования.
Госдума приняла в I чтении законопроект о единых правилах онлайн-голосования: ДЭГ будет проводиться исключительно с использованием региональных государственных информационных систем, прошедших сертификацию. Инициативу разработали Дмитрий Вяткин и Дмитрий Ламейкин - депутаты от “Единой России”.
Теперь во всех регионах и на выборах всех уровней электронное голосование будет проводиться посредством ГАС «Выборы» (через него проходят проверку заявления желающих участвовать в ДЭГ) или других сертифицированных государственных информсистем, требования к которым будет устанавливать ЦИК РФ.
Избирательные комиссии субъектов РФ, в свою очередь, по согласованию с ЦИК смогут принять решение о проведении ДЭГ на выборах в органы госвласти своего региона или на референдуме.
Касаемо регламента. Он будет содержать:
🔻Сроки подачи заявления об участии в ДЭГ и его отзыва;
🔻Порядок аутентификации и идентификации избирателя или участника референдума при подаче онлайн-заявления об участии в ДЭГ;
🔻Порядок обеспечения гласности при осуществлении ДЭГ и установлении его итогов;
🔻Порядок установления итогов ДЭГ и правила его учета при определении результатов выборов или референдума.
#ЭкспертДиджитализма
Начевский Михаил
Начальник Управления цифровой трансформации РЭУ имени Г.В. Плеханова
Почему инициатива упорядочения правил проведения ДЭГ нам необходима? В первую очередь, электронное голосование способствует привлечению бОльшего количества людей к участию в политической жизни страны, особенно молодого поколения.
Кроме этого, мы не можем отрицать цифровой прогресс, и для нас онлайн голосование как глоток свежего воздуха в архаичной системе посещения избирательных участков. Современные молодые люди, привыкшие к присутствию в виртуальном мире, предпочтут электронное голосование физическому присутствию.
ДЭГ требует внимания, особенно со стороны технически компетентных IT-специалистов. Ключевая задача сегодня - создать общественный институт доверия, подтвержденный профессионалами в области цифровых решений, фиксация всех правил и исключений, допуск этичных хакеров и комплексная проверка устойчивости системы к кибератакам. Все это в конечном счете сформирует более совершенную и прозрачную систему, которая удовлетворит пожелания всех участников онлайн голосования.