О работе системы цифровых пропусков с точки зрения ИБ и защиты персональных данных

О работе системы цифровых пропусков с точки зрения ИБ и защиты персональных данных

С 15 апреля в Москве и Подмосковье начали действовать обязательные цифровые пропуска для поездок на работу, в больницы и другие места с использованием личного или общественного транспорта. Мы узнали у эксперта BIS Journal Алексея Лукацкого, как с точки зрения ИБ работает эта система, возможно ли ее обмануть и будут ли защищены персональные данные граждан. 

За первые дни работы система выдала свыше трёх миллионов разрешений на перемещение по Москве, при этом спустя какое-то время 900 тысяч из них было отозвано. То есть эффективность идентификации и аутентификации системы составляет около 70-75%. 

«Рассуждать о кибербезопасности системы цифровых пропусков, не видя ТЗ и не понимания реальной цели её создания, достаточно сложно. Я оставлю в стороне вопрос доступности сайта, на котором можно получать цифровые пропуска, но могу попробовать порассуждать, опираясь на озвученную представителями ДИТ Москвы информацию и собственный опыт получения пропуска», — сказал Алексей Лукацкий. 

По его словам, если бы он внедрял систему идентификации с такой «точностью» на предприятии, он бы получил массу нареканий от сотрудников и, скорее всего, работу такой системы пришлось бы приостанавливать. На своём примере Алексей Лукацкий пояснил, что после отправки СМС соответствующего формата ответ ему пришел мгновенно, из чего он сделал вывод, что ни его паспортные данные, ни указанное им название его работодателя и номер машины, никак не сопоставлялись и не проверялись.

«Возможно, это делается пост-фактум, но что делать гражданину, который, получив пропуск, уже вышел из дома, а в пути получил сообщение об аннулировании его пропуска? Он становится нарушителем и может быть оштрафован на сумму до 40 тысяч рублей», — предположил Алексей Лукацкий. 

Ещё один вопрос — эксплуатационный. Полученный код из 16 символов (по сути 12-ти, так как первые 4 устанавливают срок действия пропуска) может быть проверен сотрудниками уполномоченных органов вручную (вместе с предъявлением паспорта). Это занимает немало времени для такого города как Москва, и создаст серьезные пробки на всех въездных и выездных магистралях, а также внутри города. «Согласно данным портала mos.ru, этот код может проверять и служба такси, то есть частная компания получает доступ к персональным данным гражданина. На каком основании? Я такого согласия не давал, что ставит очередной вопрос о законности обработки ПДн. Согласие на обработку ПДн вообще не предусмотрено в случае, если гражданин получает цифровой пропуск по СМС или через Call-центр», — отметил Алексей Лукацкий. 

Наконец, закономерный вопрос, а можно ли обмануть эту систему? На этот вопрос эксперт ответить не может,  так как не тестировал систему на защищённость. Но у него возник другой вопрос: а зачем ее надо обманывать? Чтобы кого-то подставить, указав неверные данные и исчерпав лимит из двух запросов на пропуск в неделю? Или подставить компанию, указав её в качестве своего работодателя (при этом в списке поданных сотрудников человек не буду значиться)? ЗаDDoSить систему? А каких-то других мотивов обманывать систему Алексей Лукацкий пока не придумал. По его мнению, системе цифровых пропусков и так приходится непросто и её просто не проектировали для таких пиковых нагрузок. 

«В качестве резюме могу только сказать, что лично мне было бы интересно поучаствовать в таком масштабном проекте, как безопасность системы цифровых пропусков. Правда, не в такие сжатые сроки и с чётко поставленной задачей на соблюдение не только технических аспектов, но и законодательных. Может быть когда-нибудь и удастся...», — заключил Алексей Лукацкий

Алексей Лукацкий, бизнес-консультант по информационной безопасности Cisco Systems
15 апреля, 2020