Специалисты Positive Technologies помогли компании «Национальная Лотерея» проверить защищённость и корректность процесса генерации комбинаций, который используется для проведения общероссийских лотерей. Проект включал исследование с точки зрения безопасности и соответствия стандартам всех этапов работы генератора случайных чисел.
«Национальная лотерея» — это бренд всероссийских государственных лотерей, организованных Минфином России. Его деятельность направлена на развитие лотерейного рынка страны, поддержку социально значимых проектов и спорта.
Исследователи PT осуществили проверку случайности работы генератора и перемешивания массива данных с помощью стандартных статистических тестов: генератор функционирует именно так, как и был задуман — формирует последовательности, которые невозможно предугадать. Также был проведён анализ приложения для генерации чисел: критических уязвимостей не найдено.
Для организации лотерей компания применяет квантовый генератор истинно случайных чисел для систем безопасности и онлайн-игр. Это устройство служит централизованным и доверенным источником непредсказуемой последовательности чисел, повышая криптографическую стойкость механизмов защиты данных, серверов, виртуальных сред и частных сетей. В игровой индустрии генератор позволяет обеспечить высокую гибкость и исключить риски физического вмешательства в процесс.
Помимо этого, «Национальная Лотерея» провела дополнительный аудит ИТ-инфраструктуры на стадии подготовки и проведения новогоднего тиража лотереи «Мечталлион». ИБ-специалисты проверили и верифицировали процесс формирования предзаполненных комбинаций билетов с помощью генератора.
«Генераторы случайных чисел широко применяются в различных сферах: от финансов и телекома до научных исследований и игровой индустрии. Однако они могут стать слабым звеном в безопасности, если генерация чисел не соответствует строгим стандартам. Их нарушение создаёт реальные угрозы: например, предсказуемость ключевого материала в системе шифрования платежей открывает злоумышленнику путь к компрометации транзакций. А обнаружив закономерность в распределении идентификаторов сессий или токенов аутентификации, атакующий может получить несанкционированный доступ к сервисам, в том числе корпоративным. Наши эксперты проводят комплексное тестирование таких систем с точки зрения информационной безопасности. Они анализируют все компоненты: от исследования аппаратной и программной составляющих генератора до их оценки их взаимодействия и конечной передачи данных клиенту», — отметил Павел Петров, ведущий менеджер по работе с клиентами, Positive Technologies.
«Эксперты Positive Technologies провели исследование математической модели генератора случайных чисел. Мы ответственно относимся к вопросам защищённости и открыты проверкам. Этот подход ещё раз показывает, что "Национальная Лотерея" работает прозрачно и в полном соответствии требованиям безопасности. Мы и дальше будем регулярно проходить независимые аудиты, чтобы укреплять доверие игроков и поддерживать высокий стандарт надёжности платформы», — добавил Дмитрий Смирнов, начальник отдела ИБ «Национальной Лотереи».
(1).jpg)