Эксперт по информбезопасности Алексей Парфентьев поделился своим мнением о том, какими путями следует бороться с подделкой QR-кодов.
С 28 июня вход в столичные рестораны и кафе оказался недоступен для тех, у кого отсутствует на руках специальный QR-код. Его могут получить вакцинировавшиеся, переболевшие в последние полгода или имеющие свежий ПЦР-тест об отсутствии коронавируса. В тот же день выяснилось, что этот код можно подделать или попробовать купить в интернете. Президент России Владимир Путин в ходе прямой линии 30 июня отметил, что сейчас также очень много жуликов, которые под видом прививки от коронавируса используют физраствор. Глава государства добавил: часто медики подыгрывают этим людям и делают им такие инъекции.
Мошенник может зарегистрировать домен, название которого созвучно с настоящим (например, mos.ru), загрузить туда базу с данными покупателей в нужном виде, сгенерировать гиперссылку и преобразовать информацию в QR-код. Оформить «сертификат о вакцинации» предлагают за 10–30 тыс. рублей, причем любой «привитый» якобы приобретает не пустышку в виде фальшивого QR-кода, а настоящий идентификатор, полученный на основе записи в реальном реестре вакцинировавшихся.
Если верить расследователям, которые проверяли работоспособность схемы, продавец передает данные пациента медработнику, тот оформляет документы, вносит ФИО в реестр, а содержимое ампулы с вакциной просто выливает. Увы, выглядит правдоподобно, тем более что, по официальным данным, на середину июня было заведено 24 уголовных дела. На контрольной закупке попался продавец, а в другом случае курьер.
Я не хочу поднимать этические вопросы, почему медработники идут на подлог, это большой и сложный разговор. Я как представитель сферы информационной безопасности вижу здесь вполне понятную проблему уязвимой инфраструктуры, которая создается так называемым привилегированным пользователем, в данном случае медработником.
К сожалению, нигде в мире нет единого решения, которое бы раз и навсегда снимало проблему злоупотребления доступом. Нет и такого технического решения, которое способно распознать со 100-процентной вероятностью, вносит сотрудник изменения в базу законно или нет. Это всегда комплекс мер, которые на техническом и организационном уровнях кардинально снижают вероятность злоупотреблений.
Все решения на техническом уровне защиты известны. Это средства полного сканирования на предмет неправомерного хранения и доступа к данным (класс решений eDiscovery, DCAP и DAM), система мониторинга передачи информации по всем сетевым каналам и на внешние устройства хранения (DLP), системы контроля активности сотрудников и инструменты расследования. Наконец, все это обязательное дополнение к стандартному разграничению прав доступа, когда речь идет о внутренних рисках. Применение этих средств обеспечит неизбежность наказания для реального нарушителя, потому что все его действия в системе будут зафиксированы.
Если в этом наборе защитного ПО нет ничего нового, почему мы не видим их применения? Ответ неоднозначен.
Любые IT-системы, где обрабатываются персональные данные, должны быть надежно защищены. Но до сих пор законы видят гораздо более серьезную угрозу в хакерах, а не в инсайдерах. Профильный закон по защите персональных данных в России, а также приказы, которые расшифровывают отдельные его тезисы, лишь вскользь и неконкретно говорят об утечках и махинациях с информацией по вине самих сотрудников. Не говоря уже о том, что очень небольшое количество компаний их реально соблюдает.
Чтобы улучшить ситуацию, не нужно переписывать весь ФЗ-152. В случае автоматизированной обработки персональных данных организация должна быть обязана использовать современные средства обеспечения безопасности. Эти дополнения можно и нужно внести в ст. 19 ФЗ-152. Статья последний раз дорабатывалась 10 лет назад, когда цифровизация была, мягко говоря, не на сегодняшнем уровне.
Такое ужесточение закона приведет к тому, что все ответственные лица будут знать, что манипуляции с информацией не окажутся незамеченными и каждый эпизод злоупотребления можно будет расследовать. Дальше дело за применением этих сведений. Как специалист по информационной безопасности я уверяю, что распутать такое преступление можно всегда. А дальше дело за принципом — хотим ли мы и дальше терпимо относиться к вопросу фальсификации? Если да, то ответственность продолжат нести «стрелочники» из числа продавцов и курьеров. А на их месте будут появляться новые авантюристы, готовые соорудить мошенническую схему везде, где государство допустит хоть минимальную лазейку.