Безопасность наших данных: время пришло
Jun. 14th, 2019 10:35 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
totaltelecomЯ посвящаю этот огромный, в 25 тысяч знаков материал всем тем, чьи деньги были украдены через дыры в системах безопасности банковских учреждений. Цель материала - пояснить, наконец, и для массовой аудитории, и для представителей затрагиваемых данной проблемой сфер все необходимые детали. И предложить, в конце концов, 100% конструктивную, технически реализуемую, абсолютно корректную с любой стороны альтернативу оскорбительным разговорам в духе "сама виновата!"
Сама виновата, что не использовала отдельный номер, сама виновата, что использовала его для звонков, сама виновата, что не зарегистрировала его, при любых раскладах сама виновата и точка...
Полагаю, после внимательного прочтения данного материала станет понятно, что ни регистрация номера, ни его сокрытие от окружающих не является системным решением проблемы. Решением является использование надёжных методов аутентификации пользователей, в том числе с помощью технологий мобильной связи.
Такие технологии, к счастью, уже присутствуют у наших операторов (MobileID, например), дело за малым - имплементировать эти решения на стороне финансовых учреждений. Хотя, конечно, считать чем-то малым и несущественным задачу убедить банкиров потратить заметные деньги там, где они много лет прекрасно обходились без этого - серьёзная ошибка.
Я считаю уместным прямо и без обиняков заявить - корень проблемы в алчности и безответственности финансовых учреждений. Много лет операторы мобильной связи предлагают им самые разные способы минимизировать риски для их общих (sic!) клиентов. Много лет банкиры прямо и без обиняков заявляют, что им это не интересно. И так работает.
Проблемы, которые описаны в статье по ссылке, вынуждают снова задаться вопросом о фактическос статусе услуг мобильной связи в нашей стране. Мобильная связь это уже не только возможность обмениваться голосовыми и текстовыми сообщениями, выходить в Сеть и т.п. Иными словами, это уже давно не только коммуникация. По факту статус мобильной связи намного выше. Это, в частности, элемент нашей цифровой идентичности.
К сожалению, этот важный, важнейший аспект не находит отражения в нормативном обеспечении рынка. Например, он не учитывался при разработке MNP как услуги и нормативной возможности для абонентов.
Я никак не могу согласиться с тем, что необходимо максимально упростить процедуру подачи заявки на перенос номера, вплоть до отказа от его персонификации. Как показывает опыт США, перенос номера в сеть другого оператора - один из самых популярных способов завладеть чужим номером.
При тестировании/оценивании MNP нужно в обязательном порядке проверять функциональность сервисов аутентификации на основе номера. Доставляются ли СМС, отрабатываются ли звонки автоматизированных платформ и т.п.
Более того, всю нормативную базу мобильной связи стоит оперативно пересмотреть, оценивая под этим ракурсом. Выявить уязвимости, сформулировать предложения и т.п. Масштабы проблемы будут только нарастать по мере роста проникновения финансовых услуг и смартфонов.
Считаю нужным обратить внимание - возможность получать ЭЦП на основании всего лишь номера мобильной связи, как это практикует Приватбанк, чревата огромными проблемами. Мало того, что злоумышленники получают возможность завладеть правом подписи жертвы. Если случится хотя бы пара подобных историй, ЭЦП как инструмент может быть дискредитирована. По этому сценарию, насколько могу судить, развивается ситуация в России.
Возможно, есть необходимость солидарных усилий пользователей, журналистов и экспертов. Как показал успешный опыт участия инициативной группы граждан в разработке Правил предоставления телекоммуникационных услуг, при наличии дееспособного мотивированного ядра можно сделать достаточно много.
Пишите комментарии, ставьте лайки и сердечки, делайте репосты. Читать далее...
Сама виновата, что не использовала отдельный номер, сама виновата, что использовала его для звонков, сама виновата, что не зарегистрировала его, при любых раскладах сама виновата и точка...
Полагаю, после внимательного прочтения данного материала станет понятно, что ни регистрация номера, ни его сокрытие от окружающих не является системным решением проблемы. Решением является использование надёжных методов аутентификации пользователей, в том числе с помощью технологий мобильной связи.
Такие технологии, к счастью, уже присутствуют у наших операторов (MobileID, например), дело за малым - имплементировать эти решения на стороне финансовых учреждений. Хотя, конечно, считать чем-то малым и несущественным задачу убедить банкиров потратить заметные деньги там, где они много лет прекрасно обходились без этого - серьёзная ошибка.
Я считаю уместным прямо и без обиняков заявить - корень проблемы в алчности и безответственности финансовых учреждений. Много лет операторы мобильной связи предлагают им самые разные способы минимизировать риски для их общих (sic!) клиентов. Много лет банкиры прямо и без обиняков заявляют, что им это не интересно. И так работает.
Проблемы, которые описаны в статье по ссылке, вынуждают снова задаться вопросом о фактическос статусе услуг мобильной связи в нашей стране. Мобильная связь это уже не только возможность обмениваться голосовыми и текстовыми сообщениями, выходить в Сеть и т.п. Иными словами, это уже давно не только коммуникация. По факту статус мобильной связи намного выше. Это, в частности, элемент нашей цифровой идентичности.
К сожалению, этот важный, важнейший аспект не находит отражения в нормативном обеспечении рынка. Например, он не учитывался при разработке MNP как услуги и нормативной возможности для абонентов.
Я никак не могу согласиться с тем, что необходимо максимально упростить процедуру подачи заявки на перенос номера, вплоть до отказа от его персонификации. Как показывает опыт США, перенос номера в сеть другого оператора - один из самых популярных способов завладеть чужим номером.
При тестировании/оценивании MNP нужно в обязательном порядке проверять функциональность сервисов аутентификации на основе номера. Доставляются ли СМС, отрабатываются ли звонки автоматизированных платформ и т.п.
Более того, всю нормативную базу мобильной связи стоит оперативно пересмотреть, оценивая под этим ракурсом. Выявить уязвимости, сформулировать предложения и т.п. Масштабы проблемы будут только нарастать по мере роста проникновения финансовых услуг и смартфонов.
Считаю нужным обратить внимание - возможность получать ЭЦП на основании всего лишь номера мобильной связи, как это практикует Приватбанк, чревата огромными проблемами. Мало того, что злоумышленники получают возможность завладеть правом подписи жертвы. Если случится хотя бы пара подобных историй, ЭЦП как инструмент может быть дискредитирована. По этому сценарию, насколько могу судить, развивается ситуация в России.
Возможно, есть необходимость солидарных усилий пользователей, журналистов и экспертов. Как показал успешный опыт участия инициативной группы граждан в разработке Правил предоставления телекоммуникационных услуг, при наличии дееспособного мотивированного ядра можно сделать достаточно много.
Пишите комментарии, ставьте лайки и сердечки, делайте репосты. Читать далее...
no subject
Date: 2019-06-17 08:51 am (UTC)