Category: транспорт

Category was added automatically. Read all entries about "транспорт".

white

秘密是秘密

У нас тут зашёл разговор, можно ли свести к нулю риск попадания персданных в руки мошенников. А если можно, то что для этого требуется?

Оказалось, требуется вовсе не это.

Требуется очень простая вещь. Чтоб конфиденциальная информация являлась конфиденциальной. И чтобы открытая являлась открытой. By design. И чтобы никто не пытался явочным порядком превратить первую во вторую или обратно.

Защитить можно любые данные, которые для этого были предназначены с самого начала. Возьмём как пример пароль к ключу управления банковским счётом. С первого этапа проектирования инфосистемы предполагалось, что он – конфиденциальный и будет надёжно защищаться. И мы его защитим. Если только не вмешаются какие-нибудь шибко умные деятели, которые начнут требовать этот пароль, например, при оплате проезда в маршрутке (при помощи пресловутой УЭК). Вот тогда защитить его станет трудно даже самым гениальным инженерам.

Противоположный пример: ИНН. Он придуман как открытый идентификатор, который знают все, кто имеет дело с бухгалтерией. Задуман как открытый, используется как открытый. Если вдруг кто-то начнёт пользоваться им для дистанционного подтверждения личности, люди будут поставлены в неудобное положение: им придётся начать скрывать то, что для сокрытия исходно не предназначалось. Эффективность защиты при этом, естественно, будет ниже плинтуса.

К сожалению, слишком часто пытаются использовать персональные данные вот таким вот нештатным образом. При этом надёжной защиты не добьёшься. А ведь всё так просто:


white

Всем носить цак

Добрые люди обратили внимание на хайтекную инициативу властей:
«С 1 июля 2011 устанавливать оборудование ГЛОНАСС обяжут всех перевозчиков пассажиров... В те же сроки подключиться к ГЛОНАСС приказано перевозчикам крупногабаритных, опасных и тяжеловесных грузов. Невыполнивших требования будут штрафовать: в Кодекс об административных правонарушениях внесут необходимые изменения.»
Под страхом штрафа и лишения лицензии предусмотрена обязанность иметь "аппаратуру спутниковой навигации ГЛОНАСС или ГЛОНАСС/GPS", но не указано, какую именно. Кроме "иметь", не предусмотрена обязанность её использовать.

Минтранс в этой своей инициативе ссылается на соображения безопасности. Однако нынешние функции такой аппаратуры – навигация и отслеживание местоположения – никак не затрагивают безопасность.

Так что есть две версии. Первая – традиционная и не интересная: кое-кому приспичило "заработать" сколько-нибудь немножечко денежек под протекцией государства. Купи сертифицированную хреновину у аттестованного лицензиата – и свободен.

Вторая версия поинтересней: устройство позиционирования – первый шаг ко внедрению кой-чего посерьёзней простых навигаторов. Сначала устанавливается обязательная аппаратура с-чем-надо внутри. Следующим шагом вводится обязанность её подключить к-чему-надо. А там уже видна перспектива централизованно рулить грузо- и пассажиропотоками, отслеживать логистику и оплату проезда, перераспределять нагрузку и так далее.

Рассмотрим те же самые платные дороги. Строить поперёк шоссе денежно-пропускные пункты через каждые N километров, сажать в них контролёров, ставить надсмотрщиков, инкассировать и так далее – затея дорогая и плохо совместимая с курсом на модернизацию. Гораздо удобней сделать все платные дороги виртуальными. Никаких шлагбаумов, никаких соловьёв-разбойников у обочины. Просто в центральном компьютере в Москве такая-то дорога отмечается как платная. Одно движение мышкой – и дело сделано! В конце месяца владельцу транспортного средства приходит счёт. «Гражданин Владелец Т.С. За истекший период ваше транспортное средство проехало M километров по платным трассам, из них X км – по тарифу Y и Z км – по тарифу Й; а также Г км – с превышением установленной скорости. Итого с вас Р рублей». Нанотехнологично и сердито.

И в России наконец появится компьютерная информация, которая напрямую конвертируется в деньги. Вот здесь-то и начнётся по-настоящему!

white

Ошибки старого безопасника 7

В не таком уж далёком году знакомые вашего покорного слуги оперативно обеспечивали расследование одного убийства. Подозреваемый никак не признавался. И вообще ушёл в глухую "51-ю". Но вдруг внезапно он просится на допрос и сообщает о наличии у него алиби. Якобы в период совершения преступления он уехал из Москвы в другой город "по личным делам". По каким именно – опять "51-я".

Защитник ходатайствует сделать выемку из БД ж/д билетов РЖД (тогда ещё МПС), а также из книги регистрации гостиницы. И – о, чудо! – находится железнодорожный билет на имя подозреваемого и регистрационная карточка из гостиницы. Верить в чудеса следователи с операми не привыкли (они и в чистую-то правду верят через раз).

Но доказать подлог не смогли. Дежурный администратор гостиницы у нас бы раскололся за милую душу, признался бы, гад, когда, как и по чьему указанию подделал запись. Но он – в другом городе. Прессовать его удалённо нельзя, а местное ОВД никакой заинтересованности не проявило.

Что касается подложной записи в БД ЖД, тут даже непонятно, кого именно прессовать. Была бы это БД какой-нибудь мелкой лавки, изъяли бы сервера и отправили к чёртовой матери на экспертизу – пусть разбираются, кто и когда внёс/исправил запись. Но с конторой типа МПС такие штуки не проходят.

Все понимали, что если оправдать человека на основании каких-то непонятных "записей" в какой-то тёмной БД, зараза тут же распространится на всех убийц и бандитов. Если адвокат один раз нашёл ход к сисадмину (хакеру) такой удобной "базы алиби", то найдёт и в будущем. И посыпятся вообще все дела. Чтоб закрыть эту потенциальную уязвимость, пришлось упомянутые доказательства... того... сделать недействительными. И с этого момента больше попыток взлома БД РЖД не предпринималось.

А вы говорите – "целостность".

white

РЖД, РЖД, забудь меня!

Например, вот тут один правозащитник готовит процесс против РЖД по поводу сбора персональных данных пассажиров дальнего следования. Пытается обосновать, что ПД перевезённых граждан должны быть уничтожены после завершения перевозки или вскоре после этого.

На взгляд вашего покорного слуги, обосновать это нельзя. Поскольку заявленные цели сбора ПД даны в "резиновой" формулировке: «устойчивое и безопасное функционирование транспортного комплекса, защита интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства». Тем не менее, будет весьма интересно посмотреть на судебный процесс, если, конечно, он состоится.

Пожалуй, что сбор ПД в таких масштабах, как на ж/д и воздушном транспорте (а в ближайшей перспективе и на метрополитене) – это уже вопрос для Конституционного суда о соответствии ч.1 ст.23 Конституции (тайна частной жизни).