1. Должны ли поставщики электронных услуг шифровать данные?
2. HTTPS - проблема 1
3. HTTPS - проблема 2
4. HTTPS - проблема 3

HTTPS (Hypertext Transfer Protocol Secure) является зашифрованной версией протокола HTTP (Hypertext Transfer Protocol). Что такое http: // и о чем все знают. Целью этого вызова является отправка запроса клиента (браузера пользователя) на веб-сервер, который затем отвечает на эти запросы. Благодаря этому серфинг в Интернете удобен для пользователя.

Связь по линии клиент-сервер осуществляется по умолчанию по протоколу HTTP. Однако в случае, когда это сообщение должно быть зашифровано, сначала обмениваются ключами, например, SSL, а затем отправляется запрос http: //. Веб-сайты защищены с помощью HTTPS для шифрования связи, то есть для предотвращения перехвата и изменения передаваемых данных и для обеспечения подлинности источника происхождения веб-сайта.

Должны ли поставщики электронных услуг шифровать данные?

В зависимости от типа электронных услуг и отраслевых норм, регулирующих аспекты защиты данных, степень их защиты варьируется. Однако все поставщики услуг обязаны соблюдать положения Закона от 18 июля 2002 года о предоставлении электронных услуг (Законодательный вестник 2002 года, № 144, пункт 1204 с внесенными в него поправками), именуемого в дальнейшем «пожизненный». Согласно ст. 20 п. 1 балл 2.

Поставщик услуг, который обрабатывает персональные данные получателя, обязан предоставить получателю доступ к актуальной информации о:

2) технические средства, предоставляемые поставщиком услуг, для предотвращения сбора и изменения несанкционированными лицами персональных данных, отправляемых в электронном виде,

Таким образом, ему ясно, что поставщик услуг, как Администратор персональных данных, должен защищать персональные данные, отправленные в электронном виде. Для этого используется шифрование. Это форма защиты, но она не обеспечивает 100% -ную безопасность. Тем не менее, шифрование связи на линии клиент-сервер имеет важное значение.

Каждый Администратор персональных данных (например, технологическая компания) обязан соблюдать положения о защите персональных данных. Особенно интересным юридическим документом в области шифрования связи является Постановление министра внутренних дел и администрации от 29 апреля 2004 года о документации по обработке персональных данных и технических и организационных условиях, которым должны соответствовать устройства и информационные системы, используемые для обработки персональных данных (Официальный журнал). 2004 № 100, пункт 1024). Согласно содержанию этого правила, в случае обработки данных с помощью устройства, имеющего доступ к общедоступной сети (Интернет), необходимо реализовать процедуру безопасности высокого уровня. Эта процедура предполагает m.in. реализация мер криптографической защиты от персональных данных, используемых для аутентификации (проверки личности), которые отправляются в общедоступную сеть.

HTTPS - проблема 1

Одним из методов киберпреступников является клонирование веб-сайтов поставщиков услуг, которые должны имитировать оригинальные веб-сайты. Затем приобретается аналогичный URL-адрес для веб-сайта поставщика услуг, который отличается, например, одним письмом, и на него наносится клон.

Фаза атаки основана на использовании фишинга (о том, как социальная инженерия работает в этом издании, которое я подробно написал), задача которого - убедить пользователя, заинтересованного в информации, посетить такой фальшивый веб-сайт и ввести его, например, логин и пароль, обеспечивающие доступ к электронным услугам. Пользователь на поддельном сайте вводит данные для входа, но не подключается к своей панели управления учетной записью, обновляется только страница. В течение этого времени злоумышленникам отправляются данные доступа, и пользователь перенаправляется на соответствующую страницу входа. Совершенно невежественный человек даже не обратит внимания на то, что система вела себя некорректно. В случае предоставления неверных данных система выводит сообщение и не приводит к обновлению страницы.

Если поставщик услуг не использует протокол HTTPS, это упрощает задачу киберпреступников. Пользователи не привыкли к префиксу https: // следовательно, злоумышленникам даже не нужно покупать SSL-сертификат, чтобы увеличить шансы на успех атаки. Однако если поставщик услуг использует протокол HTTPS и обучает пользователей обращать внимание на подключение к сайту, а злоумышленники используют страницу на основе протокола HTTP, то вероятность успеха атаки уменьшается.

Проблема возникает, когда киберпреступники покупают сертификат SSL, используя поддельные данные, чтобы обмануть издателя сертификата. Они делают это так, чтобы их поддельная страница выглядела как оригинал. Пользователи не имеют привычки проверять сертификаты. Для них быстрый просмотр подсчитывает, имеет ли сайт префикс https: // и, например, зеленую полосу (если поставщик услуг использует сертификат, который обеспечивает этот тип защиты). Если они не заметят, что веб-сайт имеет другой URL-адрес, чем исходный, они станут жертвами атаки. Поэтому HTTPS не обеспечит им безопасность в такой ситуации.

HTTPS - проблема 2

Эмитент сертификата может стать жертвой атаки киберпреступников. К сожалению, может потребоваться много времени, чтобы обнаружить инцидент и раскрыть его. Компрометация (раскрытие) ключей не обеспечит безопасность и позволит вам прослушать связь по линии клиент-сервер. В этом случае поставщик услуг должен принять соответствующие меры безопасности. Внедренная система управления информационной безопасностью (которая состоит из минимума: политика безопасности, руководство по управлению ИТ-системой, план обеспечения непрерывности бизнеса) поставляется с помощью.

HTTPS - проблема 3

Серьезной проблемой является также вредоносное ПО (вредоносное ПО), установленное в интернет-браузерах пользователей, что позволяет проводить атаку MITM (Man In The Middle). Злоумышленники могут использовать вредоносное ПО для работы браузера. Цель такой программы может заключаться в том, чтобы перенаправить интернет-пользователя на фальшивый веб-сайт, управляемый киберпреступниками, даже после ввода правильного URL-адреса в панели браузера. Если у пользователя нет привычки проверять правильность URL-адреса, вероятность атаки увеличивается. Однако, если замещенная страница не защищена протоколом HTTPS, а исходная - это пользователь, он может быстро увидеть, что он находится на неправильном веб-сайте. Все, однако, сводится к восприимчивости пользователя.

Тем не менее, атака MITM может быть использована таким образом, что киберпреступникам не нужно создавать вредоносные сайты. Это приводит к тому, что пользователи становятся практически беззащитными, когда поставщик услуг не обеспечивает дополнительную безопасность. Если киберпреступникам не нужно готовить сайты, чем они занимаются? Сначала они заражают браузеры пользователей вредоносными программами, а затем только ждут, пока они начнут заходить на веб-сайт провайдера (например, в банк) и выполнять интересные действия.

После входа на веб-сайт пользователь может видеть панель https: //, он даже может проверить достоверность сертификата и, например, перевести деньги на другой банковский счет (если, конечно, поставщик услуг не обеспечит надлежащую безопасность). Весь процесс происходит путем применения своего рода оверлея. Это сводится к тому, что пользователь видит правильный банковский счет в своем зараженном браузере и фактически вводит другой номер банковского счета. В этом случае HTTPS не обеспечивает достаточный уровень безопасности. Необходимы дополнительные защитные механизмы.

Беата Марек IT & IP юрист, cyberlaw.pl

Беата - юрист для электронных предпринимателей. Он сочетает в себе бизнес с законами и безопасностью в сфере ИКТ. Специализируется на законодательстве о новых технологиях, уделяя особое внимание праву в области информационных технологий, праву интеллектуальной собственности (закону об авторском праве, праву промышленной собственности), защите данных, информационной безопасности, киберпреступности, защите торговых марок и доменов, а также предоставлению электронных услуг во внутренней и внешней торговле.

фотографии https и символ блокировки , Концепция безопасности: блокировка на цифровом экране, контрастность, 3d визуализация и Компьютерные серверы они приходят с сайта Shutterstock.

Похожие

Комментарии