Има ли риск с руските четци на банкови карти в метрото
Има ли риск от източване на данни при заплащане с банкова карта в метрото или за зловредно потребление на устройствата? Притеснения не би трябвало да има, този вид заплащане от години е на всички места. Но валидаторите в софийското метро са съветско произвеждане и това накара някогашният министър на електронното ръководство в държавното управление " Петков " Божидар Божанов да изпрати писмо до " Държавна организация " Национална сигурност " (ДАНС) с въпроси дали са ревизирали киберзащитата на валидаторите.
По този мотив " Дневник " също зададе въпроси на организацията. От там дадоха отговор единствено, че софийското метро е стратегически обект и информацията за него е класифицирана, т.е. секретна. Същия отговор е получил и Божанов.
" От ДАНС не са ни търсили, само че те си имат свои канали за инспекция ", сподели пред " Дневник " Ивайло Цаков, шеф и съучастник в " Компютърнет сървисиз " - компанията, закупила валидаторите.
Купувачът на валидаторите: арменски са, единствено ги асeмблират в Русия
На въпрос на " Дневник " за какво са избрали съветски валидатори Цаков изясни: " Взехме тези, тъй като са положително качество, надеждни и сигурни са, а и цената беше добра. " Офертата за тези валидатори я избрали още през 2017 година, тъй като публичната поръчка е от 2018 година, добави той. Този модел четци (Vendotek T) са внедрени в още седем европейски страни, само че под друго име, твърди Цаков. Консорциумът " Си Ен Ес-София тикетинг систем " е определен за реализатор на публичната поръчка на Центъра за градска подвижност (ЦГМ) през 2018 година, с цел да създаде електронната система за продажба на билети и карти. Тя е на стойност 83.24 млн.лева, а консорциумът я печели с най-ниска оферта - 73 млн. лв.. В него вземат участие три компании - " Компютърнет сървисиз ", " Тикси " и турската " Асис електроник ве билишим системлери ".
Ден след диалога с Цаков, в писмен отговор на " Си Ен Ес София тикетинг систем " на същия въпрос на " Дневник " беше обяснено, че производителят не е съветска компания, а арменска, а в Русия устройствата единствено се асeмблирали (сглобяват).
обаче е посочено, че са съветска компания и даже са " единственият разработчик и производител на валидатори в Русия ". Продукцията е онагледена с два модела,, който е в софийското метро.
И ма ли учредения за терзания
Валидаторите в метрото марка Vendotek T са разработка на съветската група компании " Терминальные технологии " с адрес в Подмосковието. От техния уебсайт се разбра, че в софийското метро са инсталирани " 500 наши валидатори ". Руснаците акцентират този факт, тъй като до тогава техните устройства-четци се инсталират в Русия, Беларус, Узбекистан, Азербайджан, Армения и Казахстан, както.
Дотогава, а и по-късно нито Столичната община, нито ЦГМ и " Метрополитен " загатват някъде, че на всички 84 входа на метростанциите четците на банкови карти са съветски.
" Валидаторите, създадени в Русия, имат наложително връзка с интернет (едва ли непосредствено, само че през вътрешна мрежа, която " излиза " навън), тъй като би трябвало да правят картови транзакции. Това значи, че са съвършен обект на така наречен supply chain офанзиви ( " офанзиви посредством веригата на доставки " ). Дори сега на произвеждане и доставка да няма никаква накърнимост, при приемане на обновления (ъпдейт) такава може да бъде въведена ", написа Божанов в блога си.
Според него в изискванията на войната на Русия в Украйна производителят може да бъде заставен да изпрати ново приложение с претекст за възстановяване на функционалността на валидаторите. " А в случай че предната седмица от ГРУ (военното разузнаване на Русия) са натиснали производителя с " Изберете си - в пандиза или пускате този (злонамерен) код в идващия ъпдейт ", изясни опасенията си Божанов за " Дневник ".
Според него можело да е начало на хакерска атака - един път вкарано, новото приложение може да не спре единствено до валидатора, а защото минава през мрежата, да прескочи, примерно, и до системата за ръководство на стрелките на метрото, предизвестява Божанов и прави ангажимента: " Звучи параноично, само че при такава интернационална конюнктура и при страна, която със свои сътрудници взривява оръжейни хранилища в България, риск съществува, въпреки и дребен като възможност, само че резултатът евентуално е огромен. "
" Не бихме могли да се ангажираме с даване на качествена оценка по отношение на равнището на киберсигурност на цитираните устройства, както и да потвърдим или да отхвърлим изложените терзания ", обявиха от Министерството на електронното ръководство на въпрос на " Дневник ", защото не разполагали с " съответстваща информация " по казуса.
Какви данни събира ЦГМ от банковите карти
В София приблизително дневно 50 000 пътувания са с заплащане с банкова карта, разясниха от ЦГМ. Руските валидатори в метрото работят с хардуер и програмен продукт, които са минали сполучливо наложителните проби за сигурност на Visa, MasterCard и BCard на " Борика ", повториха от центъра и прибавиха, че банковите данни не се обработват от изпълнителя.
В раздел " Политики за дискретност " в уеб страницата на ЦГМ се показва, че " за следене историята на вашите пътувания, се събира следната информация: тип и номер на картата, имена на картодържателя, годност и код за защита; информация по отношение на заплащането на услугите през банката, която обслужва транзакцията - история на заплащанията. ЦГМ не съхранява никакви данни за Вашата банкова карта и няма достъп до тях. Като попълвате тези данни, Вие ги предоставяте непосредствено на обслужващата банка - Банка ДСК АД ", твърдят от общинското сдружение.
ДСК-Мобайл: Няма по какъв начин да се вкара злотворен ъпдейт
Няма място за терзания, няма по какъв начин да се вкара " злотворен ъпдейт ", тъй като предпоставките за всевъзможни такива външни намеси са отстранени, увери Васил Димитров, до неотдавна изп.директор на " ДСК-Мобайл ", която взе участие при въвеждането на е-плащанията с банкова карта в градския превоз. " Системата за сигурност е построена да не позволява всевъзможни злоумишлени дейности, т.е. под надзора на Visa и MasterCard е по стандарт и по този начин работи в 500 града по света ", посочи той.
От ДСК " Венчърс " удостоверяват, че прецизно се съблюдава отбраната на персоналните данни. " Компанията е въвела нужните механически и организационни ограничения за тяхната отбрана. Тя е сертифицирана по PCI DSS (Payment Card Industry Data Security Standart). На валидаторите в метрото е конфигуриран програмен продукт, сертифициран по интернационалните стандарти на международните платежни оператори ", дадоха отговор още от ДСК " Венчърс " за " Дневник ".
Експерт по киберсигурност: Да се сертифицират в европейска лаборатория
" След като Божанов се е тормозил, евентуално има заплаха ", разяснява Явор Колев, някогашен секретар на Съвета по киберсигурност към Министерския съвет и народен координатор в бранша.
Руските валидатори да се изпратят за узаконяване в самостоятелна европейска лаборатория, с цел да се тестват дали може да се работи с тях в Европейския съюз, предложи той. Фактът, че се употребяват единствено в Беларус, Казахстан, Азербайджан и Армения е индикативен за него. На аргумента, че валидаторите са сертифицирани от Visa u MasterCard той отговори, че би трябвало друга сертификация, която е за прилагане на устройства в сериозна инфраструктура.
" Не съм наясно каква информация стига до валидаторите, само че щом можеш да плащаш и да валидираш карта, нали с тези устройства ЦГМ събира данни за пътуващите, а картите са поименни и съдържат персонални данни. Затова мисля, че Комисията за отбрана на персоналните данни също би трябвало да ревизира тези устройства ", предложи киберекспертът. Столичната община и ЦГМ най-вероятно нямат и визия защо става въпрос, те не са мислили по този проблем, счита той. " На юнашко доверие са взети такива устройства, които оперират с данни на български жители и всичко може да бъде събирано като база данни ", предизвести Колев.
В ДАНС има експерти и съм уверен, че те знаят какво да създадат в тази ситуация, в случай че към този момент не са го сторили, разяснява и Божидар Божанов.
Софийското метро ще купува за " съветските линии " влакове, които не са съветски
Всичко, което би трябвало да знаете за:
По този мотив " Дневник " също зададе въпроси на организацията. От там дадоха отговор единствено, че софийското метро е стратегически обект и информацията за него е класифицирана, т.е. секретна. Същия отговор е получил и Божанов.
" От ДАНС не са ни търсили, само че те си имат свои канали за инспекция ", сподели пред " Дневник " Ивайло Цаков, шеф и съучастник в " Компютърнет сървисиз " - компанията, закупила валидаторите.
Купувачът на валидаторите: арменски са, единствено ги асeмблират в Русия
На въпрос на " Дневник " за какво са избрали съветски валидатори Цаков изясни: " Взехме тези, тъй като са положително качество, надеждни и сигурни са, а и цената беше добра. " Офертата за тези валидатори я избрали още през 2017 година, тъй като публичната поръчка е от 2018 година, добави той. Този модел четци (Vendotek T) са внедрени в още седем европейски страни, само че под друго име, твърди Цаков. Консорциумът " Си Ен Ес-София тикетинг систем " е определен за реализатор на публичната поръчка на Центъра за градска подвижност (ЦГМ) през 2018 година, с цел да създаде електронната система за продажба на билети и карти. Тя е на стойност 83.24 млн.лева, а консорциумът я печели с най-ниска оферта - 73 млн. лв.. В него вземат участие три компании - " Компютърнет сървисиз ", " Тикси " и турската " Асис електроник ве билишим системлери ".
Ден след диалога с Цаков, в писмен отговор на " Си Ен Ес София тикетинг систем " на същия въпрос на " Дневник " беше обяснено, че производителят не е съветска компания, а арменска, а в Русия устройствата единствено се асeмблирали (сглобяват).
обаче е посочено, че са съветска компания и даже са " единственият разработчик и производител на валидатори в Русия ". Продукцията е онагледена с два модела,, който е в софийското метро.
И ма ли учредения за терзания
Валидаторите в метрото марка Vendotek T са разработка на съветската група компании " Терминальные технологии " с адрес в Подмосковието. От техния уебсайт се разбра, че в софийското метро са инсталирани " 500 наши валидатори ". Руснаците акцентират този факт, тъй като до тогава техните устройства-четци се инсталират в Русия, Беларус, Узбекистан, Азербайджан, Армения и Казахстан, както.
Дотогава, а и по-късно нито Столичната община, нито ЦГМ и " Метрополитен " загатват някъде, че на всички 84 входа на метростанциите четците на банкови карти са съветски.
" Валидаторите, създадени в Русия, имат наложително връзка с интернет (едва ли непосредствено, само че през вътрешна мрежа, която " излиза " навън), тъй като би трябвало да правят картови транзакции. Това значи, че са съвършен обект на така наречен supply chain офанзиви ( " офанзиви посредством веригата на доставки " ). Дори сега на произвеждане и доставка да няма никаква накърнимост, при приемане на обновления (ъпдейт) такава може да бъде въведена ", написа Божанов в блога си.
Според него в изискванията на войната на Русия в Украйна производителят може да бъде заставен да изпрати ново приложение с претекст за възстановяване на функционалността на валидаторите. " А в случай че предната седмица от ГРУ (военното разузнаване на Русия) са натиснали производителя с " Изберете си - в пандиза или пускате този (злонамерен) код в идващия ъпдейт ", изясни опасенията си Божанов за " Дневник ".
Според него можело да е начало на хакерска атака - един път вкарано, новото приложение може да не спре единствено до валидатора, а защото минава през мрежата, да прескочи, примерно, и до системата за ръководство на стрелките на метрото, предизвестява Божанов и прави ангажимента: " Звучи параноично, само че при такава интернационална конюнктура и при страна, която със свои сътрудници взривява оръжейни хранилища в България, риск съществува, въпреки и дребен като възможност, само че резултатът евентуално е огромен. "
" Не бихме могли да се ангажираме с даване на качествена оценка по отношение на равнището на киберсигурност на цитираните устройства, както и да потвърдим или да отхвърлим изложените терзания ", обявиха от Министерството на електронното ръководство на въпрос на " Дневник ", защото не разполагали с " съответстваща информация " по казуса.
Какви данни събира ЦГМ от банковите карти
В София приблизително дневно 50 000 пътувания са с заплащане с банкова карта, разясниха от ЦГМ. Руските валидатори в метрото работят с хардуер и програмен продукт, които са минали сполучливо наложителните проби за сигурност на Visa, MasterCard и BCard на " Борика ", повториха от центъра и прибавиха, че банковите данни не се обработват от изпълнителя.
В раздел " Политики за дискретност " в уеб страницата на ЦГМ се показва, че " за следене историята на вашите пътувания, се събира следната информация: тип и номер на картата, имена на картодържателя, годност и код за защита; информация по отношение на заплащането на услугите през банката, която обслужва транзакцията - история на заплащанията. ЦГМ не съхранява никакви данни за Вашата банкова карта и няма достъп до тях. Като попълвате тези данни, Вие ги предоставяте непосредствено на обслужващата банка - Банка ДСК АД ", твърдят от общинското сдружение.
ДСК-Мобайл: Няма по какъв начин да се вкара злотворен ъпдейт
Няма място за терзания, няма по какъв начин да се вкара " злотворен ъпдейт ", тъй като предпоставките за всевъзможни такива външни намеси са отстранени, увери Васил Димитров, до неотдавна изп.директор на " ДСК-Мобайл ", която взе участие при въвеждането на е-плащанията с банкова карта в градския превоз. " Системата за сигурност е построена да не позволява всевъзможни злоумишлени дейности, т.е. под надзора на Visa и MasterCard е по стандарт и по този начин работи в 500 града по света ", посочи той.
От ДСК " Венчърс " удостоверяват, че прецизно се съблюдава отбраната на персоналните данни. " Компанията е въвела нужните механически и организационни ограничения за тяхната отбрана. Тя е сертифицирана по PCI DSS (Payment Card Industry Data Security Standart). На валидаторите в метрото е конфигуриран програмен продукт, сертифициран по интернационалните стандарти на международните платежни оператори ", дадоха отговор още от ДСК " Венчърс " за " Дневник ".
Експерт по киберсигурност: Да се сертифицират в европейска лаборатория
" След като Божанов се е тормозил, евентуално има заплаха ", разяснява Явор Колев, някогашен секретар на Съвета по киберсигурност към Министерския съвет и народен координатор в бранша.
Руските валидатори да се изпратят за узаконяване в самостоятелна европейска лаборатория, с цел да се тестват дали може да се работи с тях в Европейския съюз, предложи той. Фактът, че се употребяват единствено в Беларус, Казахстан, Азербайджан и Армения е индикативен за него. На аргумента, че валидаторите са сертифицирани от Visa u MasterCard той отговори, че би трябвало друга сертификация, която е за прилагане на устройства в сериозна инфраструктура.
" Не съм наясно каква информация стига до валидаторите, само че щом можеш да плащаш и да валидираш карта, нали с тези устройства ЦГМ събира данни за пътуващите, а картите са поименни и съдържат персонални данни. Затова мисля, че Комисията за отбрана на персоналните данни също би трябвало да ревизира тези устройства ", предложи киберекспертът. Столичната община и ЦГМ най-вероятно нямат и визия защо става въпрос, те не са мислили по този проблем, счита той. " На юнашко доверие са взети такива устройства, които оперират с данни на български жители и всичко може да бъде събирано като база данни ", предизвести Колев.
В ДАНС има експерти и съм уверен, че те знаят какво да създадат в тази ситуация, в случай че към този момент не са го сторили, разяснява и Божидар Божанов.
Софийското метро ще купува за " съветските линии " влакове, които не са съветски Всичко, което би трябвало да знаете за:
Източник: dnevnik.bg
КОМЕНТАРИ