Privacy კლინიკებში

რამდენიმე ხნის წინ დამჭირდა ერთ-ერთ სამედიცინო დაწესებულებაში მისვლა. კლინიკაში ყოფნის მანძილზე დავაკვირდი, რომ იქაურობა მოფენილია სხვადასხვა ადამიანების პირადი ინფორმაციით.

პირველ რიგში, რაც თვალში (უფრო სწორედ, ყურში) მომხვდა იყო ის, რომ მისაღებში მდივანი ბლანკის შესავსებად კითხვებს უსვამს პაციენტს (რომლის პასუხები კი ყველას ესმის ვინც შორიახლოს დგას). უკეთესი იქნებოდა ეს ბლანკი პაციენტს თავად შეევსო.

გავიგე ისნის რაიონში, რომელიღაც კერძო სკოლის პედაგოგის ტელეფონის ნომერი, მისამართი, დაზღვევის პირობები და ოჯახის წევრების ზოგი ინფორმაცია.

მისაღებში, დესკზე დევს იმ დღეს სხდასხვა ექიმებთან ჩაწერილი პაციენტების სია მათი ტელეფონის ნომრებით. სავარაუდოდ ეს ემსახურება 2 მიზანს: პაციენტს მისცეს საშუალება გადაამოწმოს თავი, ზუსტად როდისაა ჩაწერილი ექიმთან და მდივანს მისცეს საშუალება პაციენტს დაურეკოს (თუ არ მოვიდა). პირველის გაკეთება შეიძლება სახელისა და გვარის პირველი ასოს მითითებით (თუ საერთოდ საჭიროა, რომ მაინც და მაინც ფურცელი იდოს დესკზე). რაც შეეხება დარეკვას, ცალკე უნდა ჰქონდეს ჩანიშნული მდივანს პაციენტების ნომრები.

სურათი გადავუღე ამ ფურცელს მდივნისა და ორიოდე ადამიანის თანდასწრებით.

ზემოთ ვახსენე ბლანკის შევსება. აღსანიშნავია, რომ ინფორმაციის  ნაწილი პაციენტის პირადი საქმის გარე გვერდზე ხვდება (რამდენიმე საქმე დესკზე უდევს მდივანს და ექიმსაც თავის კაბინეტში).

რამდენიმე პაციენტის სახელი, გვარი, პირადი ნომერი და ტელეფონი იყოს ყველასთვის თვალმისაწვდომ ადგილას.

დამაინტერესა სხვა კლინიკებში რა მდგომარეობაა. ორგან შევედი უმიზეზოდ. ორივეგან უკეთესი მდგომარეობა იყო, თუმცა ტელეფონის ნომრისა და პირადი ნომრების გაგება მაინც არ წარმოადგენდა პრობლემას, რადგანაც ამ ინფორმაციას დესკს ყველგან ეუბნებოდნენ მოქალაქეები.

ჩავარდნა სისტემის დიზაინში

როდესაც ინფორმაციული სისტემის დიზაინის მნიშვნელობაზე საუბრობთ და თვალსაჩინოებისთვის კარგი მაგალითი გჭირდებათ, შეგიძლიათ ქვემოთ მოყვანილი ილუსტრაცია გამოიყენოთ.

სურათზე გამოსახულია სახანძრო განგაშის სასიგნალო მოწყობილობის მიერ “გამოჭერილი” ადამიანი.

დიზაინერებმა “გააუმჯობესეს” მოწყობილობა და დაამატეს მექანიზმი, რომელიც სიგნალის ჩამრთველის ხელს ითრევს (და ადამიანი იქნება ასე დაბმული სანამ პოლიციელი ან მეხანძრე არ გამოუშვებს).

ამით დიზაინერებმა თავიდან აიცილეს ცრუ განგაშის მიცემის შესაძლებლობა.

არ არის გენიალური გადაწყვეტილება? 😀

ვინც ვერ მიხვდით, დაფიქრდით, ხანძრის შემთხვევაში შეყოფდით აქ ხელს განგაშის ასატეხად?

რომელი ციფრებია გამოყენებული PIN-ში?

ეს სურათი ერთ-ერთი საცხოვრებელი კორპუსის სადარბაზოს შესასვლელში გადავიღე (ფეისბუქზე Security GE ჯგუფშიც დავაშეარე).

იმდენად, რამდენადაც კლავიატურას ეტყობა რა ციფრებია გამოყენებული პინში, საინტერესოა რამდენი კომბინაცია არის დარჩენილი.

ვიგულისხმოთ, რომ PIN არის 6 ციფრიანი. გამოდის, რომ 6-ციფრიან პინში გამოყენებულია 4 ციფრი. ასეთ შემთხვევაში, მაქსიმუმ 4*4*4*3*2*1 ანუ 384 ვარიანტია (ციფრები გაცვეთილი რომ არ გვქონდეს, გვექნებოდა 1,000,000 შესაძლებლობა – 2600-ჯერ მეტი).

თუ პინი 4-ციფრიანია (ანუ ყოველი ციფრი მხოლოდ ერთხელ არის გამოყენებული), მაშინ გამოდის 24 ვარიანტი (4*3*2*1). ციფრები გაცვეთილი რომ არ იყოს, გვექნებოდა 10,000 კომბინაციის შესაძლებლობა (ეს მარტივი “სისუსტე” უსაფრთხოებას აქვეითებს დაახლოებით 416-ჯერ).

Agile Security Manifesto

agile seurity manfiesto

2001 წელს 18-მა დეველოპერმა გამოაქვეყნა ე.წ. Agile მანიფესტი, რომელშიც ჩამოყალიბებული იყო პროგრამული უზრუნველყოფის განვითარების პრინციპები.

მანიფესტს თავისი საიტიც აქვს და ქართულადაც არის თარგმნილი (სიტყვა Agile-ის გარდა 😀 ).

2016 წელს კომპანია Cigital-მა, რომელიც მოღვაწეობს პროგრამული უზრუნველყოფის უსაფრთხოების სფეროში, გამოაქვეყნა Agile უსაფრთხოების მანიფესტი.

მანიფესტის სრული ტექსტის PDF იხილეთ Cigital-ის საიტზე, აქ კი გთავაზობთ ძირითად პრინციპებს:

  1. პროგრამული უზრუნველყოფის უსაფრთხოება, პირველ რიგში, უნდა იყოს დეველოპერებისა და ტესტერების, და არა უსაფრთხოების სპეციალისტების, საქმე და პასუხისმგებლობა;
  2. უსაფრთხოება ჩადებული უნდა იყოს დეველოპმენტის პროცესსა და საქმიანობაში და უსაფრთხოებაზე ზრუნვა არ უნდა იწყებოდეს პროგრამის დასრულების შემდეგ;
  3. უმჯობესია პროგრამის ფუნქციონალში იყოს გათვალისწინებული უსაფრთხოება, ვიდრე ცალკე უსაფრთხოების ფუნქციონალი ემატებოდეს პროგრამას; გარდა ამისა, პროგრამაში უნდა ჩაიდოს უსაფრთხოების გამოცდილი და დატესტილი იმპლემენტაცია და არა იმპროვიზაცია;
  4. ორიენტაცია უნდა იყოს რისკების მოგვარებაზე და არა ბაგების აღმოფხვრაზე – დეველოპმენტის პროცესში გათვალისწინებული უნდა იყოს რისკები და უსაფრთხოება არ ამოიწურებოდეს ბაგების ან სისუსტეების სიის აღმოფხვრით;

 

Cyber Security To-Do List უკრაინისა და საქართველოსთვის

CCD_COE2015 წელს ნატოს კიბერ თავდაცვის თანამშრომლობის ცენტრმა (Cooperative Cyber Defence Centre of Excellence) რუსეთის-უკრაინის (კიბერ) კონფლიქტზე გამოაქვეყნა კვლევა Cyber War in Perspective: Russian Aggression Against Ukraine. შეგიძლიათ იხილოთ CCDCOE-ს საიტზე.

გლიბ პახარჩენკოს სტატიაში Cyber Operations at Maidan: A First-Hand Account (გვ. 59-66) მოყვანილი იყო რეკომენდაციები უკრაინის მთავრობისთვის კიბერ ომის მიმდინარეობისა და არსებული შედეგების გათვალისწინებით. ვფიქრობ, იგივე რეკომენდაციები მიესადაგება საქართველოსაც.

  • ქართული კიბერ სივრის ბოტნეტებისა და კონფიგურაციის სისუსტეების (NTP, DNS. . .) მქონე სერვერებისგან გაწმენდა;
  • კრიტიკული ინფორმაციული ინფრასტრუქტურიდან არალეგალური და პირატული პროგრამული უზრუნველყოფის ამოძირკვა;
  • კრიზისული სიტუაციებისათვის ინფორმაციულ ტექნოლოგიებზე დამოკიდებულების შემცირება;
  • ოპერაციული განგრძობადობის სტანდარტების შემოღება მედიისა და ტელეკომუნიკაციის სფეროში;
  • ინფორმაციის კონფლიქტის ზონაში მცხოვრები მოქალაქეებისადმი მიტანის მექანიზმის შემუშავება;
  • ანტი-DDoS გადაწყვეტილებების დანერგვა მნიშვნელოვანი ინტერნეტ რესურსებისათვის;
  • ქვეყნის მასშტაბით ინტერნეტთან წვდომის რამდენიმე დამოუკიდებელი წყაროდან მიღება;
  • ინტერნეტ კავშირის კვანძებში (national traffic exchange) ფილტრაციის მექანიზმის დანერგვა;
  • კიბერ შეტევების მუდმივი მონიტორინგის, გამოძიების, ინფორმაციის გაზიარებისა და კვლევის კულტურის განვითარება;
  • კომუნიკაციისა და სხვა ინფორმაციის არაავტორიზებული მოსმენისა და მოგროვების წინააღმდეგ საზოგადოებრივი ცნობიერების ამაღლება და საზოგადოებრივი კონტროლის განვითარება;
  • კრიზისულ სიტუაციებში ინფორმაციის განადგურებისა და კატასტროფული შემთხვევებიდან აღდგენის შესაძლებლობების განვითრება;
  • სამხედრო და სამართალდამცავ სამსახურებში კიბერ ოპერაციების ჩატარებისა და კომპიუტერული ექსპერტიზის შესაძლებლობების განვითარება;
  • რუსეთიდან მოწოდებული IT სერვისებისა და აღჭურვილობის უსაფრთხოების უზრუნველყოფა;

YPP – Information and Telecommunications Technology

რამდენიმე წლის წინ გაეროს Young Professionals Programme-ში მივიღე მონაწილეობა (Information and Telecommunications Technology მიმართულება). გაეროს ეს პროგრამა საშუალებას აძლევს ახალგაზრდა პროფესიონალებს დაიწყონ მუშაობა გაეროში. რამდენიმეეტაპიანი შერჩევის პროცესიდან პირველია წერითი ტესტირება.

ძველ დოკუმენტებში ქექვისას აღმოვაჩინე, რომ გამოცდიდან გამოსვლის შემდეგ დამახსოვრებული საკითხები ჩამომიწერია და გადავწყვიტე ბლოგზე დამედო. იქნებ ვინმეს გამოადგეს:

Open Questions
1. 
a) What is index in relational databases and what is its main benefit?
b) What is major difference between clustered index and non-clustered index?
2. Describe what is agile software development methodology. List its one advantage and one disadvantage.
3. What is taxonomy in the context of Record Management System? And why it is important to have a taxonomy in such a system?
4. What is difference between encryption and crystallographic hash algorithm. List usage of each of these.
5. What is tole and function of standard stateful firewall? What two security function it is NOT able to perform?
6. What is essential specifications, service characteristics and deployment characteristics of cloud computing?
7. Throughout the world ISPs are implementing IPv6. Why is IPv6 implementation needed and what are the specifications of its implementation.
8. Specify what are two types of virtualization and what are benefits of each of them.
Essays
1. Based on PRINCE2 and PMBOK
a) What is classical definition of the project?
b) List 5 characteristics of a project brief?
c) Why achieving more than planned with project may be a project failure?
. . .
2. Software 4
UML (Unified Modeling Language)
ER based diagram or class diagram of software functionality.
LIst 3 methods to verify the entry of data to DBs.
3. Data centers
RTO, RPO
Technology for interchanging data between two data centers
Load balancing technology
MPLS
Tagging for MPLS
4. Service desk
Essential characteristics for its effective functioning
Steps to respond request or incident
How to respond:
a) Provision of tablet computer;
b) User access request to ER;
. . .

 

როგორი უნდა იყოს უკეთესი ინტერნეტი – მოსაზრებები 1988 და 2008 წლებიდან

MIT-ის პროფესორმა დევიდ კლარკმა 1988 წელს გამოაქვეყნა ნაშრომი ინტერნეტი განვითარების პრიორიტეტებზე. ნაშრომი შეგიძლიათ წაიკითხოთ აქ.

კლარკი ამბობს, რომ ინტერნეტის არქიტექტორების უპირველესი მიზანი იყო ერთმანეთთან დაკავშირებული კომპიუტერული ქსელების (ARPANET) მულტიპლექსური (კომუნიკაციის 1 მედიუმის გამოყენებით მრავალი სიგნალის (ერთდროული) გადაცემა)  გამოყენების ეფექტური საშუალების შექმნა.

ქართულად:

უკვე არსებული ქსელის ისე გარდაქმნა, რომ მას შეძლებოდა სხვადასხვა მხარის მიერ ერთმანეთთან ერთდროული კომუნიკაციის უზრუნველყოფა.

პ.ს. TCP/IP პროტოკოლი 1983 წელს დაინერგა.

იქვე კლარკს მოცემული აქვს ინტერნეტის განვითარების 7 პრიორიტეტი:

  1. ინტერნეტ კომუნიკაცია უნდა გაგრძელდეს მიუხედავად ზოგი ქსელის ან გეითვეის დაკარგვისა;
  2. ინტერნეტს უნდა გააჩნდეს კომუნიკაციის სხვადასხვა ტიპის სერვისის მხარდაჭერა;
  3. ინტერნეტის არქიტექტურა შესაძლებლობას უნდა იძლეოდეს მას მიუერთდნენ განსხვავებული და ახალ-ახალი ქსელები;
  4. ინტერნეტის არქიტექტურა რესურსების გადანაწილებით (distributed) მართვის საშუალებას უნდა იძლეოდეს;
  5. ინტერნეტის არქიტექტურა უნდა იყოს ფინანსურად ეფექტური (cost effective);
  6. ინტერნეტში ახალი სისტემის ჩართვა უნდა მოითხოვდეს მინიმალურ ძალისხმევას;
  7. ინტერნეტის არქიტექტურაში გამოყენებული რესურსები უნდა იყოს დაანგარიშებადი;

20 წლის შემდეგ, National Science Foundation-მა დევიდ კლარკის ხელმძღვანელობით დაიწყო ახალი პროექტი (რომელიც ისევ გრძელდება) ინტერნეტის გაუმჯობესებასთან დაკავშირებით (პროექტის საიტი: www.nets-fia.net)

დევიდ კლარკის პრიორიტეტი ახალი და უკეთესი ინტერნეტისთვის (2008):

SECURITY

ბოქლომი

მგზავრობისას ბარგს ბოქლომით იცავთ და გიჭირთ 3 ან 4 ციფრიანი კოდის დამახსოვრება?

სწორედ თქვენთვის ახალი ბოქლომი შექმნეს! მასზე შეგიძლიათ დააყენოთ თარიღი. მაგალითად, თქვენი დაბადების დღე, რომელსაც აეროპორტის პერსონალი თქვენი პასპორტიდან გაიგებს, თქვენი დაქორწინების თარიღი, რომელიც ფეისბუქის public პროფილზე გიწერიათ ან გამგზავრების დღის თარიღი, რომელსაც ნებისმიერი გამვლელი მიხვდება 😀

P.S. ამავე დროს არ დაგავიწყდეთ, ყველაზე ძვირფასი ნივთები ამ ბოქლომით დაცულ ჩემოდანში ჩაალაგოთ 🙂

Birthday Lock

P.S.S. მარტივი ანალიზი და შედარება 4-ციფრიან ბოქლომთან:

4 ციფრიან ბოქლომზე შეიძლება 10,000 სხვადასხვა კომბინაციის დაყენება (0000-დან 9999-ის ჩათვლით).

ამ ბოქლომზე შეიძლება დაყენდეს 48,000 სხვადასხვა თარიღი (მარცხნიდან პირველზე არის 4 ვარიანტი (0,1,2,3), მეორეზე – 10, მესამეზე – 12 (თვეები), მომდევნო 2-ზე კი 10-10; შესაბამისად: 4x10x12x4x10=48,000)

ერთი შეხედვით, თარიღიანი ბოქლომი უფრო “უსაფრთხო” ჩანს, თუ ჩავთვლით, რომ მასზე დადებული კოდი იქნება random და შესაძლებელი იქნება ავირჩიოთ 30 თებერვალი და 35 მაისი (ამის შესაძლებლობას იძლევა ბოქლომი).

თუმცა პრაქტიკაში, უფრო რთულად არის საქმე. დაბადების დღეზე დაფუძნებული კოდზე გაცილებით მეტი ინფორმაციის მოძიება შეიძლება ბოქლომის პატრონის ელემენტარული “დაგუგლვით”.

გარდა ამისა, დაბადების დღიანი ბოქლომის კოდი შედგება სხვადასხვა სიძლიერის ნაწილისგან და ერთი რომელიმე მათგანის გამოცნობამ შესაძლებელია ძლიერ შეამციროს ვარიანტების რაოდენობა. მაგალითად, მხოლოდ იმის გაგებით, რომელი თვეა არჩეული, შესაძლო ვარიანტები 48,000/12=4,000-მდე მცირდება (რაც 2.5-ჯერ ნაკლბია 4-ციფრიანი კოდის შესაძლო ვარიანტებზე).

თუ ვივარაუდებთ, რომ ადამიანები საკუთარი და ოჯახის დაბადების დღეების და სხვა მნიშვნელოვანი თარიღების (რისი ნახვაც მათი სოციალური ქსელების პროფილებში იქნება შესაძლებელი) დაყენებისკენ არიან მიდრეკილი და ასევე სავარაუდოდ არ აირჩევენ არარსებულ თარიღებს (მაგალითად, 38 აგვისტოს), შესაძლოა ვარიანტების რაოდენობა კიდევ უფრო მცირდება. სავარაუდოდ, კვლევის ჩატარების შემთხვევაში შესაძლებელი იქნება რაიმე ტენდენციის აღმოჩენა ათწლეულების არჩევაშიც.

შეიძლება ეს ბოქლომი საკმარისი იყოს იმისთვის, რომ ნებისმიერმა გამვლელმა არ სცადოს ჩემოდნის გაღება. მეორეს მხრივ კი კარგი მაგალითია უსაფრთხოების სისტემებისა და მათი დიზაინის კონკრეტულ კონტექსტში განხილვისა და დისკუსიისთვის. საბოლოო ჯამში კი იმის საილუსტრაციოდ, თუ როგორ ახდენს გავლენას ადამიანი უსაფრთხოებაზე და ზოგადად ტექნოლოგიებზე.

ალექსანდერ ნტოკოსა და ევგენი კასპერსკის საერთო აზრების შესახებ

ჩემს ქინდლში მივაგენი ძველ დაბუკმარკებულ, Wired-ის ვრცელ სტატიას ევგენი კასპერსკის შესახებ. საკმაოდ საინტერესო საკითხავი იყო, მაგრამ ერთი ეპიზოდი განსაკუთრებით დამამახსოვრდა, რომელსზეც უფრო ვრცლად ქვემოთ დავწერ.

ინტერნეტის მართვაზე (internet governance) ორიოდ სიტყვით ვიტყვი, რომ საერთაშორისო არასამთავრობო ორგანოების მეშვეობით, ამერიკასა და “დასავლეთის” ქვეყნებს გადამწყვეტი გავლენა აქვთ ინტერნეტის განვითარების როგორც ტექნიკურ, ისე სოციო-პოლიტიკურ ასპექტებზე. შეგვიძლია ვთქვათ, რომ ამჟამად ეს გავლენა გამოიხატება თავისუფალ და ყველასთვის ხელმისაწვდომ ინტერნეტში. ჩინეთი და რუსეთი კი გაეროს (უფრო კონკრეტულად კი, მისი ერთ-ერთი ორგანოს ITU-ს – International Telecommunication Union) გავლით ცდილობენ ინტერნეტის მართვაზე ამერიკისა და ევროპის გავლენის შესუსტებასა და თავიანთი მთავრობების გავლენის ზრდას.

ზემოთ ხსენებულ სტატიაში, სხვა მრავალ საყურადღებო პუნქტთან ერთად, ნახსენები იყო თუ როგორ ლობირებს ევგენი კასპერსკი ინტერნეტში ნებისმიერი მომხმარებლისთვის “პასპორტის” იდეას “უსაფრთხოებისა” და “მოქალაქეთა დაცვის” მოტივით. “ინტერნეტ-პასპორტი” უნდა იყოს მომხარებლის ერთგვარი ID ინტერნეტში – რისი მიხედვითაც გადაწყდება მიეცემა მას თუ არა წვდომა რომელიმე რესურსთან. ამას გარდა, გაადვილდება ინტერნეტში მომხმარებელთა ქმედებების ტრეკინგი (რომელიც, ცხადია, თავად მომხმარებლების უსაფრთხოებისთვის უნდა გაკეთდეს 🙂 )

ITU-ს მაღალჩინოსანი ალექსანდერ ნტოკო მხარს უბამს კასპერსკის და მოჰყავს შემდეგი მაგალითი: ბანკში რომ მივდივართ, ხომ არავის ვუმალავთ ჩვენს სახეს და ონლაინშიც ასე უნდა იყოსო. ნტოკომ ეს აზრი Kaspersky-ს მიერ კანკუნში ორგანიზებულ Kaspersky Lab Cyber Conference-ზე გამოთქვა 2012 წელს (უფრო დაწვრილებით წაიკითხედ zdnet-ის სტატიაში).

ნტოკოს მიერ მოყვანილი ანალოგი არაადეკვატურია. როდესაც ბანკში მივდივართ, ჩვენ ჩვენს ვინაობას მხოლოდ ბანკის თანამშრომელს ვუმხელთ სერვისის მიღებისთვის. ხოლო დანარჩენს მოქალაქეებს, რომლებიც ბანკის რიგში დგანან თუ ქუჩაში სეირნობენ, ანგარიშს არ ვაბარებთ.

ზუსტად იგივე ხდება ამჟამად ონლაინშიც – როდესაც ინტერნეტ ბანკინგს ვიყენებთ, ბანკს ჩვენ ვინაობას აუთენთიფიკაციის მეშვეობით (როგორც წესი, იუზერნეიმი და პაროლი) ვუდასტურებთ (რის შემდეგაც წვდომა გვაქვს ჩვენს ანგარიშთან და შეგვიძლია განვახორციელოთ იგივე ქმედებები, რაც ფილიალში მისვლისას შეგვეძლებოდა). და არ არსებობს საჭიროება სხვა ვინმესთან/რამესთან გავიაროთ აუთენთიფიკაცია.

ამ ეპიზოდმა კიდევ ერთხელ გამახსენა სამწუხარო რეალობა, რომ ხშირ შემთხვევაში თანამედროვე ტექნოლოგიებზე გადაწყვეტილების მიმღებები (მათ შორის დასავლეთის ქვეყნებშიც) არიან პირები, რომლებიც:

ა) საერთოდ არ არიან გათვითცნობიერებული როგორც მუშაობს ინტერნეტი, თანამედროვე ტექნოლოგიები და თავში მოსდით არაადეკვატური აზრები (მაგალითად, ერთ-ერთმა ამერიკელმა მაღალჩინოსანმა ინტერნეტი განმარტა როგორც “ერთმანეთთან შეერთებული ტუბები”);

ბ) კარგად იციან რასაც ლაპარაკობენ და სურთ გაუთვითცნობიერებელი მომხმარებლების (მოქალაქეთა დიდი ნაწილი) შეცდომაში შეყვანა;

ამ ორიდან რომელია ნტოკო არ ვიცი. მაგრამ არაადეკვატური ანალოგიების მოყვანა, “უსაფრთხოებასა” და ეთიკის ნორმებზე აპელირება კი საიმედო ხერხია საკითხში არც თუ ღრმად ჩახედული ადამიანების შესაცდენად.

გადაიხადე მარტივად PIN კოდის გარეშე. . .

ორიოდე დღის წინ გამიკვირდა როცა შევნიშნე, რომ როდესაც წვრილმანი თანხის გადასახდელად საბანკო ბარათი გავუწოდე სუპერმარკეტის მოლარეს, მან ბარათი უბრალოდ დაადო ტერმინალს და ტრანზაქცია განხორციელდა – არანაირი PIN კოდის შეყვანა არ დამჭირვებია!

ცოტა ხნის წინ რამდენიმე ქართულმა ბანკმა დაიწყო RFID (Radio Frequency Identification) ჩიპებით აღჭურვილი ბარათებისა და სტიკერების გამოყენება. სტიკერი, რომელსაც მომხმარებლები ძირითადად მობილურ ტელეფონებზე აწებებენ, ანალოგიურად მუშაობს – POS ტერმინალზე დადებისას იხდის თანხას PIN-ის შეყვანის გარეშე. RFID ჩიპიანი ბარათი შეგვიძლია ვიცნოთ თავად საბანკო ბარათზე დატანილი contactless_indicator ინდიკატორით.

როგორი მოსახერხებელია ყოველგვარი PIN-ის გარეშე 2 წამში თანხის გადახდა! თუმცა ბარათი ან სტიკერი რომ მოგვპარონ?

დღეს ვიყავი ბანკში, რომ ცოტა მეტი რამ გამერკვია RFID-იან ბარათებზე.

აღმოჩნდა, რომ ერთჯერადი ლიმიტი არის დაახლოებით 50 ლარი. თუ გადასახდელი თანხა ამ ლიმიტზე მეტია, მაშინ ბარათი უნდა ჩავდოთ POS ტერმინალში და შემდეგ PIN-იც შევიყვანოთ.

თუმცა ერთჯერადი ლიმიტის გარდა, ბარათს სხვა ლიმიტი არ ადევს. შეგიძლიათ შეიძინოთ 40 ლარის საქონელი, შემდეგ შებრუნდეთ მაღაზიაში და ისევ შეიძინოთ 40 ლარის საქონელი და ასე დაუსრულებლად. შეიძლება ანგარიშზე არსებული მთელი თანხის გახარჯვა მცირე პორციებით.

ფილიალში ფიზიკური პირების მომსახურების ოფიცერს დავუსვი კითხვა, რა მოხდებოდა თუ ვინმე ბარათს მომპარავდა და დახარჯავდა მთელს ჩემს ფულს. შემომთავაზეს “ბარათის დაზღვევის” ყიდვა გარკვეულ თანხად. ზუსტი პირობები არ გამომიკითხავს. საინტერესოა ბარათის დაზღვევის პირობებში ულაპარაკოდ უნაზღაურდება თუ არა დანაკარგი კლიენტს.

თუ ბარათის დაზღვევა არ გნებავთ (მაგალითად იმიტომ, რომ ჩემსავით თვლით, კლიენტის დაცვა ბანკის მოვალეობაა დამატებითი დაზღვევებისა თუ საკომისიოების გარეშე!), ბარათი და შესაბამისად ფულიც მოგპარეს, მაშინ პოლიციაში უნდა იჩივლოთ.

აღსანიშნავია, რომ RFID ჩიპით გადახდის სერვისის გამორთვა შესაძლებელი არ არის.

ასევე არ არის შესაძლებელი ისეთი ბარათის აღება, რომელსაც არ ექნება RFID ჩიპი (ჩვენს ყველა ბარათს აქვსო – ბანკში მითხრეს).

დიდი ხნის მანძილზე, ამერიკული ბანკების საბანკო ბარათები ქურდებისა და თაღლითების საყვარელი სამიზნე იყო, რადგანაც მხოლოდ POS ტერმინალზე ბარათის ჩამოსმა საკმარისი იყო ტრანზაქციისთვის (მთელი ინფორმაცია ბარათის მაგნიტურ ველზე იყო მოთავსებული). ამერიკული ბანკები თაღლითობის ზრდისა და თაღლითობისგან კლიენტების დაცვის რეგულაციების გამკაცრების გამო, ნელ-ნელა გადავიდნენ (გადადიან), ე.წ. smart ბარათებზე, რომელთაც უფრო “ჭკვიანი” (საკუთარი მეხსიერებითა და პროცესორით აღჭურვილი მინი-ჩიპები SmartCard-Alliance) ჩიპი აქვთ და შეუძლიათ უსაფრთხოების მექანიზმების უზრუნველყოფა (ამ შემთხვევაში, ყოველი ტრანზაქციის დროს PIN კოდის მოთხოვნა).

იმპლემენტაციიდან გამომდინარე, შეიძლება RFID ჩიპი მაგნიტურ ველიან ბარათზე უარესიც აღმოჩნდეს რისკების თვალსაზრისით. RFID არის უკონტაქტო ტექნოლოგია. ის დაახლოებით 10 სანტიმეტრის რადიუსში მუშაობს. თუმცა არსებობს ძლიერი RFID წამკითხველები, რომლებიც ბარათებს 1 მეტრის რადიუსშიც კითხულობენ. თუ მონაცემები ჩიპზე დაშიფრული არ არის, მაშინ მარტივად შეიძლება მათი გადაკოპირება ახალ ჩიპზე და შემდეგ გამოყენება. თუმცა, როგორც წესი, საბანკო ბარათებზე მონაცემები დაშიფრულად ინახება.

რომ შევაჯამოთ:

  • PIN-ის გარეშე შესაძლებელია პრაქტიკულად ნებისმიერი თანხის დახარჯვა მცირე პორციებით (რისკების შესამცირებლად შეიძლებოდა სხვადასხვაგვარი ლიმიტების დადება – მაგალითად, საათში მაქს. 50 ლარის გადახდა და მხოლოდ 1 ტრანზაქციის გაკეთება PIN-ის შეყვანის გარეშე).
  • სერვისს არ აქვს ე.წ. opt-out. მოგწონს თუ არ მოგწონს, საბანკო ბარათს გადახდის ასეთი საშუალება მაინც ექნება.
  • ბანკი თაღლითობისგან დაცვას მთავაზობს მხოლოდ დამატებითი თანხის გადახდის შემთხვევაში.

მოხმარების სიმარტივე და კომფორტი კარგია, მაგრამ RFID-ჩიპიანი ბარათებით პრაქტიკულად ულიმიტო გადახდის დანერგვით, საქართველოში საბანკო ბარათების უსაფრთხოებამ 15 წლით უკან დაიწია.