Национальное управление кибербезопасности Израиля обратилось к государственным учреждениям и частным организациям с призывом прекратить использование даты выдачи удостоверения личности как одного из средств проверки личности в онлайн-системах. Вместо этого ведомство рекомендует переходить к современным и более надежным методам верификации.
Согласно позиции управления, дата выдачи удостоверения личности является статическим, открытым и доступным параметром, который не соответствует международным стандартам информационной безопасности и создает серьезную уязвимость для цифровых систем идентификации.
Рекомендация основана на профессиональном заключении, подготовленном подразделением по идентификации и биометрическим приложениям. Она согласуется с национальной политикой в сфере безопасной идентификации и международными нормами, требующими применения средств, основанных на шифровании, биометрической идентификации или одноразовых кодах вместо открытых данных.
Рост угроз и уязвимостей
В последние годы участились случаи, когда граждане фотографируют свои удостоверения личности и передают их различным сторонам — при получении посылок, аренде жилья или оформлении услуг. Одновременно фиксируется рост утечек данных в результате кибератак или ошибочных настроек систем.
Совместное использование фотографий документов вместе с их номерами предоставляет хакерам и мошенникам достаточно информации для кражи личности, получения доступа к онлайн-сервисам и проведения фишинговых атак. В последние годы отмечен резкий рост случаев мошенничества, основанных на похищенных или утекших данных удостоверений личности.
«Большинство людей даже не осознает, что фотография удостоверения, переданная, например, курьеру, может стать ключом к цифровому подлогу», — пояснила Наама Бен-Цви, глава подразделения по идентификации и биометрическим приложениям в управлении. —«Использование статических и открытых данных уже не отвечает требованиям времени. Необходимо переходить к современным методам, которые способны надежно отличить законного пользователя от мошенника».
Рекомендации для организаций и граждан
Национальное управление кибербезопасности в последние дни направило свои рекомендации и в правительственные министерства, потребовав пересмотреть системы онлайн-услуг, где дата выдачи удостоверения до сих пор используется как элемент идентификации.
Предлагаемые меры включают:
- Аутентификация через приложения — использование приложений-генераторов одноразовых кодов в реальном времени или технологий вроде Passkey, позволяющих входить в систему без пароля благодаря уникальному коду, привязанному к устройству.
- Применение современных технологий — использование цифровой подписи, биометрической идентификации (распознавание лица, отпечатков пальцев) или передовых методов шифрования для защиты информации.
- Рекомендация для частных лиц — избегать передачи чувствительной информации и отдавать предпочтение методам аутентификации, которые не основаны на открытых и доступных всем данных.
Национальное управление подчеркивает: переход на новые методы идентификации — необходимый шаг для защиты граждан и организаций на фоне роста киберугроз.