Україна за крок до цифрового Кібергедону: як провалсистеми е-декларування довів нелегітимність використання ЕЦП
Дата 15 серпня 2016 на довго закарбується в пам’ятіукраїнських експертів із боротьби з корупцією, е-урядування та ІТ, якщо один ізчорних понеділків. Все почалось із того, що за рішенням Національного агентстваз питань запобігання корупції (НАЗК) було розпочато роботу Єдиного державногореєстру декларацій осіб, уповноважених на виконання функцій держави абомісцевого самоврядування. Радісна подія, але як би не те, що система не буланалежним чином перевірена і атестована Державною службою спеціального зв’язкута захисту інформації.
Нагадаємо, що Реєстр створювався відповідно дозобов’язань Уряду перед громадянами країни та міжнародними партнерамивпровадити систему електронного декларування України вже під час річного циклудекларування 2016 року.
Згідно з офіційною заявою у вересні 2015 року Програмарозвитку ООН в Україні (ПРООН) долучилася до розробки програмного забезпеченнядля Реєстру, зазначивши, що підтримка бази даних та моніторинг деклараційпосадових осіб – одна з ключових функцій НАЗК. Розробником програмногозабезпечення для системи електронного декларування ПРООН обрала ТОВ «Міранда».
13 серпня відбулась нарада вНАЗК, де Держспецзв’язку офіційно передало рішення про результати державноїекспертизи, тобто відмовилось атестувати систему е-декларування через численнінедоліки пов’язані з захистом інформації. Досить сміливий крок, для очільниказазначеної структури, після офіційної заяви Президента України про запуске-декларування незважаючи на існуючі недоліки.
В заяві для преси Держспезвязку повідомили, що видачаАтестату відповідності КСЗІ Реєстру можлива виключно за умови відповідностіцієї інформаційно-телекомунікаційної системи вимогам українського законодавствата після усунення виявлених недоліків і порушень.
Крім того, в ЗМІ була розгорнута анти-компанія протидержструктур, які відповідають за державну інформаційну безпеку. Де численні«експерти», користуючись гучними гаслами, по суті здійснювали інформаційнийтиск на державний орган ймовірно задля приховування недоліків не готовоїсистеми е-декларування для використання та ймовірно прийнятті сумнівних ізтехнічної так юридичної точок зору рішень щодо підтвердження відповідності КЗСІнормам національного законодавства.
Звісно, ситуація із НАЗК не найкращий привід для гордостіперед західними партнерами, проте, все ж, на мою димку це краще, ніж через «діряву»і неналежним чином захищену систему, яка отримала б доступ до інших державнихреєстрів відбувся б витік, знищення та інші види несанкціоновані операцій ізкритичною інфраструктурою держави. За умови отримання доступу до цього реєструхакерами, ситуація із Прикарпаттяобленерго коли, цілий регіон України буввідключений від електропостачання, а інформаційна система, яка керує роботоюпідстанцій була по-суті самознищенню вірусом, здавалась би дитячими забавками.
Уявіть собі, що 16 серпня Україна прокинулась би без Єдиногодемографічного реєстру Державний реєстр речових прав на нерухоме майно або ЄДР,в Країні наступив би справжній Кібергедон, а на відновлення інформації пішли броки!
Часткове підтвердженням вищенаведеної гіпотези є подіяяка сталась 19 серпня. В державному реєстрі електронних декларацій булозареєстровано фальшиву декларацію від імені члена НАЗК Руслана Рябошапки, вякій повідомляється про отримання ним 25 млн грн від ТОВ «Неякісний розробник».Народні депутати Антон Геращенко та Іван Вінник на прес-конференції заявили прозлам системи. Згодом, незалежними експертами, були проаналізовані скріншоти , які показують, що підроблена електронна декларація,подана від імені члена НАЗК Руслана Рябошапки, була підписана не «тестовим»ключем, як повідомлялося раніше, а повноцінним електронним ключем, що бувстворений державним підприємством "Українські спеціальні системи"(УСС). Про що свідчать відкриті дані про ключ та його номер.
Тобто, електронний ключ, яким підписали фейковудекларацію, вірогідно, був створений УСС за підробленими документами, або бездокументів, тоді виникає запитання, як же він був випущений і ким.
20 серпня 2016 року на сайті Держспецзсвяку булорозміщено заяву щодо не причетності Державного підприємства «Українськіспеціальні системи» до видачі фейкового (несправжнього)електронного цифрового підпису Руслана Рябошапки. Згідно якої, АЦСК ДП «УСС» громадянин Рябошапка В.В. (неРуслан Рябошапака, а невідомий громадянин Рябошапка В.В.) не звертавсядо ДП «УСС» за послугою, щодо видачі сертифікату ключа, тому інформація щодоможливого використання для взлому автоматизованої системи електронногодекларування ключа, виданого ДП «УСС», не відповідає дійсності.
Експерти із кібербезпеки на основіотриманих даних про ключі електронного цифрового підпису гр. Рябошапки заявляються про два можливіваріанти отримання такого ключа, це компрометація рутового сертифікату УСС, щодозволило «хакерам» випустити цей славнозвісний «тестовий» ключ (який бувпідписаний рутовим сертифікатом УСС) і підписати ним декларацію, або ж довипуску ключа мають відношення особи що мають доступу до інформаційних системУСС та здійснили випуск відповідного ключа (за участю громадянина чи без).
Ситуація із «підробкою» ключа електронногоцифрового підпису громадянина Рябошабки (Руслана чи В.В.) в черговий раз підтвердиланеобхідності вдосконалення нормативно-правого регулювання використання ЕЦП. Безцього, рейдерські захоплення підприємств через «несанкціонований» доступу додержавних реєстрів будуть траплятись і далі, а ситуація із фейковою декларацієюу дірявому реєстрі НАЗК буде виглядати як дрібні ігри хакерів початківців.
Вже сьогодні, державний реєстратор абонотаріус, використовуючи свій цифровий підпис може за кільки хвилин, розлучитивас, переписати ваше майно на іншу особу, або навпаки наділити вас майном, якеви ніколи не купували і звісно не знаєте, що його потрібно задекларувати. Такийхаос в першу чергу виникає не через недосконалість інформаційних технологій ісистем захисту (як із реєстром декларацій НАЗК), а через не правильнезастосування цих технічних засобів, недосконалість політик кіберзахисту узатверджених КЗСІ АЦСК та АС держорганів.
Підтвердженням цього є також оцінки Європейськогоцентру дослідження безпеки Дж. Маршала, які говорять про те, що 97,5%кіберзагроз виникають внаслідок людського фактору, а не через недоліки у роботікомп’ютерної техніки.
Описані вище кіберзагрози, які виникли іздержавними реєстрами, в першу чергу зумовлені ліберальною політикою використанняЕЦП та низькім рівнем ІТ освіченості людей в руки яких вручено інструментздатний змінити у державному реєстрі інформацію про особу, її майно, статус,або просто стерти її визнавши ліквідованим або померлим.
Уявіть собі ситуацію, коли ключі ЕЦП, якідають доступ зміни інформації в основних державних реєстрах зберігаються «втаємниці», як того вимагають «правила» скажімо на сервісі зберігання файлівмейл.ру, або на гугл диску? В такому разі, за певних юридично визначених умовиспецслужби інших країн, або хакери –внаслідок взлому електронної пошти, отримуютьдоступу до цих ключів, що несе у собі неоціненно велику кіберзагрозу длянаціональної безпеки України!
Крім того, інснує юридична площина цієїпроблеми!
Чи може ЕЦП, який неналежним чиномзберігається, вважатись належними підтвердженням факту його правомірноговикористання, крім того, чи є правочини оформлені таким підписом нікчемними (щоде факто підтверджено діями Мінюсту із діями вчиненими особою, яка намагаласьпереписати компанію Новус на нового власника), і в кінці кінців використанийненалежним чином ЕЦП не може бути доказом в суді?!
Тобто, ознаки фековості, неправомірності інікчемності можуть нести більшість документів та правочинів вчинених сьогодні вУкраїні! А отже, завтра будь який підкований юрист може спробувати оскаржитифакти купівлі продажу майна чи реєстрації в ЄДР, (податкова, або) самі підприємстваможуть відмовитись визнавати декларації підписані ЕЦП, а все це через неналежніумови зберігання ключів та низку інших правових умов про яких нижче.
Для пояснення цього звернемось до низкинормативних актів.
Для зрозумілості почнемо із всім відомих умовизберігання печаток і бланків. Так, Згідно ПКМ від 27 листопада 1998 р. №1893 «Прозатвердження Інструкції про порядок обліку, зберігання і використаннядокументів, справ, видань та інших матеріальних носіїв інформації, які містятьслужбову інформацію» пункт 68 говорить про те, що «печатки і штампи повинні зберігатисяу сейфах або металевих шафах, бланки дозволяється зберігати у шафах, що надійнозамикаються та опечатуються» а пункт 70 говорить про те, що видача бланківдокументів здійснюється під розписку у відповідних облікових формах, щопередбачені відомчими інструкціями, видача цих бланків без заповненнязабороняється.
Таким чином, інструменти – печатка і бланк, які дозволяють юридично оформити «правочин» чи здійснити іншу юридичнозначиму дію мають належним чином зберігатись, з метою неможливості надання фізичногодоступу до них стороннім особам. Тобто, печатка установи, сьогодні, як доводитьінцидент гр. Рябошапки, набагато краще захищена ніж ключ ЕЦП цьоговисокопосадовця, оскільки він чомусь не зберігався у захищеному місці та незахищеному носію до якого доступ має мати лише одна особа – його власник.
Крім того, якщо вдатись до статті 367Кримінального кодексу України то за невиконання або неналежне виконанняслужбовою особою своїх обов'язків через несумлінне ставлення до них, щозаподіяло істотну шкоду охоронюваним законом правам та інтересам окремихфізичних та юридичних осіб, державним чи громадським інтересам, може тягнути засобою покарання у формі штрафу, виправних робот до двох років, або обмеженнямволі на строк до трьох років, із позбавленням права обіймати певні посади чизайматися певною діяльністю на строк до трьох років. Те саме діяння, якщо воноспричинило тяжкі наслідки, карається позбавленням волі на строк від двох доп'яти років із позбавленням права обіймати певні посади чи займатися певноюдіяльністю.
З об'єктивної сторони, службову недбалістьхарактеризує наявність трьох ознак у їх сукупності: 1) дія або бездіяльністьслужбової особи; 2) наслідки у вигляді істотної шкоди охоронюваним закономправам та інтересам окремих громадян, або державним чи громадським інтересам,або інтересам окремих юридичних осіб; 3) причинний зв'язок між вказаним діямичи бездіяльністю та шкідливими наслідками.
Цілком ймовірно, що неналежне виконанняслужбовими особами (державними службовцями, реєстраторами, нотаріусами, а такожбухгалтерами підприємств і установ,) шляхом неналежного зберігання (у таємниці)ключів ЄПЦ, може тягнути за собою кримінальне покарання.
А тепер трохи галузевого законодавства іпро те в яких випадках ЕЦП має рівнозначний статус до власноручного підписугромадянина чи печатки. Відповідь на це запитання дає Закон України «Проелектронний цифровий підпис», де у статті 3 сказано, що електронний цифровий підписза правовим статусом прирівнюється до власноручного підпису (печатки) у разі,якщо:
електронний цифровий підпис підтверджено з використаннямпосиленого сертифіката ключа за допомогою надійних засобів цифрового підпису;
під час перевірки використовувався посиленийсертифікат ключа, чинний на момент накладення електронного цифрового підпису;
особистий ключ підписувача відповідає відкритомуключу, зазначеному у сертифікаті.
Якщо спростити, то ключ ЕПЦ прирівнюєтьсядо власноручного підпису (печатки), якщо він випущений на відповідну особу, намомент використання дійсний, а сертифікат і ключ до нього надійно захищені.Здавалось би дуже просто на перший погляд. Але, відповідь на те, що таке«посилений сертифікат ключа» і «надійний засіб електронного цифрового підпису»можна знайти у законі, проте щодо останнього залишається багато невизначеностіі можливостей для «маневру», оскільки підтвердження відповідності та проведеннядержавної експертизи цих засобів здійснюється у порядку, визначеномузаконодавством.
Тобто, щоб ваш ЕЦП був прирівняний довласноручного підпису, він має бути випущеним акредитованим (Держспецзвязку) центромсертифікації ключів та підтвердженим допомогою надійних засобів цифровогопідпису.
Прикладом такого (надійного) засобу ЕПЦпрограмний «ІІТ Користувач ЦСК-1» – комп’ютерна програма призначена длязастосування на комп’ютерній техніці клієнтів АЦСК ІДД ДФС. Саме цим «надійним»засобом користуються юридичні особи для підпису свої електронних декларацій дляподаткової.
Таким чином, виявляється, нормативна базадозволяє збереження ЕЦП у файловому криптоконтейнері з доступом за паролем,який може бути збережений на звичайній флешці, або іншому носієві. Дозвіл навикористання «софтового» криптоконтейнеру ЕПЦ надається внаслідок відповідної експертизиу сфері криптографічного захисту інформації.
Поряд з цим, є інші варіанти «надійногозасобу» ЕЦП, у випадках коли ТЗ на КСЗІ вимагає більш підвищеного рівня захисту(як в АС Клієнт-казначейство), зберігання ключа ЕЦП може бути передбаченоіншим, більш захищеним способом –на активному носієві - токені або смарт-картці.При чому, таких, перевірених та сертифікованих засобів в Україні розробленодостатньо, в т.ч. вітчизняних виробників.
Питання стоїть лише в необхідності записуЕЦП на активний (фізичний носій) інформації, вартість якого становить від 20у.е. Саме з цим нюансом акредитації та сертифікації намагаються уникнути всіАЦСК щоб здешевити свої продукти, проте тим самим, створюються умови для компрометації,через належне зберігання засобі ЕЦП, що може тягнути за собою фіктивністьдекларацій (про майно та податкових), втрату майна, нікчемність правочинів, абонавіть при серйозних загрозах переведення на офф-лайновий (паперовий) режимроботи державних реєстрів.
За умови, коли в КЗСІ АЦСК, ключі якихприймаються для роботи із держреєстрами, було передбачено зберігання ключів ЕПЦне у вигляді звичайних файлів, які можуть бути записані на флешку, а іншим,більш захищеним способом з використанням активного носія - токену або смарт-карти,таких випадків, як із декларацією гр.Рябошапки та із рейдерським віджимом мережі Novus просто не було б.
Для порівняння, інтернет магазини, або іншімайданчиків е-комерції, де здійснюється інтернет торгівля, а отже передаютьсяконфіденційні дані про платіжні інструменті клієнтів, використовують SSL-сертифікат,тобто цифровий підпис веб-сайту, який призначений для забезпечення обмінуданими між сайтом і браузером клієнта по захищеному каналу зв'язку. Всі данібудуть передаватися у зашифрованому вигляді зі спеціальним цифровим підписом. Длятого, щоб браузер не попереджав про те, що цей сайт є підозрілим, необхідновикористовувати SSL сертифікат виданий довіреним центром сертифікації. І як недивно, наші підприємці SSL сертифікати поставляють своїм клієнтам на захищенихтокенах (наприклад SafeNet 4000.).
Отже, напрошується висновок про те, щопотребує масового перегляду правила КЗСІ АЦСК у контексті використанняпосилених сертифікатів із обов’язковим використання активних надійних засобів цифровогопідпису, а також правил використання та зберігання відповідними службовцями, якв державному так і приватному секторах економіки. Лише це сьогодні дозволитьзупинити Кібергедон, початок який ми такуважно спостерігаємо сьогодні.
To be continued….
Олександр Царук, експерт з управління Інтернетом