Україна за крок до цифрового Кібергедону: як провал системи е-декларування довів нелегітимність використання ЕЦП
Дата 15 серпня 2016 на довго закарбується в пам’яті українських експертів із боротьби з корупцією, е-урядування та ІТ, якщо один із чорних понеділків. Все почалось із того, що за рішенням Національного агентства з питань запобігання корупції (НАЗК) було розпочато роботу Єдиного державного реєстру декларацій осіб, уповноважених на виконання функцій держави або місцевого самоврядування. Радісна подія, але як би не те, що система не була належним чином перевірена і атестована Державною службою спеціального зв’язку та захисту інформації.
Нагадаємо, що Реєстр створювався відповідно до зобов’язань Уряду перед громадянами країни та міжнародними партнерами впровадити систему електронного декларування України вже під час річного циклу декларування 2016 року.
Згідно з офіційною заявою у вересні 2015 року Програма розвитку ООН в Україні (ПРООН) долучилася до розробки програмного забезпечення для Реєстру, зазначивши, що підтримка бази даних та моніторинг декларацій посадових осіб – одна з ключових функцій НАЗК. Розробником програмного забезпечення для системи електронного декларування ПРООН обрала ТОВ «Міранда».
13 серпня відбулась нарада в НАЗК, де Держспецзв’язку офіційно передало рішення про результати державної експертизи, тобто відмовилось атестувати систему е-декларування через численні недоліки пов’язані з захистом інформації. Досить сміливий крок, для очільника зазначеної структури, після офіційної заяви Президента України про запуск е-декларування незважаючи на існуючі недоліки.
В заяві для преси Держспезвязку повідомили, що видача Атестату відповідності КСЗІ Реєстру можлива виключно за умови відповідності цієї інформаційно-телекомунікаційної системи вимогам українського законодавства та після усунення виявлених недоліків і порушень.
Крім того, в ЗМІ була розгорнута анти-компанія проти держструктур, які відповідають за державну інформаційну безпеку. Де численні «експерти», користуючись гучними гаслами, по суті здійснювали інформаційний тиск на державний орган ймовірно задля приховування недоліків не готової системи е-декларування для використання та ймовірно прийнятті сумнівних із технічної так юридичної точок зору рішень щодо підтвердження відповідності КЗСІ нормам національного законодавства.
Звісно, ситуація із НАЗК не найкращий привід для гордості перед західними партнерами, проте, все ж, на мою димку це краще, ніж через «діряву» і неналежним чином захищену систему, яка отримала б доступ до інших державних реєстрів відбувся б витік, знищення та інші види несанкціоновані операцій із критичною інфраструктурою держави. За умови отримання доступу до цього реєстру хакерами, ситуація із Прикарпаттяобленерго коли, цілий регіон України був відключений від електропостачання, а інформаційна система, яка керує роботою підстанцій була по-суті самознищенню вірусом, здавалась би дитячими забавками.
Уявіть собі, що 16 серпня Україна прокинулась би без Єдиного демографічного реєстру Державний реєстр речових прав на нерухоме майно або ЄДР, в Країні наступив би справжній Кібергедон, а на відновлення інформації пішли б роки!
Часткове підтвердженням вищенаведеної гіпотези є подія яка сталась 19 серпня. В державному реєстрі електронних декларацій було зареєстровано фальшиву декларацію від імені члена НАЗК Руслана Рябошапки, в якій повідомляється про отримання ним 25 млн грн від ТОВ «Неякісний розробник». Народні депутати Антон Геращенко та Іван Вінник на прес-конференції заявили про злам системи. Згодом, незалежними експертами, були проаналізованіскріншоти , які показують, що підроблена електронна декларація, подана від імені члена НАЗК Руслана Рябошапки, була підписана не «тестовим» ключем, як повідомлялося раніше, а повноцінним електронним ключем, що був створений державним підприємством "Українські спеціальні системи" (УСС). Про що свідчать відкриті дані про ключ та його номер.
Тобто, електронний ключ, яким підписали фейкову декларацію, вірогідно, був створений УСС за підробленими документами, або без документів, тоді виникає запитання, як же він був випущений і ким.
20 серпня 2016 року на сайті Держспецзсвяку було розміщено заяву щодо непричетності Державного підприємства «Українські спеціальні системи» до видачі фейкового (несправжнього) електронного цифрового підпису Руслана Рябошапки. Згідно якої, АЦСК ДП «УСС» громадянин Рябошапка В.В. (не Руслан Рябошапака, а невідомий громадянин Рябошапка В.В.) не звертався до ДП «УСС» за послугою, щодо видачі сертифікату ключа, тому інформація щодо можливого використання для взлому автоматизованої системи електронного декларування ключа, виданого ДП «УСС», не відповідає дійсності.
Експерти із кібербезпеки на основі отриманих даних про ключі електронного цифрового підпису гр. Рябошапки заявляються про два можливі варіанти отримання такого ключа, це компрометація рутового сертифікату УСС, що дозволило «хакерам» випустити цей славнозвісний «тестовий» ключ (який був підписаний рутовим сертифікатом УСС) і підписати ним декларацію, або ж до випуску ключа мають відношення особи що мають доступу до інформаційних систем УСС та здійснили випуск відповідного ключа (за участю громадянина чи без).
Ситуація із «підробкою» ключа електронного цифрового підпису громадянина Рябошабки (Руслана чи В.В.) в черговий раз підтвердила необхідності вдосконалення нормативно-правого регулювання використання ЕЦП. Без цього, рейдерські захоплення підприємств через «несанкціонований» доступу до державних реєстрів будуть траплятись і далі, а ситуація із фейковою декларацією у дірявому реєстрі НАЗК буде виглядати як дрібні ігри хакерів початківців.
Вже сьогодні, державний реєстратор або нотаріус, використовуючи свій цифровий підпис може за кільки хвилин, розлучити вас, переписати ваше майно на іншу особу, або навпаки наділити вас майном, яке ви ніколи не купували і звісно не знаєте, що його потрібно задекларувати. Такий хаос в першу чергу виникає не через недосконалість інформаційних технологій і систем захисту (як із реєстром декларацій НАЗК), а через не правильне застосування цих технічних засобів, недосконалість політик кіберзахисту у затверджених КЗСІ АЦСК та АС держорганів.
Підтвердженням цього є також оцінки Європейського центру дослідження безпеки Дж. Маршала, які говорять про те, що 97,5% кіберзагроз виникають внаслідок людського фактору, а не через недоліки у роботі комп’ютерної техніки.
Описані вище кіберзагрози, які виникли із державними реєстрами, в першу чергу зумовлені ліберальною політикою використання ЕЦП та низькім рівнем ІТ освіченості людей в руки яких вручено інструмент здатний змінити у державному реєстрі інформацію про особу, її майно, статус, або просто стерти її визнавши ліквідованим або померлим.
Уявіть собі ситуацію, коли ключі ЕЦП, які дають доступ зміни інформації в основних державних реєстрах зберігаються «в таємниці», як того вимагають «правила» скажімо на сервісі зберігання файлів мейл.ру, або на гугл диску? В такому разі, за певних юридично визначених умови спецслужби інших країн, або хакери –внаслідок взлому електронної пошти, отримують доступу до цих ключів, що несе у собі неоціненно велику кіберзагрозу для національної безпеки України!
Крім того, інснує юридична площина цієї проблеми!
Чи може ЕЦП, який неналежним чином зберігається, вважатись належними підтвердженням факту його правомірного використання, крім того, чи є правочини оформлені таким підписом нікчемними (що де факто підтверджено діями Мінюсту із діями вчиненими особою, яка намагалась переписати компанію Новус на нового власника), і в кінці кінців використаний неналежним чином ЕЦП не може бути доказом в суді?!
Тобто, ознаки фековості, неправомірності і нікчемності можуть нести більшість документів та правочинів вчинених сьогодні в Україні! А отже, завтра будь який підкований юрист може спробувати оскаржити факти купівлі продажу майна чи реєстрації в ЄДР, (податкова, або) самі підприємства можуть відмовитись визнавати декларації підписані ЕЦП, а все це через неналежні умови зберігання ключів та низку інших правових умов про яких нижче.
Для пояснення цього звернемось до низки нормативних актів.
Для зрозумілості почнемо із всім відомих умови зберігання печаток і бланків. Так, Згідно ПКМ від 27 листопада 1998 р. №1893 «Про затвердження Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять службову інформацію» пункт 68 говорить про те, що «печатки і штампи повинні зберігатися у сейфах або металевих шафах, бланки дозволяється зберігати у шафах, що надійно замикаються та опечатуються» а пункт 70 говорить про те, що видача бланків документів здійснюється під розписку у відповідних облікових формах, що передбачені відомчими інструкціями, видача цих бланків без заповнення забороняється.
Таким чином, інструменти – печатка і бланк, які дозволяють юридично оформити «правочин» чи здійснити іншу юридично значиму дію мають належним чином зберігатись, з метою неможливості надання фізичного доступу до них стороннім особам. Тобто, печатка установи, сьогодні, як доводить інцидент гр. Рябошапки, набагато краще захищена ніж ключ ЕЦП цього високопосадовця, оскільки він чомусь не зберігався у захищеному місці та не захищеному носію до якого доступ має мати лише одна особа – його власник.
Крім того, якщо вдатись до статті 367 Кримінального кодексу України то за невиконання або неналежне виконання службовою особою своїх обов'язків через несумлінне ставлення до них, що заподіяло істотну шкоду охоронюваним законом правам та інтересам окремих фізичних та юридичних осіб, державним чи громадським інтересам, може тягнути за собою покарання у формі штрафу, виправних робот до двох років, або обмеженням волі на строк до трьох років, із позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років. Те саме діяння, якщо воно спричинило тяжкі наслідки, карається позбавленням волі на строк від двох до п'яти років із позбавленням права обіймати певні посади чи займатися певною діяльністю.
З об'єктивної сторони, службову недбалість характеризує наявність трьох ознак у їх сукупності: 1) дія або бездіяльність службової особи; 2) наслідки у вигляді істотної шкоди охоронюваним законом правам та інтересам окремих громадян, або державним чи громадським інтересам, або інтересам окремих юридичних осіб; 3) причинний зв'язок між вказаним діями чи бездіяльністю та шкідливими наслідками.
Цілком ймовірно, що неналежне виконання службовими особами (державними службовцями, реєстраторами, нотаріусами, а також бухгалтерами підприємств і установ,) шляхом неналежного зберігання (у таємниці) ключів ЄПЦ, може тягнути за собою кримінальне покарання.
А тепер трохи галузевого законодавства і про те в яких випадках ЕЦП має рівнозначний статус до власноручного підпису громадянина чи печатки. Відповідь на це запитання дає Закон України «Про електронний цифровий підпис», де у статті 3 сказано, що електронний цифровий підпис за правовим статусом прирівнюється до власноручного підпису (печатки) у разі, якщо:
електронний цифровий підпис підтверджено з використанням посиленого сертифіката ключа за допомогою надійних засобів цифрового підпису;
під час перевірки використовувався посилений сертифікат ключа, чинний на момент накладення електронного цифрового підпису;
особистий ключ підписувача відповідає відкритому ключу, зазначеному у сертифікаті.
Якщо спростити, то ключ ЕПЦ прирівнюється до власноручного підпису (печатки), якщо він випущений на відповідну особу, на момент використання дійсний, а сертифікат і ключ до нього надійно захищені. Здавалось би дуже просто на перший погляд. Але, відповідь на те, що таке «посилений сертифікат ключа» і «надійний засіб електронного цифрового підпису» можна знайти у законі, проте щодо останнього залишається багато невизначеності і можливостей для «маневру», оскільки підтвердження відповідності та проведення державної експертизи цих засобів здійснюється у порядку, визначеному законодавством.
Тобто, щоб ваш ЕЦП був прирівняний до власноручного підпису, він має бути випущеним акредитований центром сертифікації ключів та підтвердженим допомогою надійних засобів цифрового підпису.
Прикладом такого (надійного) засобу ЕПЦ програмний «ІІТ Користувач ЦСК-1» – комп’ютерна програма призначена для застосування на комп’ютерній техніці клієнтів АЦСК ІДД ДФС. Саме цим «надійним» засобом користуються юридичні особи для підпису свої електронних декларацій для податкової.
Таким чином, виявляється, нормативна база дозволяє збереження ЕЦП у файловому криптоконтейнері з доступом за паролем, який може бути збережений на звичайній флешці, або іншому носієві. Дозвіл на використання «софтового» криптоконтейнеру ЕПЦ надається внаслідок відповідної експертизи у сфері криптографічного захисту інформації.
Поряд з цим, є інші варіанти «надійного засобу» ЕЦП, у випадках коли ТЗ на КСЗІ вимагає більш підвищеного рівня захисту (як в АС Клієнт-казначейство), зберігання ключа ЕЦП може бути передбачено іншим, більш захищеним способом –на активному носієві - токені або смарт-картці. При чому, таких, перевірених та сертифікованих засобів в Україні розроблено достатньо, в т.ч. вітчизняних виробників.
Питання стоїть лише в необхідності запису ЕЦП на активний (фізичний носій) інформації, вартість якого становить від 20 у.е. Саме з цим нюансом акредитації та сертифікації намагаються уникнути всі АЦСК щоб здешевити свої продукти, проте тим самим, створюються умови для компрометації, через належне зберігання засобі ЕЦП, що може тягнути за собою фіктивність декларацій (про майно та податкових), втрату майна, нікчемність правочинів, або навіть при серйозних загрозах переведення на офф-лайновий (паперовий) режим роботи державних реєстрів.
За умови, коли в КЗСІ АЦСК, ключі яких приймаються для роботи із держреєстрами, було передбачено зберігання ключів ЕПЦ не у вигляді звичайних файлів, які можуть бути записані на флешку, а іншим, більш захищеним способом з використанням активного носія - токену або смарт-карти, таких випадків, як із декларацією гр.Рябошапки та із рейдерським віджимом мережі Novus просто не було б.
Для порівняння, інтернет магазини, або інші майданчиків е-комерції, де здійснюється інтернет торгівля, а отже передаються конфіденційні дані про платіжні інструменті клієнтів, використовують SSL-сертифікат, тобто цифровий підпис веб-сайту, який призначений для забезпечення обміну даними між сайтом і браузером клієнта по захищеному каналу зв'язку. Всі дані будуть передаватися у зашифрованому вигляді зі спеціальним цифровим підписом. Для того, щоб браузер не попереджав про те, що цей сайт є підозрілим, необхідно використовувати SSL сертифікат виданий довіреним центром сертифікації. І як не дивно, наші підприємці SSL сертифікати поставляють своїм клієнтам на захищених токенах (наприклад SafeNet 4000.).
Отже напрошується висновок про те, що потребує масового перегляду правила КЗСІ АЦСК у контексті використання посилених сертифікатів із обов’язковим використання активних надійних засобів цифрового підпису, а також правил використання та зберігання відповідними службовцями, як в державному так і приватному секторах економіки. Лише це сьогодні дозволить зупинити Кібергедон, початок який ми так уважно спостерігаємо сьогодні.
To be continued….
Олександр Царук, експер з управління Інтренетом
