STATE TREASURY SHUTDOWN АБО #CYBERGEDDON-UA V2.0: WHO IS MR.ROBOT?

Події останній днів, що відбувались навколо інформаційних систем Мінфіну та Держказначейства, ще раз прославили Україну черговим гучним кіберінцидентом який із впевненістю ввійде в підручники із кібербезпеки та презентації всіх полісімейкерів в галузі безпеки.

У березні 2016 року мав нагоду вивчати основи інтернет дипломатії у Annenberg School for Communication and Journalism Університету південної Каліфорнії де найбільш читаємий у Вашингтоні політолог, авто теорії «м’якої влади», та професор Гарвардського університету Джозеф Най (Joseph Nye) у своїй презентації повідав важливість формування культури кібербезпеки на прикладі BlackEnergy Shondown case, або випадку взлому системи управління подачі електроенергії у Прикарпаття обленерго. Вже немає нічого дивного в тому, що увагу до випадків проникнення до інформаційних систем притділяють не тільки експерти із ІТ, але і особи, що долучені до формування стратегії розвитку держави, системи державного управління та колективної безпеки. В тім того, навіть у останній роботі з міжнародних відносин Генрі Кісінджера World Order, у розділ, що присвячений розвитку технологій та їх впливу на світовий порядок поряд із аналізом сучасних проблем із ядерним озброєнням наводиться порівняльний аналіз впливу кібер технологій на світовий порядок. Тобто, сучасні супердержави питання кібезброї та кібебезпеки вже приділяють уваги на рівні із поширенню та використанню ядерної зброї.

Так, що ж трапилось в Мінфіні та Держказначействі і які уроки для світової спільноти дасть цей інцидент. З інформації доступної із відкритих джерел, форумів та обговорень у соцмережах події відбувались у такій послідовності.

Вранці 6 грудня, деякі працівники Держказначейства помітили дивну роботу своїх комп’ютерів, деякі засисали, переставали відповідати на пристрої введення та перезагружатись. Після чого інформація на диску С комп’ютера, із операційною системою та робочими документами виявлявся знищено. Це пов’язують із зараженням комітетів мережі Держказначейства вірусом який задіював зловмисний алгоритм KillDisk, мало того антивірусне забезпечення ESET v5 встановлене в казначействі виявилось неефективним. Поряд з цим, зловмисники отримали доступ до адміністративної панелі управління доменним ім’ям веб сайту казначейства і змінивши налаштування DNS перенаправили всіх користувачів на сайт www.whoismrrobot.com який присвячений відомому серіалу про хакера-«Робіг Гуда» який рятує світ від змови інтернет корпорації.

Оцінивши критичність ситуації цілком логічно, що адміністратори систем держказначейства та мінфіну прийняли рішення відключити системи від інтернету та дали команду всім працівникам негайно вимкнути всю комп’ютерну техніку. Саме про це писали працівники ДКУ на форумах, що комп’ютери вимкнені і персонал відпущених додому. За не прямими ознаками можна також стверджувати, що була зупинена система обслуговування бюджету та платежів АС «Казна», оскільки, інформаційна система ДФС не дозволяла реєструвати податкові накладні через відсутність інформації про зарахування коштів на спецрахунки держказначейства. Таким чином, буда зупинена робота всіх бюджетів, зупинені платежі, що є кібергеддоном системи державних фінансів, який тривав 2 доби. За інформацією, яка надійшла 9 грудня, роботу веб-сайтів відновлено, почали проходити платежі, хоча не правда, робота не всіх місцевих бюджетів та територіальних відділень ДКУ відновлено.

Отже, можна стверджувати, що зловмисники отримали доступу до значної кількості комп’ютерів у мережі держказначейства, їм вдалось перехопити паролі доступу до управління веб сайтом, а також запустити програми по самознищенню інформації на персональних комп’ютерах працівників служби. Цілком ймовірно, що такі дії не могли відбутись швидко, і як з випадком  Прикарпаттяобенерго, зловмисники готувались заздалегідь. Крім того, до їх рук могла потрапити інформація з обмеженим доступом, що вимагає ретельної перевірки системи, та виявлення переліку скомпрометованих даних.

Представники уряду у офіційних заявах, а також значна кількість експертів долучених до податкової реформи воліли пов’язати те, що відбулось із спробою голови ДФС зберегти сервери податкової під своїм контролем дискредитуючи Мінфін тим, що він навіть веб сайту не може дати ладу, бо саме в цей момент парламент мав розглядати законопроект присвячений податковій реформі. Але, такі заяви, цілком ймовірно є далекими від істини. 8 грудня уряд виділив також із резервного фонду 80 млн.грн. для модернізації інформаційних систем Мінфіну та ДКУ, звісно пізно, але можливо це дозволить їм впровадити сучасні хмарні технології, що унеможливлять повторення ситуації.

Уваги потребує інформація ФСБ РФ, яка 2 грудня на своєму сайті розмістила повідомлення про те, що іноземними спецслужбами готується кібератака на фінансову інфраструктуру РФ починаючи з 5 грудня. Пізніше, 9 грудня Ростелеком відзвітував про успішно відбиту DDoS атаку яка мала місце 5 грудня. Це сталось за день до інциденту в Україні, чи пов’язані ці інциденти і хто ж наслідив у держказначейству має показати детальний звіт який сподіваємось скоро буде оприлюднено, що є вкрай необхідним через ризик повторення ситуації в інших державних органах.

http://blog.liga.net/user/atsaruk/article/25219.aspx

ФІСКАЛЬНИЙ МОНІТОРИНГ НА #BLOCKCHAIN ЧИ КАСОВІ АПАРАТИ, ЩО КРАЩЕ?

Основним завданням впровадження фіскальних функцій реєстрації розрахункових операцій завжди була боротьба з неврахованими обсягами готівкових коштів та ухиленням від сплати податків, захист державних інтересів та знищення корупційної складової процесу.

Перший механічний касовий апарат був винайдений Джеймсом Рітті у 1879 році, який був власником салону в м. Дейтоні, США, та хотів зупинити шахрайство своїх співробітників. Модель було винайдено після того як він побачив пристрій який реєстрував оберти гребного гвинта пароплава, а його перший патент було зареєстровано у 1883 році.

За майже півтора століття, розвиток інформаційних технологій та  фінансової системи звісно внесли значні корективи у методи контролю за торговими операціями як зі сторони власників бізнесу та і держави. Сьогодні навіть на законодавчому рівні робляться спроби апробації нових методів касового і фіскального контролю за торговими операціями, не осторонь таких процесів стоїть і Україна.

Поряд з цим, застосування сучасних технологій дозволить підвищити рівень прозорості бізнесу, сприятиме наповненню дохідної частини державного бюджету та виконання Україною умов Меморандуму із МВФ (Ukraine: Technical Memorandum of Understanding), який передбачає запровадження більш ефективних механізмів адміністрування податків, детінізації економіки та підвищення контролю за готівковим обігом.

Проте, надмірна лібералізація фіскального контролю за роздрібною торгівлею разом із застосуванням незрілих технологічних рішень може створити умови для зниження контролю за готівковим обліком та ухилення від сплати податків у великих розмірах, що суперечить інтересам і держави і власників прозорого бізнесу.

Сьогодні як ніколи актуальним є пошук Соломонового рішення ­­­– балансу інтересів держави та приватного сектору ­– певної форми суспільного договору, яка дозволить ефективно розвиватись бізнесу, а це, у свою чергу призведе до збільшення податкових надходжень та рівня життя населення.

Потребує переосмислення парадигма сучасного бачення контролю з боку держави та власників бізнесу за касовими операціями у формі фіскального моніторингу – як способу лібералізації податкового контролю за касовими операціями суб’єктів малого підприємництва порівняно із застосування класичних РРО, але вже через призму застосування інноваційних рішень як Блокчейн (BlockChain) та розподілений реєстр (DistributedLedger), що реалізовані на міцних криптоалгоримах, забезпечують неможливість видалення та модифікації даних про здійснені транзакції.

Використання новітніх інформаційних технологій, алгоритмів апробованих у системах криптовалют та хмарні рішення для забезпечення фіскалізації розрахунково-касових операцій сприятиме захисту державних інтересів, забезпечення прозорості контролю сплати податків, та не потребує використання технологій кінця 19го століття.

Запитання на яке потрібно відповісти представникам бізнесу, фіскальних органів та законотворцям заклечається у наступному – чи  може  програмне рішення, реалізоване у вигляді онлайн сервісу, стати альтернативою існуючих реєстраторів розрахункових операцій, але при цьому:

·     не потребує придбання та підключення спеціального обладнання, витрат з боку бізнесу та держави на впровадження РРО;

·     дозволяє віддалено реєструвати розрахунково-касові операції у режимі реального часу на базі наявного у бізнесу обладнання;

·     забезпечує достовірність та надійність передачі розрахункових даних до Державної Фіскальної служби;

·     захищає інтереси держави та забезпечує прозорість доходів середнього бізнесу.

Альтернативне вирішення описаної проблеми запропоновано командою стартапу «QUARK CLOUD», який розробляє сервіс типу MBaaS – мобільний додаток через який користувач вводить та передає дані про проведені транзакції до серверного сховища/хмари. Специфікою зазначеного рішення є також принцип захисту інформації від зміни, як користувачем так і адміністратором сервісу, що унеможливлює його підробку чи модифікацію.

Чи може проект «QUARK CLOUD», який побудований на основі елементів технології Blockchain, стати альтернативою у порівнянні із стандартними рішеннями контролю за готівковим обігом поряд із класичними реєстраторами розрахункових операцій (РРО)?

Звісно, застосування технології криптовалют, може допомогти подолати тіньовий обіг готівки суб’єктами малого підприємництва там де застосування традиційних РРО є економічно невиправданим. Але, для підприємців, які погодяться на повну фіскальну прозорість, слід розробити систему адміністративного стимулювання, як відсутність перевірок, збільшення обороту по єдиному податку та ін.

Поряд з цим, практична реалізація елементів системи фіскального моніторингу СМП вже сьогодні може бути реалізовано Державною фіскальною службою шляхом доопрацювання функціоналу Електронного кабінету  платника податків, шляхом:

1)      Розробки сервіс перевірки внесення інформації про фіскальні чеки класичних РРО до бази даних ДФС, із формою повідомлення про їх відсутність, що вказує на факти застосування фіктивних РРО та ухиляння від податків;

2)      Створення нового сервісу – Книги обліку доходів і витрат у електронній формі із застосуванням ЕЦП платника єдиного податку та відповідного АРІ для інтеграції сервісу із обліковим програмним забезпеченням платників податків, що не зобов’язані застосовувати класичні РРО.

Зважаючи на те, що описані ініціативи спрямовані на досягнення соціально значущих цілей – боротьба із тіньовим обігом готівки, але поряд з цим, використання сучасних технологій шифрування та захисту інформації має забезпечити належний захист персональних даних та конфіденційної інформації про здійснені торгові операції суб’єктів малого бізнесу, можливість впровадження таких технологічних рішень потребує зустрічних кроків зі стони держави та змін до нормативного регулювання.

Проте, для всіх фіскально транспарентних платників податків, особливо для суб’єктів малого підприємництва, мають бути створені рівнозначні та прозорі умови реалізації фіскальних функцій, або застосування більш м’яких добровільних форм фіскального моніторингу, зі сторони податкових органів держави. Крім того, власники бізнесу мають отримати більш ефективні способи контролю за готівковими операціями, оскільки саме власник підприємства у першу чергу зацікавлений у повноті обліку торгової виручки найманими працівниками.

http://blog.liga.net/user/atsaruk/article/25144.aspx