вівторок, 15 серпня 2017 р.

Ukraine as a testing lab, for #cyber #warfare and new possibilities which gives us such status

My analysis of latest #cybersecurity reports about Ukraine for Nordic ITSecurity


– Our internal cooperation in the Ukraine needs to become more efficient, says Ukrainian cyber security expert Dr Oleksandr Tsaruk.

Oleksandr is a member of Nordic IT Security’s advisory board, he is also chief advisor to the Committee on ICT, Ukrainian Parliament.

– The Ukraine has very limited funds for changing the IT security infrastructure. We have to cooperate with NATO, the US and the European Union, he explains.

But Oleksandr does not want to over-emphasise the possibility, of large scale cooperation with the US, that a country like Israel for example has.

– The United States do not provide the Ukraine, with a lot of equipment at the moment. We should have as much bilateral cooperation as possible, with the European Union and NATO countries. But if we could receive a lot of technology and expertise from the United States in the future, it could be very helpful.

One thing that the Ukraine is doing at the moment, is working with the information, that it’s population has access to.

– We can not stop fake news online. But we can explain to people, that “this is not true”. And in the Ukraine, we currently have interesting initiatives. Like the “Stop fake news” initiative.

Oleksandr summarises:

– There needs to be government, public and private cooperation. It is happening now. But not so efficiently.

Oleksandr attended the Ukrainian “Global Cybersecurity Summit 2017”, held in June. We asked him to provide a report, for Nordic IT Security’s readers. And here it is:

“Recently, WIRED published an excellent article on longread, about the Ukraine as a testing lab, for cyber warfare. Giving light, on former and future threats, on almost every aspect of Ukraine’s public and private sectors.

This and other articles, describe the Ukraine, as a cyber playground for the Kremlin digital tools. Which – after testing – will later threaten, deter, or even attack the United States.

Definitely, some lessons have been learned already. For in the US, in one of the first public statements on priorities as president, Donald Trump promised to develop a “comprehensive plan to protect America’s vital infrastructure, from cyber attacks.”

Just a few day before, Kiev, the capital of Ukraine – had hosted a first worldwide event on cyber policy, the “Global Cybersecurity Summit 2017”.

It was mostly focused on discussing cyber threats and policies, but was also followed by an IT exhibition.

The Global Cybersecurity Summit was organised by Globee US-UA, which is a non-governmental organisation. The summit attracted top speakers from western vendors such as Cloudflare, VISA, Oracle, IronNet, LastWall, HP, EY and Symantec.

But also former leadership from the US State Department, and some of Washington DC:s think tank consultants.

The organisers tried to sell the idea, that the Ukraine had recently been at the number one focal point, of cyber issues. The exclusivity of the event attracted an interest of the public, media, experts and high-level corporate executives. With in total, about a 700 strong participation.

For them, it was a chance to establish a business partnership, and get expert advice. It was also a good opportunity to advertise IT solutions of vendors, at the famous venue Parkovy event centre, in the basement of which is located a super modern “Tier III” data center.

This is the biggest data processing facility in the Ukraine, but at the same time, it is using only one tenth of its capacity. And rumours say, that it is for sale, as the principal investor’s closeness to the former president Yanukovych, has weakened it’s reputation…

A lot of experts underlined speeches of such policy movers like of Mr Antony Blinken, the former US Deputy Secretary of State, and the former US Deputy Security Advisor. Mr Matt Chessen, a former EAP Coordinator for International Cyber Policy, at the State Department. And also Mr Dmitry Shimkiv, the acting Deputy Chief of the President’s Administration in the Ukraine.

The former Deputy National Security Advisor, and the Deputy Secretary of State Antony “Tony” Blinken, argued that the threat posed by cyberattacks to “human infrastructure” (meaning what we think and believe) is as important, as the threat to critical physical infrastructure.

He suggested that the best defence against the threat to “human infrastructure”, is educated end users, with a strong critical thinking ability. He also recommended the following solutions, to current cyber threats: Demanding a collective response from academia, private sector and NGOs, PPP in defences, developing common cyber security standards, and imposing costs on entities that carry out cyber attacks.

Blinken stressed, that by setting spheres of influence, some countries are limiting the sovereignty of others. Moreover, these fences are being built in human minds.

Mr Shimkiv suggested that the Ukraine should go in a similar way as Israel, in developing bilateral cooperation with the US, in cyberspace issues. He also argued on the importance of education, because if there is no brain that connects, after the soft- and hardware, there is no way to be protected.

Probably the most sophisticated contribution from the speakers, came from Mr. Chessen. As speaker and panellist, he gave light on such phenomena as “Cognitive security”, “Weaponized narrative” and “Hybrid warfare”.

Probably, Cognitive security is a “terra incognita”, for many cyber experts. And a new field, that focuses on evolving frontiers. This suggests that, in the future – researchers, governments, social platforms, and private actors will be engaged in a continual arms race, to influence (and protect from influence) a large groups of users online.

The weaponized narrative phenomenon, is an attack that seeks to undermine an opponent’s civilization, identity, and will. By generating confusion, complexity, and political and social schisms, it confounds response on the part of the defender.

But: What are really the lessons learned?

Both former US department leaders, provided insights to some aspects of “How Russia hacks our democracy”. Russia is engaging in hybrid warfare with ‘the West’, broadly defined as the liberal democracies that make up NATO and its allies.

The Kremlin weaponizes money, culture and information – in an effort to shatter enemy communications, demoralize it’s enemies – and to disrupt enemy command structures.

пʼятниця, 19 травня 2017 р.

Хто виграє від заборони Mail.ru Group і кому дістануться 1,5 мільярда гривень ринку інтернет-реклами?



15 травня Президент України видав Указ №133/2017, який вводить в дію рішення РНБО від 28 квітня про застосування персональних спеціальних санкцій та інших обмежень відносно низки російських компаній і фізосіб. З-поміж інших, санкції торкнулися популярних інтернет-ресурсів.
Документ поширює чинність економічних санкцій на низку іноземних компаній-резидентів РФ, які надають послуги в мережі Інтернет або продають програмне забезпечення на території України. Мова про Яндекс, Мейл.Ру, ВКонтакте, Лабораторію Касперського, 1С та інших.
Щодо згаданих компаній на території України на три роки передбачено: блокування активів; обмеження торговельних операцій; обмеження виведення капіталу за кордон; обмеження надання телекомунікаційних послуг; обмеження участі в держзакупівлях; обмеження на передачу інтелектуальної власності; заборону Інтернет-провайдерам надавати доступ до цих сайтів
Кому вигідне рішення РНБО і що ця заборона означатиме для звичайних користувачів – у коментарі «Слову і Ділу» розповів кандидат економічних наук, експерт з управління інтернетом Олександр Царук.
Інтернет-блокада і кіберзахист
«Беручи до уваги те, що в Україні триває гібридна війна, питання інформаційної безпеки залишається актуальним. Але має бути правильне розуміння реальних загроз у мережі та ефективне використання інструментів боротьби з цими загрозами», - зазначив експерт.
На його погляд, слід шукати баланс між захистом від реальних загроз і свободою слова в Інтернеті.
«Враховуючи технічні особливості побудови телекомунікаційних мереж в Україні, а у нас зараз працює близько 6 тисяч тільки легальних операторів і провайдерів телекомунікацій, і те, що можливість блокування не була закладена в систему при проектуванні мереж, рішення Президента не може бути реалізоване миттєво», - пояснює фахівець.
Заблокувати ресурси концерну Mail.ru Group (Вконтакте, Однокласники і тд.) і Яндекс технічно не вийде. На це потрібні місяці або навіть роки серйозної роботи, придбання провайдерами нового обладнання і програмного забезпечення.
Можливості обійти блокування

«Якщо правоохоронні органи всерйоз візьмуться за роботу з провайдерами і операторами телекомунікацій – останні обмежать доступ до доменів та ір-адрес згаданих ресурсів. Однак користувачі зможуть легко обійти це обмеження, як це роблять співробітники компаній, в локальних мережах яких заблоковані деякі сайти. Скажімо, використовуючи сайти-анонімайзери, проксі-сервери, vpn-з'єднання або інструменти «дарк нет» (Tor)», - говорить Царук.
За його словами, у правоохоронних і податкових підрозділілах далеко не завжди розуміють, яким чином побудована бізнес-модель великих інтернет-ресурсів і як вони надають свої послуги на території України, не сплачуючи за це податки.
 «У багатьох європейських державах триває полеміка з цього приводу і робота з органами юстиції, оскільки виручка основних інтернет-гігантів (Гугл і Фейсбук) в країнах ЄС осідає у податковій гавані – Ірландії і часто виводиться в США через схеми оптимізації оподаткування (метод «Голландський сендвіч»)», - додав фахівець.
Чи втратить бюджет України від блокування ресурсів, які контролювали 50% інтернет-реклами?
«За інформацією Всеукраїнської рекламної коаліції, ринок інтернет-реклами в Україні 2015 року склав выд 2,3 до 2,8 млрд. грн. За оцінками експертів, левова частка цього ринку формується через прямі замовлення на сайті компаній, а не через українських резидентів - рекламні компанії, які сплачують податки на території України», - розповідає експерт.
При цьому, зазначив він, за даними дослідження компанії Qreachers (Digital Media Landscape Ukraine 2015), основним джерелом розміщення реклами був Mail.ru Group, що володіє Mail.ru, Vkontakte, Odnoklassniki, охоплення яких сягає 80% всіх інтернет-користувачів в Україні (22 млн. осіб).
Експерт уточнив, що, за оцінками InMind, 2013 року Mail.ru Group і AdRiver контролювали 60% ринку інтернет-реклами в Україні.
 «Левова частка ринку інтернет-реклами у нас контролюється іноземними компаніями, які за фактом здійснюють імпорт рекламних послуг на територію України. Mail.ru Group в 2016 році імпортувала до України тільки рекламних послуг на 1,6 млрд. грн. Більше того, ці послуги потрібно було належним чином розмитнити, сплативши податки відповідно до ст.141 (п.141.4.6-8) і ст.180 (п.180.2-3) Податкового кодексу України. Але не варто забувати про Гугл і Facebook, які імпортували послуг на 800 млн. грн., якщо вірити експертним оцінкам», - аналізує експерт.
Що отримує Україна після введення в дію Указу?
 «Державний бюджет, як і раніше, лише за податком на прибуток недоотримає близько 500 млн. грн. з імпорту рекламних послуг на територію України, і стільки ж із ПДВ. Але співвідношення ринку між Mail.ru Group, Google і Facebook має змінитися на користь західних компаній. Тільки от чи готові вони змінити фінансову модель своєї роботи в Україні?», - проаналізував ситуацію Олександр Царук.

https://www.slovoidilo.ua/2017/05/16/pogljad/suspilstvo/xto-vyhraye-zaborony-mail.ru-group-komu-distanutsya-15-milyarda-hryven-rynku-internet-reklamy

пʼятниця, 9 грудня 2016 р.

STATE TREASURY SHUTDOWN АБО #CYBERGEDDON-UA V2.0: WHO IS MR.ROBOT?

Події останній днів, що відбувались навколо інформаційних систем Мінфіну та Держказначейства, ще раз прославили Україну черговим гучним кіберінцидентом який із впевненістю ввійде в підручники із кібербезпеки та презентації всіх полісімейкерів в галузі безпеки.
У березні 2016 року мав нагоду вивчати основи інтернет дипломатії у Annenberg School for Communication and Journalism Університету південної Каліфорнії де найбільш читаємий у Вашингтоні політолог, авто теорії «м’якої влади», та професор Гарвардського університету Джозеф Най (Joseph Nye) у своїй презентації повідав важливість формування культури кібербезпеки на прикладі BlackEnergy Shondown case, або випадку взлому системи управління подачі електроенергії у Прикарпаття обленерго. Вже немає нічого дивного в тому, що увагу до випадків проникнення до інформаційних систем притділяють не тільки експерти із ІТ, але і особи, що долучені до формування стратегії розвитку держави, системи державного управління та колективної безпеки. В тім того, навіть у останній роботі з міжнародних відносин Генрі Кісінджера World Order, у розділ, що присвячений розвитку технологій та їх впливу на світовий порядок поряд із аналізом сучасних проблем із ядерним озброєнням наводиться порівняльний аналіз впливу кібер технологій на світовий порядок. Тобто, сучасні супердержави питання кібезброї та кібебезпеки вже приділяють уваги на рівні із поширенню та використанню ядерної зброї.
Так, що ж трапилось в Мінфіні та Держказначействі і які уроки для світової спільноти дасть цей інцидент. З інформації доступної із відкритих джерел, форумів та обговорень у соцмережах події відбувались у такій послідовності.
Вранці 6 грудня, деякі працівники Держказначейства помітили дивну роботу своїх комп’ютерів, деякі засисали, переставали відповідати на пристрої введення та перезагружатись. Після чого інформація на диску С комп’ютера, із операційною системою та робочими документами виявлявся знищено. Це пов’язують із зараженням комітетів мережі Держказначейства вірусом який задіював зловмисний алгоритм KillDisk, мало того антивірусне забезпечення ESET v5 встановлене в казначействі виявилось неефективним. Поряд з цим, зловмисники отримали доступ до адміністративної панелі управління доменним ім’ям веб сайту казначейства і змінивши налаштування DNS перенаправили всіх користувачів на сайт www.whoismrrobot.com який присвячений відомому серіалу про хакера-«Робіг Гуда» який рятує світ від змови інтернет корпорації.
maxresdefault.jpg
Оцінивши критичність ситуації цілком логічно, що адміністратори систем держказначейства та мінфіну прийняли рішення відключити системи від інтернету та дали команду всім працівникам негайно вимкнути всю комп’ютерну техніку. Саме про це писали працівники ДКУ на форумах, що комп’ютери вимкнені і персонал відпущених додому. За не прямими ознаками можна також стверджувати, що була зупинена система обслуговування бюджету та платежів АС «Казна», оскільки, інформаційна система ДФС не дозволяла реєструвати податкові накладні через відсутність інформації про зарахування коштів на спецрахунки держказначейства. Таким чином, буда зупинена робота всіх бюджетів, зупинені платежі, що є кібергеддоном системи державних фінансів, який тривав 2 доби. За інформацією, яка надійшла 9 грудня, роботу веб-сайтів відновлено, почали проходити платежі, хоча не правда, робота не всіх місцевих бюджетів та територіальних відділень ДКУ відновлено.
Отже, можна стверджувати, що зловмисники отримали доступу до значної кількості комп’ютерів у мережі держказначейства, їм вдалось перехопити паролі доступу до управління веб сайтом, а також запустити програми по самознищенню інформації на персональних комп’ютерах працівників служби. Цілком ймовірно, що такі дії не могли відбутись швидко, і як з випадком  Прикарпаттяобенерго, зловмисники готувались заздалегідь. Крім того, до їх рук могла потрапити інформація з обмеженим доступом, що вимагає ретельної перевірки системи, та виявлення переліку скомпрометованих даних.
Представники уряду у офіційних заявах, а також значна кількість експертів долучених до податкової реформи воліли пов’язати те, що відбулось із спробою голови ДФС зберегти сервери податкової під своїм контролем дискредитуючи Мінфін тим, що він навіть веб сайту не може дати ладу, бо саме в цей момент парламент мав розглядати законопроект присвячений податковій реформі. Але, такі заяви, цілком ймовірно є далекими від істини. 8 грудня уряд виділив також із резервного фонду 80 млн.грн. для модернізації інформаційних систем Мінфіну та ДКУ, звісно пізно, але можливо це дозволить їм впровадити сучасні хмарні технології, що унеможливлять повторення ситуації.
Уваги потребує інформація ФСБ РФ, яка 2 грудня на своєму сайті розмістила повідомлення про те, що іноземними спецслужбами готується кібератака на фінансову інфраструктуру РФ починаючи з 5 грудня. Пізніше, 9 грудня Ростелеком відзвітував про успішно відбиту DDoS атаку яка мала місце 5 грудня. Це сталось за день до інциденту в Україні, чи пов’язані ці інциденти і хто ж наслідив у держказначейству має показати детальний звіт який сподіваємось скоро буде оприлюднено, що є вкрай необхідним через ризик повторення ситуації в інших державних органах.

http://blog.liga.net/user/atsaruk/article/25219.aspx

неділя, 4 грудня 2016 р.

ФІСКАЛЬНИЙ МОНІТОРИНГ НА #BLOCKCHAIN ЧИ КАСОВІ АПАРАТИ, ЩО КРАЩЕ?

Основним завданням впровадження фіскальних функцій реєстрації розрахункових операцій завжди була боротьба з неврахованими обсягами готівкових коштів та ухиленням від сплати податків, захист державних інтересів та знищення корупційної складової процесу.
Перший механічний касовий апарат був винайдений Джеймсом Рітті у 1879 році, який був власником салону в м. Дейтоні, США, та хотів зупинити шахрайство своїх співробітників. Модель було винайдено після того як він побачив пристрій який реєстрував оберти гребного гвинта пароплава, а його перший патент було зареєстровано у 1883 році.
IMG_20161204_011009.JPG
За майже півтора століття, розвиток інформаційних технологій та  фінансової системи звісно внесли значні корективи у методи контролю за торговими операціями як зі сторони власників бізнесу та і держави. Сьогодні навіть на законодавчому рівні робляться спроби апробації нових методів касового і фіскального контролю за торговими операціями, не осторонь таких процесів стоїть і Україна.
Поряд з цим, застосування сучасних технологій дозволить підвищити рівень прозорості бізнесу, сприятиме наповненню дохідної частини державного бюджету та виконання Україною умов Меморандуму із МВФ (Ukraine: Technical Memorandum of Understanding), який передбачає запровадження більш ефективних механізмів адміністрування податків, детінізації економіки та підвищення контролю за готівковим обігом.
Проте, надмірна лібералізація фіскального контролю за роздрібною торгівлею разом із застосуванням незрілих технологічних рішень може створити умови для зниження контролю за готівковим обліком та ухилення від сплати податків у великих розмірах, що суперечить інтересам і держави і власників прозорого бізнесу.
Сьогодні як ніколи актуальним є пошук Соломонового рішення ­­­– балансу інтересів держави та приватного сектору ­– певної форми суспільного договору, яка дозволить ефективно розвиватись бізнесу, а це, у свою чергу призведе до збільшення податкових надходжень та рівня життя населення.
Потребує переосмислення парадигма сучасного бачення контролю з боку держави та власників бізнесу за касовими операціями у формі фіскального моніторингу – як способу лібералізації податкового контролю за касовими операціями суб’єктів малого підприємництва порівняно із застосування класичних РРО, але вже через призму застосування інноваційних рішень як Блокчейн (BlockChain) та розподілений реєстр (DistributedLedger), що реалізовані на міцних криптоалгоримах, забезпечують неможливість видалення та модифікації даних про здійснені транзакції.
Використання новітніх інформаційних технологій, алгоритмів апробованих у системах криптовалют та хмарні рішення для забезпечення фіскалізації розрахунково-касових операцій сприятиме захисту державних інтересів, забезпечення прозорості контролю сплати податків, та не потребує використання технологій кінця 19го століття.
Запитання на яке потрібно відповісти представникам бізнесу, фіскальних органів та законотворцям заклечається у наступному – чи  може  програмне рішення, реалізоване у вигляді онлайн сервісу, стати альтернативою існуючих реєстраторів розрахункових операцій, але при цьому:
·     не потребує придбання та підключення спеціального обладнання, витрат з боку бізнесу та держави на впровадження РРО;
·     дозволяє віддалено реєструвати розрахунково-касові операції у режимі реального часу на базі наявного у бізнесу обладнання;
·     забезпечує достовірність та надійність передачі розрахункових даних до Державної Фіскальної служби;
·     захищає інтереси держави та забезпечує прозорість доходів середнього бізнесу.
Альтернативне вирішення описаної проблеми запропоновано командою стартапу «QUARK CLOUD», який розробляє сервіс типу MBaaS – мобільний додаток через який користувач вводить та передає дані про проведені транзакції до серверного сховища/хмари. Специфікою зазначеного рішення є також принцип захисту інформації від зміни, як користувачем так і адміністратором сервісу, що унеможливлює його підробку чи модифікацію.
Quark_CLOUD_Eng2.9.pptx.jpg
Чи може проект «QUARK CLOUD», який побудований на основі елементів технології Blockchain, стати альтернативою у порівнянні із стандартними рішеннями контролю за готівковим обігом поряд із класичними реєстраторами розрахункових операцій (РРО)?
Звісно, застосування технології криптовалют, може допомогти подолати тіньовий обіг готівки суб’єктами малого підприємництва там де застосування традиційних РРО є економічно невиправданим. Але, для підприємців, які погодяться на повну фіскальну прозорість, слід розробити систему адміністративного стимулювання, як відсутність перевірок, збільшення обороту по єдиному податку та ін.
Поряд з цим, практична реалізація елементів системи фіскального моніторингу СМП вже сьогодні може бути реалізовано Державною фіскальною службою шляхом доопрацювання функціоналу Електронного кабінету  платника податків, шляхом:
1)      Розробки сервіс перевірки внесення інформації про фіскальні чеки класичних РРО до бази даних ДФС, із формою повідомлення про їх відсутність, що вказує на факти застосування фіктивних РРО та ухиляння від податків;
2)      Створення нового сервісу – Книги обліку доходів і витрат у електронній формі із застосуванням ЕЦП платника єдиного податку та відповідного АРІ для інтеграції сервісу із обліковим програмним забезпеченням платників податків, що не зобов’язані застосовувати класичні РРО.
Зважаючи на те, що описані ініціативи спрямовані на досягнення соціально значущих цілей – боротьба із тіньовим обігом готівки, але поряд з цим, використання сучасних технологій шифрування та захисту інформації має забезпечити належний захист персональних даних та конфіденційної інформації про здійснені торгові операції суб’єктів малого бізнесу, можливість впровадження таких технологічних рішень потребує зустрічних кроків зі стони держави та змін до нормативного регулювання.
Проте, для всіх фіскально транспарентних платників податків, особливо для суб’єктів малого підприємництва, мають бути створені рівнозначні та прозорі умови реалізації фіскальних функцій, або застосування більш м’яких добровільних форм фіскального моніторингу, зі сторони податкових органів держави. Крім того, власники бізнесу мають отримати більш ефективні способи контролю за готівковими операціями, оскільки саме власник підприємства у першу чергу зацікавлений у повноті обліку торгової виручки найманими працівниками.

http://blog.liga.net/user/atsaruk/article/25144.aspx

середа, 19 жовтня 2016 р.

Вільна каса. Олександр Царук - про легалізацію e-commerce

Експерт з управління інтернетом Олександр Царук — про кроки з легалізації електронної комерції в Україні
4 жовтня 2016 року у першому читанні Верховна Рада прийняла законопроект №4117 «Про внесення змін до деяких законодавчих актів України щодо лібералізації готівкових розрахунків», або, як його ще назвали експерти, законопроект «про онлайн РРО».
Питанням вивчення законодавчого застосування реєстраторів розрахункових операцій (РРО), або, простіше кажучи, касових апаратів, я займаюся вже кілька років — раніше як консультант проекту Фіскальна хмара, а зараз як лідер стартапу QUARK.
Філософія, що була закладена у розробку законопроекту №4117, кореспондує з підходами Фіскальної хмари. Ключовою ідеєю є такий принцип РРО як програмне забезпечення, яке розподілене між системою хмарних обчислень, розміщеній в дата-центрі, та персональними пристроями — комп’ютером, смартфоном, планшетом тощо.
Після майже піврічних консультації з фахівцями галузі кібербезпеки, захисту персональних даних та прав споживачів, сертифікації і підтвердження відповідності стало зрозуміло, що реалізувати фіскальні функції лише на рівні програмного забезпечення не є можливим, насамперед через вимоги до системи безпеки та захисту інформації.
Після ґрунтовного визначення тексту законопроекту можна погодитися з доцільністю запровадження розподілених реєстраторів розрахункових операцій (РККО) на основі нової технології поєднання клієнтських терміналів і центральних серверних сховищ за допомогою телекомунікаційних систем та спеціального програмного забезпечення, яка у правильній моделі реалізації може дійсно призвести до можливості введення нових моделей РРО для ширшого кола суб'єктів, причому, можливе досягнення зниження вартості для кінцевого споживача.
Вищезазначене дійсно було б можливим, якби законопроект не містив системних недоліків, без виправлення яких у режимі другого читання можуть бути створені умови для послаблення фіскального контролю за готівковим обліком та ухиленням від сплати податків.
Це, у свою чергу, ставитиме під загрозу наповнення дохідної частини державного бюджету та виконання Україною умов Меморандуму, погодженого з МВФ у вересні 2016 року, який вимагає від уряду України та передбачає запровадження ефективніших механізмів адміністрування податків, детінізації економіки та підвищення контролю за готівковим обігом.
Реалізувати фіскальні функції лише на рівні програмного забезпечення не є можливим, насамперед через вимоги до системи безпеки та захисту інформації
За результатами аналізу, виключно за умови врахування таких ключових моментів буде можливим легальне використання технології, запропонованої в законопроекті №4117.
По-перше, приведення його у відповідність до чинного законодавства у сфері електронного документообігу та захисту інформації.
Для цього законопроект потрібно очистити від фіктивних понять, що підміняють критичні елементи системи інформаційної безпеки. Йдеться передусім про поняття «цифрового підпису» та «електронного повідомлення». У законопроекті потрібно визначити, що покупцеві видається електронний документ з електронним цифровим підписом(ЕЦП), оскільки надсилання електронного повідомлення без належного захисту інформації і криптографічного захисту зв’язку між елементами системи з незрозумілим «цифровим підписом» унеможливлює реалізацію у розподіленому РРО комплексу системи захисту інформації (КСЗІ) з підтвердженою відповідністю.
Якщо змінити описані вище норми, покупець отримає електронний документ (який може бути доставлений йому е-mail, SMS чи надрукований на принтері), тобто дістане юридично доказову силу, що дає змогу його пред’явити у вирішенні процесуальних питань у суді, органах захисту прав споживачів, а також при оформленні валових та ПДВ в бухгалтерському обліку.
Застосування КЗСІ дозволить унеможливити видалення, викривлення чи модифікацію інформації про здійснені операції, а отже, не дасть змоги застосовувати «тіньові» схеми ухилення від податків.
По-друге, приведення у відповідність норм законопроекту до законодавства у сфері захисту персональних даних.
Закон про захист персональних даних визначає, що покупець, а в нашому випадку — власник таких персональних даних, як номер телефону, адреса електронної пошти тощо, може доручити обробку власних персональних даних іншій особі, розпоряднику персональних даних — оператору РККС, виключно в рамках окремого договору, укладеного в письмовій формі, що передбачено у ст. 4 Закону.
Вирішити проблему захисту персональних даних клієнта я пропоную шляхом використання криптографічного захисту зазначеної інформації, або, інакше кажучи, шляхом шифрування за умови, що ці дані будуть недоступними для зчитування адміністраторами системи та оброблятимуться на терміналі.
У такому разі покупцеві не потрібно укладати договір у письмовому вигляді, оскільки електронний документ з ЕЦП є формою договору, укладеного в електронній формі.
По-третє, вдосконалення практики опломбування складових систем РККС як одного з елементів технічного контролю. Для цього необхідно вилучити норми, які знімають необхідність опломбування РККС, насамперед має бути обмежений доступ до фіскального блоку сервера - «чорного ящика», в якому зберігаються всі дані про проведені транзакції, які не можуть бути видаленими чи модифікованими адміністраторами РККС.
Крім вирішення базових проблем законопроекту, його авторам варто було б зосередитися також на галузі його застосування. Цілком зрозуміло, що система мережевого РРО була б цікавою передовсім там, де є покупці та бізнес, які технологічно зрілі до таких інновацій, а також там, де процеси торгівлі проходять переважно в електронному режимі.
Тобто, потенційним замовником таких систем є електронна комерція — там і сервери працюють у режимі реального часу, і платежі проходять у режимі онлайн, а покупці будуть цілком задоволені можливістю отримання розрахункового документа в електронній формі.
Система мережевого РРО була б цікавою передовсім там, де є покупці та бізнес, які технологічно зрілі до таких інновацій, а також там, де процеси торгівлі проходять переважно в електронному режимі
Але торгові мережі, роздрібна торгівля нафтопродуктами, де чеки друкуватимуться у більшості випадків, економити на РРО не будуть, оскільки для них є важливими насамперед швидкість і відмовостійкість.
Для прикладу: на АЗС, де середня вартість чеку в пікові години досягає 500 грн., а за хвилину проходить від 2−4 транзакції, у разі втрати зв’язку з фіскальним сервером всього на годину означатиме втрату виручки обсягом від 50 тис. до 100 тис. гривень.
Відповідно мережі, які функціонують у середовищі ненадійного телекомунікаційного зв’язку, свій вибір зупинять на традиційних типах РРО.
Крім того, слід відзначити, що вартість якісного принтеру становить від $ 150 до $ 200, відповідно економія у розмірі $ 50−100, за наявності додаткових ризиків, просто нікого не зацікавить.
Система РККС має працювати в режимі реального часу, оскільки фіскалізація в ній реалізована на рівні сервера, і саме його процесор і фіскальний блок мають через мережі захищеного зв’язку давати команди на відпуск товару і друк чи створення в електронному виді розрахункового документа.
За інших умов ця система не створюватиме юридично значимий документ або даватиме можливість модифікації даних.
Окремо у законопроекті варто визначити, що РККС — це сукупність програмних та апаратних компонентів, а не лише програмного забезпечення. Фіскальну функцію та фіскальну пам’ять реалізовує сертифікована інформаційно-телекомунікаційна система, розробником оператором і клієнтом якої мають бути три юридично розподілені особи і в жодному разі не державні органи.
Якщо ж РККС буде в руках ДФС, податківців матимуть усі можливості видаляти інформацію про транзакції підприємств, які більш лояльні або з інших корисних мотивів, на боротьбу з якими зараз державою кинуті всі сили.
https://realist.online/article/vilna-kasa-oleksandr-caruk-pro-legalizaciyu-e-commerce