IT-спільнота досі обговорює ситуацію, що сталась із підписанням петиції про звільнення голови Офісу президента Олега Татарова нібито президентом США Джо Байденом з використанням викраденого ключа електронного підпису, згенерованого «ПриватБанком». Порушеннями дорікають і банку, і Держспецзв’язку.
IT-спільнота досі обговорює ситуацію, що сталась із підписанням петиції про звільнення голови Офісу президента Олега Татарова нібито президентом США Джо Байденом з використанням викраденого ключа електронного підпису, згенерованого «ПриватБанком». Порушеннями дорікають і банку, і Держспецзв’язку.
Відомство вже заявляло, що такі дії є цілеспрямованою хакерською атакою найвищого рівня складності, яка могла бути здійсненою тільки череp компрометацію особистого ключа, дороговартісну спрямовану хакерську атаку з кількамісячною підготовкою, або ж використанням людського фактору осіб, які мають доступ до генерування ключів.
Спеціалісти Держспецзв’язку досліджували систему видачі ключів АТ КБ «Приватбанк» на відповідність вимогам безпеки. Така сама профілактична комплексна перевірка чекає на всі КНЕДП.
dev.ua звернувся до чиновників, аби ті прокоментували закиди айтішників, що, зокрема, обговорюються у чаті Гільдії ІТ- фахівців стосовно того, що комісія надала неправдиву інформацію щодо «ПриватБанку», який нібито не випускав сертифікат на фейкову людину (Джо Байдена), а просто «якийсь користувач» недостатньо захищено зберігав ключ.
Також Держспецзв’язку закидають, що орган «намагається вигородити халатність „ПриватБанку“, який, по суті, може вчинити такі дії щодо будь-якої людини. А мали б забрати у нього акредитацію і „відізвати“ всі ключі, що випустив Приват».
У «ПриватБанку» на запит dev.ua нагадали, що позапланова перевірка АЦСК ПриватБанку засвідчила: він повністю відповідає всім правилам і стандартам безпеки за всіма параметрами. «Заяви про те, що вашим електронним підписом можуть орудувати шахраї, — або невігластво, або конкурентна боротьба», — повідомив прессекретар фінустанови Олег Серга.
Олександр Потій, заступник голови Держспецзв’язку, повідомив dev.ua, що аби стверджувати, як все відбувалось, потрібен ретельний технічний аналіз, у тому числі і з точки зору криптографії та ідентифікації.
«Наші технічні фахівці вивчили цей кейс, щоб розібратися, як це відбувалося, як це може відбуватися і через що. Частина причин нам вже відома, і ми озвучили їх в офіційній позиції, але це ще не все. Питання вивчається, приймаються технічні та організаційні заходи, які допоможуть уникнути подібних ситуацій у майбутньому», — каже Потій.
Зокрема, за його словами, мова йде про усунення вразливостей в програмних і апаратних комплексах, які могли мати місце, та поліпшення процесу ідентифікації та використання сертифікатів особистого ключа.
Він зауважив, що всі перевірки в електронному просторі відбуваються так само, як і в фізичному. «У будь-яких системах, які знаходяться в процесі експлуатації, інколи відбуваються інциденти. Їх вивчає спеціальна комісія, за її висновками вносяться зміни в регламенти в будь-які документи, що стосуються системи, посібники для користувачів, адміністраторів, регламенти роботи центрів, нормативно-правову базу», — пояснює Потій.
За його словами, після вивчення цього кейсу будуть зроблені висновки, на основі яких будуть надані рекомендації і виробникам, які розробляють і постачають такого роду системи, і тим, хто їх експлуатує, надає послуги, рекомендації користувачам (це вже зроблено).
«У даному випадку проводиться позапланова перевірка тих, хто надає послугу, з особливою увагою на виконанні (або невиконанні) вимог, які призвели до конкретного кейсу. Якщо у цих операторів є передумови до такого роду порушень, їм буде дано вказівку усунути і привести у відповідність процеси і систему, щоб таке більше не повторилося», — каже Потій.
«Щоб попередити подібні ситуації, ми будемо повторно вимагати від тих, хто надає послуги з видачі КЕП, виконувати вимоги нормативних документів, які і так вже існують», — зазначив Потій.
Крім того, в службі на підставі вивчення цього кейса й інших кейсів планують розробляти нові і вдосконалювати існуючі технічні та організаційні рішення, які закриють ці уразливості і унеможливлять їх повторення.
«Зокрема, Держспецзв’язку буде ще раз твердо наполягати, що для надання послуг кваліфікованого електронного підпису ті, хто надають послугу, зобов’язані використовувати виключно надійні носії, які виключають можливість незаконного доступу до ключів і їх використання», — зазначив заступник голови Держспецзв’язку.
А от з’ясуванням, хто і в якій мірі винен в цій ситуації, займається слідство. Адже Держспецзв’язку не має правових підстав проводити слідчі дії.
— використовувати захищені носії особистих ключів. Вони забезпечують одноосібний контроль над особистим ключем, неможливість його перегляду, копіювання та використання зловмисниками в шахрайських цілях.
— не залишати носії особистих ключів без нагляду у своїх робочих комп’ютерах чи ноутбуках, це вбереже вас від несанкціонованого використання підпису від вашого імені іншими особами.
— встановити на захищеному носії надійний пароль для доступу до особистого ключа, зберігати цей пароль у секреті, а не записаним у легкодоступних місцях на кшталт наліпки на моніторі.
— щоб уникнути несанкціонованого використання особистого ключа електронного підпису для прихованого підписання електронних документів без вашого відома, використовувати лише ліцензійне програмне забезпечення та оцінені у встановленому порядку програмні та апаратні засоби електронного підпису.
