IT-сообщество до сих пор обсуждает ситуацию, которая произошла с подписанием петиции об отставке главы Офиса президента Олега Татарова якобы президентом США Джо Байденом с использованием похищенного ключа электронной подписи, сгенерированной «ПриватБанком». В нарушениях упрекают и банк, и Госспецсвязи.
IT-сообщество до сих пор обсуждает ситуацию, которая произошла с подписанием петиции об отставке главы Офиса президента Олега Татарова якобы президентом США Джо Байденом с использованием похищенного ключа электронной подписи, сгенерированной «ПриватБанком». В нарушениях упрекают и банк, и Госспецсвязи.
Ведомство уже заявляло, что такие действия являются целенаправленной хакерской атакой высокого уровня сложности, которая могла быть осуществлена только через компрометации личного ключа, дорогостоящую направленную хакерскую атаку с длительной подготовкой, или использованием человеческого фактора лиц, имеющих доступ к генерированию ключей.
Специалисты Госспецсвязи исследовали систему выдачи ключей АО КБ «ПриватБанк» на соответствие требованиям безопасности. Такая же профилактическая комплексная проверка ждет все КНЕДП.
dev.ua обратился к чиновникам, чтобы те прокомментировали версии айтишников, которые, в частности, обсуждаются в чате Гильдии ІТ- специалистов — о том, что комиссия надала ложную информацию относительно «ПриватБанка», который якобы не выпускал сертификат на фейкового человека (Джо Байдена), а просто «какой-то пользователь» недостаточно защищенно хранил ключ.
Также в адрес Госспецсвязи говорят, что орган «пытается выгородить халатность «ПриватБанка», который по сути может совершить такие действия в отношении любого человека. А должны забрать у него аккредитацию и отозвать «ключи, которые выпустил Приват».
В «ПриватБанке» на запрос dev.ua напомнили, что внеплановая проверка АЦСК ПриватБанка показала, что он в полной мере отвечает всем правилам и стандартам безопасности по всем параметрам. «Заявления о том, что вашей электронной подписью могут орудовать мошенники, — или невежество, или конкурентная борьба», — сообщил прессекретарь финучреждения Олег Серга.
Александр Потий, заместитель главы Госспецсвязи, сообщил dev.ua, что для утверждения, как все происходило, нужен тщательный технический анализ, в том числе и с точки зрения криптографии и идентификации.
«Наши технические специалисты изучили этот кейс, чтобы разобраться, как это происходило, как это может происходить и почему. Часть причин нам уже известна, и мы озвучили их в официальной позиции, но часть еще нет. Вопрос изучается, принимаются технические и организационные мероприятия, которые помогут избежать подобных ситуаций в будущем», — говорит Потий.
В частности, по его словам, речь идет об устранении уязвимостей в программных и аппаратных комплексах, которые могли быть, и улучшения процесса идентификации и использования сертификатов личного ключа.
Он отметил, что все проверки в электронном пространстве происходят так же, как и в физическом. «В любых системах, находящихся в процессе эксплуатации, иногда происходят инциденты. Их изучает специальная комиссия, на основе ее выводов вносятся изменения в регламенты в любые документы, касающиеся системы, пособия для пользователей, администраторов, регламенты работы центров, нормативно-правовую базу», — объясняет Потий.
По его словам, после изучения этого кейса будут сделаны выводы, на основе которых будут даны рекомендации и производителям, которые разрабатывают и поставляют такого рода системы, и тем, кто их эксплуатирует, предоставляет услуги.
«В данном случае проводится внеплановая проверка тех, кто предоставляет услугу, с особым вниманием на выполнении (или невыполнении) требований, которые привели к конкретному кейсу. Если у этих операторов есть предпосылки к такого рода нарушениям, им будет дано указание устранить и привести в соответствие процессы и систему, чтобы этого более не повторилось», — говорит Потий.
«Чтобы предупредить подобные ситуации, мы будем повторно требовать от тех, кто предоставляет услуги по выдаче КЭП, выполнять требования нормативных документов, которые и так уже существуют», — отметил Потий.
Кроме того, в службе на основании изучения этого и других кейсов планируют разрабатывать новые и совершенствовать существующие технические и организационные решения, которые закроют эти уязвимости и сделают невозможным их повторение.
«В частности, Госспецсвязи будет еще раз твердо настаивать, что для предоставления услуг квалифицированной электронной подписи те, кто предоставляют услугу, обязаны использовать исключительно надежные носители, которые исключают возможность незаконного доступа к ключам и их использованию», — отметил заместитель председателя Госспецзсвязи.
А вот выяснением, кто и в какой степени был виноват в этой ситуации, занимается следствие. Ведь Госспецсвязи не имеет правовых оснований проводить следственные действия.
— использовать защищенные носители личных ключей. Они обеспечивают единоличный контроль над личным ключом, невозможность просмотра, копирования и использования злоумышленниками в мошеннических целях.
— не оставлять носители личных ключей без присмотра в своих рабочих компьютерах или ноутбуках, это убережет вас от несанкционированного использования подписи от вашего имени другими лицами.
— установить на защищенном носителе надежный пароль для доступа к личному ключу, хранить этот пароль в секрете, а не записанным в легкодоступных местах вроде наклейки на мониторе.
— во избежание несанкционированного использования личного ключа электронной подписи для скрытого подписания электронных документов без вашего ведома, использовать только лицензионное программное обеспечение и оцененные в установленном порядке программные и аппаратные средства электронной подписи.
