Комментарии изданию Delo.ua

[totaltelecom]

В Украине с 2015 года регулярно фиксируются многочисленные случаи компрометации так называемых электронных доверительных услуг, включая цифровые подписи и всевозможные государственные реестры. В частности, в Украине де-факто не работает основополагающий принцип профильной европейской директивы eIDAS: квалифицированная цифровая подпись украинца не тождественна его собственноручной.

 

Дело доходит до того, что украинские нотариусы и регистраторы используют свои легитимные цифровые подписи для противоправных действий, а в случае разоблачения без проблем доказывают в суде, что эти действия совершали не они, а некие хакеры, установившие контроль над их компьютерами. Таких дел уже сотни, если не тысячи, при этом замешанные в подобных историях нотариусы и регистраторы не то, что не получают хотя бы условные сроки, но даже не теряют лицензии.

Приходится говорить о том, что в Украине нефункциональна вся национальная система доверительных услуг, любой факт цифровой идентификации или фиксации правоотношений может быть успешно оспорен в суде.

Один из основных изъянов архитектуры "е-документов" заключается в том, что подключение к сервису осуществляется в том числе с помощью BankID Приватбанка. Стоит напомнить, что BankID как средство электронной идентификации имеет всего лишь средний уровень доверия. Это означает, что процедуры его использования не гарантируют невозможность подмены идентифицируемого лица.

На сегодняшний день из-за дефектов политики ПриватБанка, существует много, то ли десятки, то ли сотни тысяч, никто не знает, “спящих” учётных BankID этого финучреждения. Речь идёт об учётных записях, пользователи которых сначала прекратили пользоваться услугами банка, а затем сменили номера мобильной связи, ассоциированные с этими BankID. В результате этими номера пользуются другие люди, которые даже не подозревают о таком “довеске”.

Данная ситуация обусловлена тем, что в свое время банк агрессивно навязывал свои карты даже тем, кто не собирался ними пользоваться. Когда карту оформляли, человек оставлял в банке свой номер мобильной связи, поскольку в качестве главного идентификатора там используют именно номер телефона. В ходе регистрации этот номер автоматически связывался с BankID.

ПриватБанк не проверял и не проверяет статус зарегистрированных у него т.н. финансовых номеров, связанных с BankID — персонифицированы ли они, кто ими пользуется и пользуется ли вообще. Как результат в прошлом году зафиксировано появление практики целенаправленного поиска преступниками “бесхозных” финансовых номеров и завладения ими с целью активации «спящих» учётных записей BankID. Попросту говоря, возникла схема кражи идентичности, идентификации под видом другого человека.

К сожалению, завладеть номером достаточно просто — злоумышленники несколько раз звонят на него или пополняют на мелкие суммы денег, потом в отделении связи заявляют, что потеряли сим-карту, называют последние действия (звонки и пополнения) и получают новую карточку с этим же номером. Ещё проще завладеть бесхозным номером, если он поступил в дилерскую сеть для повторной продаже в составе стартового пакета. Напомню, что количество номеров не бесконечно, имеет место своего рода круговорот номерного ресурса.

В ПриватБанке для получения доступа к BankID достаточно владеть SIM-картой с финансовым номером. Пользователь инициирует восстановление пароля и получает его в СМС на свой номер. Это грубейшее нарушение всех принципов безопасности в угоду упрощения процедур взаимодействия, увеличения т.н. конверсии. В итоге, получив доступ к номеру мошенник обзаводится заодно и «спящим” BankID ничего не подозревающего об этом лица.

Если раньше таким образом можно было получить в МФО до десятка кредитов, теперь появилась возможность получить также доступ к е-документам в «Діє” и под видом какого-нибудь несчастного безнаказанно совершать юридически значимые юридические действия. Стоит признать, что хотя BankID прекрасный инструмент, он не подходит для использования в наиболее значимых случаях, его регламенты необходимо усилить.

Обсуждая вопросы внедрения электронных паспортов, необходимо осознавать, что государственная система цифровой идентификации граждан не сводится к одному только мобильному приложению, это публичный сервис, состоящий из множества элементов. «Дія” - только одно из звеньев, она может быть сколь угодно хороша и неуязвим а сама по себе, но ее взаимодействие с другими элементами имеет дефекты, которыми уже сейчас известны преступникам. Попросту говоря, система цифровой идентификации не продумана на всех этапах, а за ее безопасность в целом никто не отвечает.

В Минцифры утверждают, что их портал не хранит данных, а просто пользуется данными из реестра, которым управляет Государственная миграционная служба. На вопрос о том, кто же отвечает за сохранность и подлинность этих данных, там пожимают плечами и отсылают в ГМС. А там в свою очередь игнорируют этот момент. То есть недостаточно разработать хорошее приложение, необходимо продумать всю систему, проверить насколько безопасны все ее составляющие и есть ли слабые места.