«Катастрофа державної кібербезпеки». Шабунін розповів, як можна обдурити е-ідентифікацію
Шабунін гадає, що в Україні можна отримати справжній електронний підпис за підробленими документами
Державна система авторизації (ID.gov.ua) сприймає тестові електронні ключі за справжні. І це ставить під питання всю систему державної кібербезпеки. Про це повідомив керівник Центру протидії корупції Віталій Шабунін.
Шабунін розповів, що людина під ніком Joe Biden підписала петицію про звільнення Татарова. За його словами, є лише чотири варіанти, як той підпис міг з’явитися на сайті президента:
- 1. Підпис зроблено реальним громадянином на ім’я Joe Biden, зі справжніми документами. Відкидаємо цей варіант як фантастичний.
- 2. Зімітовано сам факт підпису на сервері петицій Joe Biden. Грубо кажучи, хтось тупо написав слова «Joe Biden» в табличку підписантів.
- 3. Хтось на основі підроблених документів отримав справжній електронний підпис (чи bank-id) на ім’я Joe Biden.
- 4. Хтось підписав петицію тестовим (не справжнім) електронним ключем Joe Biden, а ключова державна система авторизації (сервера ID.gov.ua) це пропустила.
Шабунін пояснив, якщо варіант №2 просто неприємний, то №3 і №4 – катастрофічний як для всієї державної системи надання онлайн послуг, так і для кібербезпеки країни загалом.
«Варіант №3 засвідчує, що в Україні можна отримати справжній електронний підпис за підробленими документами. Наприклад, підпис ваш, яким «ви» потім, наприклад, подаруєте комусь свою квартиру чи бізнес. Варіант №4 засвідчує, що ключова державна система верифікації вважає тестові е-ключі – підписами реальних громадян. Тисячі таких ключів генеруються впродовж години», – розповів Шабунін.
Зазначимо, кваліфікований електронний підпис – удосконалений електронний підпис, який створюється з використанням засобу кваліфікованого електронного підпису і базується на кваліфікованому сертифікаті відкритого ключа
Електронний цифровий підпис використовується в електронному документообігу, в електронній звітності для контролюючих органів, при отримання державних послуг (відомості з державних реєстрів, подання заявок, звернень тощо), при проведення електронних торгів, при взаємодії з судом (електронне судочинство) та ін.