Як ідентифікують громадян
Підписати петицію на сайті президента можна лише після авторизації через електронний підпис або через Bank-ID. Іншими словами, держава переконується, що петицію підписує реальний громадянин.
До теми Петицію про Татарова підписав "Джо Байден": ОП просить пояснення у Держспецзв'язку
Переконується держава в цьому у той самий спосіб, в який робить це при наданні будь-яких адміністративних послуг. Наприклад, коли ви купуєте, продаєте або даруєте нерухомість, створюєте чи продаєте компанію.
В майбутньому на цій системі перевірки буде збудовано онлайн голосування. Спрощено система має такий вигляд.
- Ви приходите до кваліфікованого надавача електронних довірчих послуг, який перевіряє по паперових документах, що ви – це реально ви.
- Після цього вами видають електронний ключ. Зараз, наприклад, це можна зробити через той самий онлайн-банкінг "Приватбанку", без фізичної присутності у відділенні. Річ у тім, що банк вже знає, що ви – це саме ви, бо ідентифікував вас при відкритті рахунку.
Припустимо, ви вже маєте електронний ключ і хочете отримати адміністративну послугу, наприклад через Дію чи будь-який інший сервіс.
Перше, що ви маєте зробити – верифікуватися там. Відбувається це через державну систему авторизації. Ця система перевіряє дві основні речі:
- чи такий електронний підпис справді існує;
- чи він справжній, а не, скажімо, тестовий.
Якщо хоча б по одному пункту – мінус, то вас просто не впустить далі. Принаймні мало б не пускати.
Історія з Joe Biden та Татаровим
Тепер до самої історії. Пам'ятаєте, як ми у Центрі Протидії Корупції збирали підписи під петицією про відставку заступника Андрія Єрмака – Олега Татарова? Ту петицію підписала людина на ім'я Joe Biden. Англійською.
Олег Татаров / Фото credence
Знаєте, що це означає? Що, наприклад, хтось з Офісу Президента фальсифікував цей підпис під петицією на своєму сайті. І це найкращий з можливих варіантів.
За гірших варіантів – державна система авторизації пропускає несправжні електронні ключі або справжній електронний ключ було видано на ліву людину. І це ставить під сумнів як захищеність електронного підпису, так і легітимність електронної демократії як такої. Заодно – і всю систему державної кібербезпеки.
Є 4 варіанти, як підпис міг з'явитися на сайті ОП
- Варіант №1. Підпис зроблено реальним Joe Biden, зі справжніми документами. Відкидаємо його як фантастичний.
- Варіант №2. Зімітовано сам факт підпису на сервері петицій. Грубо кажучи, хтось тупо вписав слова "Joe Biden" в табличку підписантів на сайті президента.
- Варіант №3. Хтось отримав справжній електронний підпис на підроблені документи Джо Байдена.
- Варіант №4. Петицію підписали не справжнім електронним ключем, а ключова державна система авторизації це пропустила.
І якщо варіант з дописуванням Joe Biden прямо на сайті є неприємним, то 2 останні – просто катастрофічні для всієї державної системи надання онлайн послуг. Бо один засвідчує, що в Україні видають справжній електронний підпис на очевидно підроблені документами. Наприклад, підпис ваш, яким "ви" потім, наприклад, подаруєте комусь свою квартиру чи бізнес.
Варто прочитати Планують на підвищення, – Юрчишин сказав, які посади може обійняти Татаров
Діра в ІТ-інфраструктурі
Інший варіант засвідчує, що ключова державна система верифікації вважає несправжні електронні ключі – підписами реальних громадян. Для розуміння, тисячі таких ключів генеруються впродовж години.
Держава в смартфоні? Онлайн-голосування на виборах чи, не приведи Боже, референдумах? Ну-ну, ФСБешні хакери в щасливому очікуванні.
Я наголошу, що зараз це вже не про фальсифікацію підпису під петицією, а про діру в ключовому елементі державної ІТ-інфраструктури. Це проблема зовсім іншого масштабу і наслідків.
Позиція влади
Після того, як ми виявили цю проблему, експерти з кібербезпеки цілий день намагалися отримати хоча б якийсь коментар від влади. Проте, і Офіс Президента, і Мінцифри як води в рот набрали.
Коли скандал вийшов з нашого експертного кола в сайти провідних ЗМІ країни, влада була змушена реагувати. Офіс Президента прокоментував, що звернувся до Державної служби спецзв'язку, а остання обіцяла дати вичерпну відповідь найближчим часом.
Цікаво Диджиталізація держави: українці відкриватимуть банківські рахунки за допомогою Дії
На момент написання цього блоку від інциденту пройшло 5 днів. П'ять! В світі ІТ – це купа часу. Нагадаю, що несправжні електронні підписи можна генерувати тисячами.
Друзі з влади, замовчувати проблему – найгірша стратегія і для вас, і для країни. Розв'язуймо краще цю проблему разом швидко. В Україні достатньо крутих експертів з кібербезпеки.
Обов’язково інформуватиму вас про розвиток цієї історії.