"Джо Байден" та Татаров: один підпис показав, що кібербезпека України під загрозою

Як ідентифікують громадян

Підписати петицію на сайті президента можна лише після авторизації через електронний підпис або через Bank-ID. Іншими словами, держава переконується, що петицію підписує реальний громадянин.

До теми Петицію про Татарова підписав "Джо Байден": ОП просить пояснення у Держспецзв'язку

Переконується держава в цьому у той самий спосіб, в який робить це при наданні будь-яких адміністративних послуг. Наприклад, коли ви купуєте, продаєте або даруєте нерухомість, створюєте чи продаєте компанію.

В майбутньому на цій системі перевірки буде збудовано онлайн голосування. Спрощено система має такий вигляд.

• Ви приходите до кваліфікованого надавача електронних довірчих послуг, який перевіряє по паперових документах, що ви – це реально ви.
• Після цього вами видають електронний ключ. Зараз, наприклад, це можна зробити через той самий онлайн-банкінг "Приватбанку", без фізичної присутності у відділенні. Річ у тім, що банк вже знає, що ви – це саме ви, бо ідентифікував вас при відкритті рахунку.

Припустимо, ви вже маєте електронний ключ і хочете отримати адміністративну послугу, наприклад через Дію чи будь-який інший сервіс.

Перше, що ви маєте зробити – верифікуватися там. Відбувається це через державну систему авторизації. Ця система перевіряє дві основні речі:

• чи такий електронний підпис справді існує;
• чи він справжній, а не, скажімо, тестовий.

Якщо хоча б по одному пункту – мінус, то вас просто не впустить далі. Принаймні мало б не пускати.

Історія з Joe Biden та Татаровим

Тепер до самої історії. Пам'ятаєте, як ми у Центрі Протидії Корупції збирали підписи під петицією про відставку заступника Андрія Єрмака – Олега Татарова? Ту петицію підписала людина на ім'я Joe Biden. Англійською.

Олег Татаров / Фото credence

Знаєте, що це означає? Що, наприклад, хтось з Офісу Президента фальсифікував цей підпис під петицією на своєму сайті. І це найкращий з можливих варіантів.

За гірших варіантів – державна система авторизації пропускає несправжні електронні ключі або справжній електронний ключ було видано на ліву людину. І це ставить під сумнів як захищеність електронного підпису, так і легітимність електронної демократії як такої. Заодно – і всю систему державної кібербезпеки.

Є 4 варіанти, як підпис міг з'явитися на сайті ОП

• Варіант №1. Підпис зроблено реальним Joe Biden, зі справжніми документами. Відкидаємо його як фантастичний.
• Варіант №2. Зімітовано сам факт підпису на сервері петицій. Грубо кажучи, хтось тупо вписав слова "Joe Biden" в табличку підписантів на сайті президента.
• Варіант №3. Хтось отримав справжній електронний підпис на підроблені документи Джо Байдена.
• Варіант №4. Петицію підписали не справжнім електронним ключем, а ключова державна система авторизації це пропустила.

І якщо варіант з дописуванням Joe Biden прямо на сайті є неприємним, то 2 останні – просто катастрофічні для всієї державної системи надання онлайн послуг. Бо один засвідчує, що в Україні видають справжній електронний підпис на очевидно підроблені документами. Наприклад, підпис ваш, яким "ви" потім, наприклад, подаруєте комусь свою квартиру чи бізнес.

Варто прочитати Планують на підвищення, – Юрчишин сказав, які посади може обійняти Татаров

Діра в ІТ-інфраструктурі

Інший варіант засвідчує, що ключова державна система верифікації вважає несправжні електронні ключі – підписами реальних громадян. Для розуміння, тисячі таких ключів генеруються впродовж години.

Держава в смартфоні? Онлайн-голосування на виборах чи, не приведи Боже, референдумах? Ну-ну, ФСБешні хакери в щасливому очікуванні.

Я наголошу, що зараз це вже не про фальсифікацію підпису під петицією, а про діру в ключовому елементі державної ІТ-інфраструктури. Це проблема зовсім іншого масштабу і наслідків.

Позиція влади

Після того, як ми виявили цю проблему, експерти з кібербезпеки цілий день намагалися отримати хоча б якийсь коментар від влади. Проте, і Офіс Президента, і Мінцифри як води в рот набрали.

Коли скандал вийшов з нашого експертного кола в сайти провідних ЗМІ країни, влада була змушена реагувати. Офіс Президента прокоментував, що звернувся до Державної служби спецзв'язку, а остання обіцяла дати вичерпну відповідь найближчим часом.

Цікаво Диджиталізація держави: українці відкриватимуть банківські рахунки за допомогою Дії

На момент написання цього блоку від інциденту пройшло 5 днів. П'ять! В світі ІТ – це купа часу. Нагадаю, що несправжні електронні підписи можна генерувати тисячами.

Друзі з влади, замовчувати проблему – найгірша стратегія і для вас, і для країни. Розв'язуймо краще цю проблему разом швидко. В Україні достатньо крутих експертів з кібербезпеки.

Обов’язково інформуватиму вас про розвиток цієї історії.