Колос на цифрових ногах. Як підробляють електронні підписи і як це загрожує діджиталізації

хакер, злом, ноутбук
Фото: Mikhail Nilov from Pexels | Як чоловік з ім'ям Joe Biden пройшов ідентифікацію, щоб отримати ЕЦП?

Українка Людмила Ж. несподівано отримала на карту кредит, який нібито був оформлений на неї через додаток "Дія". Члену НАПКА Руслану Рябошапці довелося опротестовувати фальшивий електронний підпис, а разом з ним — податкову декларацію, що не відповідає дійсності. А під петицією президенту за відставку заступника голови ОП раптом опинився електронний підпис ... Джо Байдена.

Для пересічного українця політичний складник у кейсах "Джо Байдена" і Рябошапки, мабуть, не так уже й важливий. Серйозну тривогу викликає ось що: якщо електронні підписи підробляються (а де два рази, там і двадцять два) — наскільки ми захищені, коли використовуємо цифрові програми? І наскільки реальним є ризик втратити таким чином майно чи бізнес, зіпсувати кредитну історію?

Мінцифри і Держкомзвʼязку запевняють, що все під контролем. Експерти з кібербезпеки набагато більш скептичні. Фокус вислухав і тих, і інших.

Як "Джо Байден" підписав петицію за відставку Олега Татарова

У грудні 2020 року НАБУ вручило заступнику голови офісу президента Олегу Татарову підозру в "наданні допомоги" при розкраданні 81 млн грн, які були виділені на будівництво житла нацгвардійцям. Але вже в кінці грудня Офіс генпрокурора розпорядився передати справу з НАБУ в СБУ. Бюро звинуватило Офіс генпрокурора у втручанні в розслідування — правда, це ні до чого не привело і розслідування завважали завершеним.

У березні 2021 року Віталій Шабунін, голова правління громадської організації "Центр протидії корупції", розмістив на сайті президента петицію за звільнення Татарова — її підписала 25 891 людина. Президент Зеленський петицію розглянув (правда, відмовився підписувати, не знайшовши "законних підстав"). Але в очах спостерігачів документ усе одно виявився скомпрометованим. Оскільки серед 25 тисяч підписантів зʼявився хтось на імʼя Biden Joe. І система його електронний підпис перевірила і прийняла.

Експерти впевнені, що є великий ризик генерування підроблених ЕЦП з метою організації шахрайських схем

Про те, як цифровізація перемагає паперову тяганину, прийнято писати в переможних тонах: але якщо можливо підробити електронний цифровий підпис (ЕЦП) на сайті президента, не виключено, що є й інші слабкі місця? Так підпис вигаданого "Джо Байдена" під петицією за відставку Татарова може якщо не обнулити, то поставити під сумнів електронні вибори і роботу електронних держсервісів у цілому.

Хто такий "Джо Байден" і звідки в нього електронний цифровий підпис?

Щоб підписати петицію на сайті президента, необхідно авторизуватися на сайті id.gov.ua (перехід на цей ресурс здійснюється автоматично). Далі майбутньому підписанту пропонують увійти за допомогою електронного цифрового підпису (ЕЦП) або Bank ID НБУ. У першому випадку вам потрібно буде "перетягнути" файл ключа, а в другому — ввести назву вашого банку, потім — номер телефону, після чого вам зателефонують і запропонують пройти ідентифікацію. В обох випадках система запросить ваші ідентифікаційні дані, до яких відносяться:

  • прізвище, імʼя та по батькові;
  • паспортні дані;
  • дата народження;
  • ІПН (для фізичної особи — індивідуального підприємця).

А ось тепер виникає питання: як чоловік з імʼям Joe Biden пройшов ідентифікацію, щоб отримати ЕЦП (як згодом зʼясувалося, через службу "Приват24")?

Джо Байден, петиція, електронний підпис, ЕЦП
Той самий підпис "Байдена Джо"

Що таке електронний цифровий підпис і коли його застосовують?

Раніше на найбільш різних бланках, формах, договорах, заявах ви ставили підпис від руки: ручкою із синім чорнилом. ЕЦП — це те ж саме, але в цифровому вигляді (зазначимо, що цей підпис прирівнюється до цього підпису громадянина на документах, або до друку, якщо мова йде про юридичну особу). Це файл, що дає можливість поставити підпис на цифровому документі в режимі онлайн.

ЕЦП захищений паролями, так званими "ключами", які, разом з підписом, формуються і видаються в спеціальних акредитованих центрах сертифікації ключів (АЦСК). Щоб стати володарем ЕЦП, необхідно особисто зʼявитися в АЦСК, предʼявити співробітнику паспорт та ідентифікаційний код. Після перевірки документів він згенерує для вас підпис з паролями до нього.

Підписувати документи електронним цифровим підписом у подальшому ви зможете через сайти ca.diia.gov.ua і acskidd.gov.ua або через сервіс "Приват24", якщо ЕЦП ви оформляли через "ПриватБанк". Зазначимо, що якщо ви є клієнтом "ПриватБанку", то оформити підпис за допомогою "Приват24" можна онлайн. Тобто приходити особисто в АЦСК не потрібно, тому що в банку вже є дані вашого паспорта та ІПН. Для кращого розуміння, як оформляти підпис і як ним користуватися, пропонуємо ознайомитися з відеоінструкцією.

Як оформити ЕЦП через Приват24
Як підписувати е-документи через сервіс ДПС

Отже, звідки ж зʼявився підпис "Джо Байдена"?

Версія Держспецзвʼязку: вкрали, хакнули, обдурили

Поки "кейс Джо Байдена" широко обговорювався в соціальних мережах, де висловлювалися вкрай різні припущення, Державна служба спеціального звʼязку та захисту інформації України (Держспецзвʼязку) "провела масштабну операцію, спрямовану на повну перевірку системи електронних довірчих послуг", з тим щоб дослідити систему видачі ключів АТ КБ "Приватбанк" на відповідність вимогам безпеки.

Відповідно до офіційного релізу Держспецзвʼязку, "Байден" міг отримати ключі в одному з трьох випадків:

  1. компрометація особистого ключа (незаконне заволодіння і використання),
  2. дорога спрямована хакерська атака, підготовка до якої тривала кілька місяців,
  3. використання "людського фактора" — тобто осіб, які мають доступ до генерування ключів.
Важливо
"Зламають, вкрадуть, переоформлять на себе". За що критикують українські цифрові паспорти

У коментарі Фокусу, наданому пресслужбою Держспецзвʼязку, зазначається, що "технічні фахівці вивчили цей кейс, щоб розібратися, як це відбувалося, як це може відбуватися і з якої причини. Частина причин уже відома і була озвучена в офіційній позиції (мається на увазі офіційний реліз, який цитувався вище — ред.), але частина — ще ні. Питання вивчається, вживаються технічні та організаційні заходи, які допоможуть уникнути подібних ситуацій у майбутньому".

Як розʼяснили нам чиновники, під технічними заходами варто розуміти "усунення вразливостей у програмних і апаратних комплексах, які могли мати місце", а під організаційними — "покращення процесу ідентифікації та сертифікації особистого ключа".

Далі в офіційній заяві держслужба схиляється лише до однієї версії — хакерської атаки: "Незважаючи на використані хакерами ресурси, скомпрометованим електронним підписом неможливо було підписати будь-які документи". Також Держспецзвʼязку підкреслює, що "ніякої загрози для громадян — переоформлення документів, переказ коштів, підписання декларацій тощо — ця атака не несла".

Фахівці, які працюють у сфері кібербезпеки, з цим не погоджуються.

Думка експертів з кібербезпеки: ЕЦП підробили

Експерт з кібербезпеки Андрій Баранович пояснив Фокусу, чому, на його погляд, версії, висунуті Держспецзвʼязку, не витримують критики.

Розглянемо першу: ключ був вкрадений. Проблема тут, однак не в тому, ким був вкрадений електронний ключ, а в тому, ким і кому він був виданий. Виходить, що президент США Джо Байден є клієнтом "ПриватБанку", і через сервіс "Приват24" він отримав ЕЦП і паролі до нього, а потім у нього ці файли вкрали? Це нонсенс, каже Андрій Баранович.

Якби кіберзлочинці зламали найбільший банк країни, вони могли б вкрасти сотні мільйонів доларів, а не красти ключі ЕЦП, щоб підписати якусь петицію

Хакерська атака, на думку Андрія Барановича, теж малоймовірна. Держспецзвʼязку стверджує, що хакери зламали АЦСК "ПриватБанку". Але якби кіберзлочинці хакнули найбільший банк країни, вони могли б вкрасти сотні мільйонів доларів, а не красти ключі ЕЦП, щоб підписати якусь петицію.

Третій варіант найбільш правдоподібний: співробітники АЦСК, користуючись своїм службовим становищем, згенерували фейковий ЕЦП.

"Не дуже віриться в те, що це було зроблено заради забави. За такі жарти звільняють і віддають під суд", — говорить Баранович.

Якщо і справді це було зроблено для демонстрації того, що петиції вірити не можна, то люди, які скоїли цей посадовий злочин, не передбачили наслідків. У Держспецзвʼязку зазначили, що пошуком винних займається слідство — але поки нікого знайти не вдалося.

ЕЦП, електронний цифровий підпис, підробка підпису
Підробка одного ЕЦП компрометує національну інфраструктуру ключів
Фото: unsplash.com

Проблема ще й у тому, що відповідно до закону "Про електронні довірчі послуги", ЕЦП повинен зберігатися на матеріальному носії, яким володіє користувач. Наприклад, це може бути флеш-накопичувач. Але якщо ви користуєтеся е-підписом через сервіс Bank-ID, ви не використовуєте матеріальний носій, а використовуєте телефон, який просто передає інформацію.

"У Казахстані цю проблему вирішили таким способом — ЕЦП розмістили на SIM-картах, що відповідає міжнародному законодавству", — коментує Михайло Чайкін, керівник напрямку СУІБ АТ "Укрексімбанк". "У нас ця проблема не вирішена, тому АЦСК банків постійно генерують нібито проходження стандартизації ЕЦП".

За словами Чайкіна, єдиний проект ЕЦП, що відповідає міжнародним стандартам безпеки, — це Mobile ID, оскільки в ролі носія там використовується SIM-карта. "Але цей проект "загнувся", незважаючи на великі інвестиції провайдерів. Замість нього зʼявився сервіс "Дія.Підпис", який незрозуміло яким стандартам відповідає", — нарікає експерт.

Чайкін, як і Баранович, теж впевнений у тому, що є великий ризик генерування підроблених ЕЦП, наприклад з метою організації шахрайських схем. Вирішити проблему може уніфікація системи ЕЦП відповідно до міжнародних стандартів, а також вжиття жорстких заходів уповноваженими держслужбами в ролі реакції на подібні інциденти. Інакше ситуація буде повторюватися.

Які ризики для держави і громадян несуть електронні цифрові підписи?

Усі цифрові сервіси завʼязані на публічну інфраструктуру ключів. В Україні працюють близько 20 АЦСК, які видають електронні цифрові підписи і ключі до них, щоб фізичні та юридичні особи могли без проблем оформляти офіційні документи в електронному вигляді і не плодити стоси паперів. Тому так важливо, щоб ЕЦП були скомпрометовані, інакше поставити фейковий підпис можна буде на будь-якому документі.

Усі розуміють, що якщо можна підробити два ЕЦП, то згодом зможуть підробити і 10, і 100, причому на будь-які імена

Однак, в Україні це вже другий подібний випадок. У 2016 році на імʼя члена НАПКА Руслана Рябошапки був виданий підроблений ЕЦП, де було вказано код ДРФО 1234567892. Чиновник заявив, що ці дані не відповідають дійсності, а це значить, що підписана податкова декларація теж може вважатися фейком. Навіщо це було зроблено пʼять років тому — незрозуміло. Можливо, щоб скомпрометувати систему е-декларування в цілому, яку тоді активно вводили.

Як і хто створив фейки, як і раніше, невідомо. Зате тепер усі розуміють, що якщо можна підробити два ЕЦП, то згодом зможуть підробити і 10, і 100, причому на будь-які імена. Процес можна повторити і навіть автоматизувати.

За допомогою фейкових підписів зловмисники зможуть фальсифікувати найрізноманітніші документи, у тому числі і фінансові, враховуючи, що на них засновані всі сервіси — податкова звітність, додаток "Дія", документи на відкриття-закриття рахунків і підприємств.

А якщо в нас у країні будуть проходити загальні електронні вибори, що завадить тим же людям згенерувати 100 тис. підроблених ЕЦП на різні імена, проголосувати за певного кандидата і забезпечити йому перемогу? І ніхто навіть не зможе зрозуміти, що це афера.

Чиновники спокійні: ризик підробити ЕЦП є, але він мінімальний

У Держспецзвʼязку вважають, що ризик підробки "мільйони підписів", безумовно, є, але він "дуже низький і перебуває на прийнятному рівні". Фокус запевнили, що "якщо буде будуватися система електронного голосування, при її проектуванні і розробці ці ризики будуть вивчатися, досліджуватися, прораховуватимуться. Система буде будуватися таким чином, щоб ризики були мінімізовані до прийнятного рівня".

Також ми попросили розʼяснити, які заходи вживаються сьогодні для того, щоб подібних інцидентів більше не сталося. За словами чиновників, вони вже проводять позапланову перевірку оператора послуг з тим, щоб виявити: виконувалася/не виконувалася робота відповідно до нормативних вимог, що призвело до конкретної НП.

"Якщо в оператора є передумови до такого роду порушень, йому буде дана вказівка усунути і привести у відповідність процеси і систему, щоб цього більше не повторилося", — говорять у Держспецзвʼязку.

Чи скомпрометований додаток "Дія"?

Експерт з кібербезпеки Костянтин Корсун у написаній для Фокуса колонці розповів про ще один цікавий кейс — на імʼя громадянки України Людмили Ж. через додаток "Дія" взяли кредит, оформлення якого неможливе без застосування ЕЦП. Проблема в тому, що пані Людмила не брала кредит, не ставила електронний підпис і навіть не має ID-карти — у неї досі звичайний паперовий паспорт, а тому додатком "Дія" вона не користується. Людмила спочатку не могла вирішити це питання, звертаючись і до служби "Дії", і в Нацбанк, і в кіберполіцію.

"Проблема полягає в тому, що діджиталізатори відмовляються брати на себе відповідальність за безпеку всього технічного ланцюжка: реєстри — шифрування — сервери — канали передачі даних — АЦСК — банки — РКІ — код програми "Дія" — середовище функціонування програми. Відповідальність за безпеку держреєстрів вони перекладають на власників/розпорядників цих реєстрів, за Bank-ID — на банки, за криптографію, ключі та сертифікати — на АЦСК, за безпеку серверів — на хмарного провайдера. І всім цим організаціям вони чомусь "довіряють", безапеляційно розраховуючи на принциповість, чесність і висококваліфікованість кожного працівника цих ланок", — пише Костянтин.

За коментарем Фокус звернувся ще і в Міністерство цифрової трансформації України: ми попросили пояснити, яким чином спрацювали шахраї, чи ризикують користувачі програми опинитися на місці Людмили Ж, і як допомогти самій Людмилі.

За словами чиновників, відповідальність повинен нести банк, що видав кредит: "Робота програми "Дія" повністю базується на законодавчо закріплених процедурах і спроектована таким чином, що цифровий паспорт громадянина не може бути використаний без його волі. Якщо ж працівник будь-якого банку або іншої фінансової установи вирішить, наприклад, надати кредит з грубим порушенням чинного законодавства, то ні "Дія", ні будь-який інший інструмент (у тому числі якщо хтось захоче використовувати паперові копії документів) не завадять йому це зробити. Але за такі дії передбачена жорстка відповідальність" .

У Мінцифри вважають, що в Людмили Ж. "вкрали телефонний номер, отримали доступ до її банківського акаунту, підтвердивши вхід з особистої пошти. Далі за допомогою скомпрометованого доступу до BankID відбулася авторизація в мобільному додатку "Дія".

Однак, представники міністерства запевняють, що подібний злом "не міг би завершитися отриманням кредиту за допомогою цифрового паспорта, якби фінансова установа грубо не порушила правила, встановлені НБУ. У правилах цієї фінустанови зазначено підтвердження особи людини за допомогою фото, чого, очевидно, не було зроблено".

Також у міністерстві наполягають на тому, що після цього інциденту було вжито необхідних заходів для організації безпеки, — "відразу після цього випадку, ще у квітні, Мінцифра відʼєднало всі кредитні установи від програми "Дія" та звернулося до НБУ з проханням здійснити позапланову перевірку фінустанов і надати підтвердження порушень". А також уточнюють, що Департамент кіберполіції ініціював відкриття кримінального провадження за ст. 190 КК (шахрайство).

"Фінансова установа "Тенго" припинила дзвінки до заявниці та закрила кредитне зобовʼязання. Також вивантажуються дані про створення заявки на кредит з метою ідентифікації причетних осіб, — повідомили Фокусу в Мінцифри і зазначили, що "шахраї не заволоділи коштами потерпілої, адже вказаний кредит надійшов на її банківську картку".

"Питання кіберзахисту є комплексним. Мінцифри зі свого боку докладає максимум зусиль, але тут також важлива сумлінність і відповідальність банків, фінансових установ. Вони повинні розуміти, яку відповідальність несуть і які наслідки від нехтування правилами можуть бути для клієнтів", — резюмували в міністерстві — і пообіцяли незабаром анонсувати проведення нового етапу баг-баунті (пошуку уразливості) в липні.

А поки громадянам залишається тільки вимагати від влади знайти і покарати винних, котрі скомпрометували національну інфраструктуру ключів.

"Це питання відповідальності. Технічними методами цю проблему вирішити не можна", — резюмує Андрій Баранович.