«Атака найвищого рівня складності»: у Держспецзв'язку пояснили, як «Байден» міг підписати петицію про відставку Татарова

Про це повідомили на сайті Держспецзв'язку.

Зокрема, за оцінками експертів установи, здійснити таку атаку можна лише за виконання щонайменше трьох умов:

• компрометація особистого ключа (незаконне заволодіння та використання);
• дороговартісна спрямована хакерська атака з кількамісячною підготовкою;
• використання людського фактору тих, хто має доступ до генерування ключів.

Однак у Держспецзв’язку наполягають, що національна система електронних довірчих послуг спрацювала надійно.

«Попри використані хакерами ресурси, скомпрометованим електронним підписом неможливо було підписати будь-які документи. Отже, жодної загрози для громадян ㅡ переоформлення документів, переведення коштів, підписання декларацій тощо ㅡ ця атака не мала. Завдяки злагодженим діям експертів можливість подальших подібних дій зведено до нуля», ㅡ кажуть там.

У Держспецзв’язку повідомили, що вже почали перевіряти систему довірчих послуг. Наразі там також досліджують систему видачі е-ключів «ПриватБанку», оскільки встановили, що голосування «Байдена» було здійснено з використанням викраденого ключа згенерованого його системою.

Пізніше така сама перевірка чекає на КНЕДП. У разі потреби розроблять план, як удосконалити ці системи, та обіцяють надати публічний звіт громадськості.

Сам інцидент у Держспецзв’язку назвали спробою злочинців «підірвати довіру до процесів цифровізації, дій державної влади та до держави в цілому» і «кіберзлочином, який загрожує національній безпеці». Його розслідують спільно зі Службою безпеки України.

Що передувало?

Користувач з іменем Biden Joe зміг підписати електронну петицію на сайті президента України про звільнення заступника керівника його офісу Олега Татарова.

Для того, щоб підписати її, користувач повинен спершу авторизувався на сайті, зокрема за допомогою інтегрованої системи електронної ідентифікації id.gov.ua.

На сайті порталу вказано, що ця платформа допомагає «зручно та безпечно пройти електронну ідентифікацію за допомогою е-підписів», має атестат відповідності комплексної системи захисту інформації, «тому персональні дані користувачів надійно захищені».

Автор петиції про звільнення Татарова та очільник «Центру протидії корупції» Віталій Шабунін назвав підпис «Джо Байдена» «у найкращому випадку» можливою фальсифікацією, яку зробили в ОП.

«У гіршому — державна система авторизації (ID.gov.ua) сприймає тестові електронні ключі за справжні. І це ставить під питання всю систему державної кібербезпеки», — каже Шабунін.

Як себе убезпечити?

Щоб унеможливити крадіжку вашого особистого електронного підпису у Держспецзв’язку радять дотримуватись таких правил: Для зберігання та використання особистих ключів кваліфікованого електронного підпису необхідно використовувати захищені носії особистих ключів.

• Не залишайте носії особистих ключів без нагляду у своїх робочих комп’ютерах чи ноутбуках тощо.
• Встановіть на захищеному носії надійний пароль (не менше восьми символів, включаючи цифри, великі та малі літери латинської абетки та спецсимволи) для доступу до особистого ключа, зберігайте цей пароль у секреті, а не записаним у легкодоступних місцях на кшталт наліпки на моніторі.
• Щоб уникнути несанкціонованого використання вашого особистого ключа електронного підпису для прихованого підписання електронних документів без вашого відома, використовуйте лише ліцензійне програмне забезпечення та оцінені у встановленому порядку програмні та апаратні засоби електронного підпису.