21:59 Хакери зламали базу Е-декларацій. Розробник: це профанація | |||||||||
У державному реєстрі електронних декларацій, що зі скандалом і без атестації захисту інформації від Держспецзв'язку через неякісне Програмне забезпечення було запущено 15 серпня на сайті Нацагентства із запобігання корупції (НАЗК), вже зареєстрована фальшива декларація від імені члена НАЗК Руслана Рябошапки. Про це повідомили на прес-конференції в "Укрінформі" народні депутати Іван Вінник і Антон Геращенко. Так, із запуском НАЗК Е-декларування пов'язаний скандал через неякісно виконане ПЗ, що не забезпечувало надійний захист інформації. Тому Держспецзв'язку ухвалив рішення відмовити в сертифікації комплексу збору і обробки електронних декларацій. "Непросте рішення (про відмову) ухвалено, усвідомлюючи можливий суспільний резонанс на тлі штучних звинувачень на адресу Держспецзв'язку. Але це єдине правильне рішення", - заявили у ДССЗЗІ 12 серпня. Софт розробляла ТОВ "Міранда", яку в якості виконавців вибрала Програма розвитку ООН. Зазначимо, що в ПРООН стверджували із посиланням на "надійних експертів", що система повністю відповідає міжнародним стандартам і "вже зараз може бути використана для збору і публікації декларацій абсолютно законним чином. Це – завдання, яке зараз має виконати НАЗК". Керівник сектора демократичного управління ПРООН Юлія Щербініна заявила, що надане на атестацію ПЗ фактично двічі було прийнято партнерами організації. Зокрема, створена для відстеження виконання роботи компанією-розробником "Міранда" група контролю якості прийняла ПЗ ще 10 травня 2016 року. А 26 липня НАЗК провело другий етап перевірки і випробувань, підписало протокол про готовність та відповідність техзавданню. Нинішній злом бази електронних декларацій показав, що за фактом Держспецзв'язку якісно виконали свою роботу і ухвалили правильне рішення, відмовивши у видачі атестата. "Наші хакери-волонтери змогли вторгнутися в систему протягом 24 годин з вирішення НАЗК", - заявив у п'ятницю 19 серпня Вінник, продемонструвавши скріншот системи, де зареєстрований користувач Рябошапка Руслан Георгійович. Декларація на даний момент є у вільному доступі. У ній йдеться, що Рябошапка отримав 25 млн грн готівкою від ТОВ "Неякісний розробник". Вінник наголосив, що це свідчить про незахищеність системи та можливість зламу. Вінник заявив, що робив скріншот "у відкритому доступі, з мережі інтернет, з сайту НАЗК, цей скрін зробили ми". Водночас, за скріншотами, продемонстрованими на прес-конференції, виходить, що фальшиву інформацію внесли саме ті люди, які зробили скріншоти, оскільки там відкрито конфіденційну інформацію - дату народження та ІПН. Для сторонніх користувачів, що заходять на сайт НАЗК, ця інформація не відображена. Сам член Національного агентства із запобігання корупції Руслан Рябошапка заявив, що не подавав жодних декларацій системи е-декларування. Про це він написав у Facebook, коментуючи заяву народних депутатів про те, що хакери зламали базу НАЗК, в якій чиновники повинні розміщувати свої електронні декларації про доходи, і розмістили декларацію від його імені. "Я ще не зовсім розібрався з цією ситуацією. Поки можу сказати тільки таке: 1) жодних декларацій я не подавав; 2) яким чином це сталось - не знаю, тут потрібне розслідування компетентних органів, на чому я наполягатиму; 3) із того, що я знаю - це умисна провокація з метою дискредитації усіх, хто наполягає на якнайшвидшому впровадженні системи е-декларування; 4) система е-декларування таки грізна зброя проти корупції:) 5) очевидно, що провокації продовжуватимуться і надалі", - написав Рябошапка. Додамо, раніше сьогодні повідомлялося про те, що в Держспецзв'язку зголосилися завершити роботу над системою електронного декларування та виправити всі виявленні раніше недоліки до 1 вересня, якщо "Міранда" сама не впорається. Нагадаємо, що після наради з президентом Петром Порошенком, голова Національного агентства з попередження корупції Наталія Корчак заявила, що чиновники подаватимуть електронні декларації про доходи з 1 вересня. Зазначимо також, проблеми з забезпеченням повноцінної роботи Комплексної системи захисту інформації (КСЗІ) реєстру електронного декларування, включно із системою електронного декларування, лишається ключовою перепоною до запровадження безвізового режиму. Також запуск електронного декларування є умовою отримання Україною траншу МВФ. Програмне забезпечення (ПЗ) системи електронного декларування в Україні розробляється у рамках проекту "підвищення прозорості і доброчесності у публічному секторі" за Програмою розвитку ООН (ПРООН). Після впровадження подальше керування Реєстром здійснюватиме НАЗК. Розробником програмного забезпечення для системи електронного декларування ПРООН обрало ТОВ "Міранда" (договір укладено у грудні 2015 року). Цей програмний продукт повинен забезпечити функціонування Реєстру НАЗК для оброблення персональних даних та відомостей державних реєстрів України, у тому числі інформації з обмеженим доступом. Згідно із законодавством така інформація підлягає захисту і оброблюється виключно в інформаційно-телекомунікаційних системах з побудованою комплексною системою захисту інформації (КСЗІ) з підтвердженою відповідністю. Підтвердження відповідності КСЗІ здійснюється шляхом проведення державної експертизи, результат – атестат відповідності державного зразка. За словами голови Держспецзв’язку Леоніда Євдоченка, тільки 2 серпня НАЗК доручило проведення експертизи КСЗІ Державному центру кіберзахисту та протидії кіберзагрозам Держспецзв’язку. Вибір НАЗК цієї держустанови обумовлений такими її перевагами, як відповідальність, оперативність виконання, об’єктивність, неупередженість та можливість проведення робіт на безоплатній основі (вартість експертизи могла сягати понад 200 тис. грн.). Відмова НАЗК від попередньо обраного організатора експертизи (ТОВ "Криптософт"), насамперед, пов’язана з інформацією про можливий конфлікт інтересів: одна й та сама організація не може виступати як розробник і як експерт КСЗІ. Це суперечить принципам незалежності та неупередженості дій експертів, визначених Законом України "Про наукову та науково-технічну експертизу". Окрім того, згідно з ухвалою Печерського районного суду м.Києва у справі 757/2371/16-к, ТОВ "Криптософт" визначено як одне з таких "підприємств-прокладок", фінансові операції з яким здійснювалися лише для завищення вартості програмного забезпечення та апаратної частини Єдиного реєстру досудових розслідувань. За таких обставин сумнівними є гасла так званих "борців з корупцією", які активізувались останніми днями та намагаються черговий раз відстоювати власні корисливі інтереси, прикриваючись прагненням справедливості або реалізовуючи штучні інформаційні атаки, зашкоджуючи національним інтересам України. Євдоченко зазначив, що технічне завдання на побудову КСЗІ передано розробнику програмного продукту (ТОВ "Міранда"). "Занепокоєння викликає той факт, що згідно з актом приймання-передачі, підписаним НАЗК, ПРООН та ТОВ "Міранда" 27 липня 2016 року, фактично прийнято розроблене ПЗ системи електронного декларування України у обсязі тільки трьох результатів з п’яти, визначених договором (це орієнтовно 60% передбаченого обсягу робіт, які мали завершитися у повному обсязі ще 30 червня). Тому, головною проблемою на шляху створення системи електронного декларування є невиконання ТОВ "Міранда" своїх зобов’язань і, як наслідок, неготовністю програмного продукту до забезпечення повноцінної роботи Реєстру", - вказував Євдоченко 3 серпня. НАЗК відключає BankID та перереєструє електронні декларації, подані в тестову систему Національне агентство із запобігання корупції своїм рішенням внесло зміни до правової бази, що стосується електронного декларування. Про це йдеться в повідомленні НАЗК про рішення агенції, ухвалене в четвер. Серед іншого, НАЗК узаконило рішення, ухвалене на нараді під головуванням президента, про термінове проходження атестації системи. "Члени Національного агентства прийняли рішення про запуск повноцінної системи е-декларування з 1 вересня 2016 року", - заявила голова НАЗК Наталія Корчак. Водночас, найбільш значуща частина рішення стосується зміни системи ідентифікації користувачів: НАЗК вирішило відмовитися від банківської ідентифікації, яка раніше була передбачена технічним завданням на систему. Єдиний законний шлях декларування вимагає від посадовця отримати персональний електронний ключ. "Суб`єктам декларування, які зареєструвалися в Реєстрі шляхом застосування електронних систем дистанційної ідентифікації, що використовують бази клієнтських даних банків, після набрання чинності цим рішенням, для подальшої роботи в Реєстрі необхідно отримати особистий ключ та посилений сертифікат відкритого ключа електронного цифрового підпису... Документи, подані суб`єктами декларування із застосуванням електронних систем дистанційної ідентифікації, що використовують бази клієнтських даних банків, до набрання чинності цим Рішенням, є чинними", - йдеться у повідомленні. Зазначимо, що система BankID містилася в технічному завданні на е-декларування. Вона була запропонована з огляду на те, що держава не має спроможності видати всім суб’єктам декларування, кількість яких у наступному році, за деякими оцінками, може сягнути мільйона осіб, електронний цифровий підпис. Також у рішенні НАЗК знайдено шлях "легалізації" декларацій, поданих у систему до отримання нею сертифікації. Такі особи повинні не пізніше 7 вересня "перевірити зміст поданих ними до Реєстру документів та у разі виявлення неповних або недостовірних відомостей в них подати виправлені документи", зазначили в прес-службі НАЗК. У "Міранді" запевняють, що зламу системи е-декларацій не було, використано тестовий ключ В компанії-розробнику системи електронних декларації стверджують, що скріншоти, продемонстровані на прес-конференції народних депутатів Івана Вінника та Антона Геращенка, не свідчать про злам системи. Про це написав на Facebook один з представників розробника Михайло Кавун, його повідомлення поширив також директор "Міранди" Юрій Новіков. "Це не хак. Це профанація. Система знаходиться в дослідній експлуатації. Дозволено використання тестових ключів ЕЦП", - заявив він. За його словами, ця можливість буде автоматично заблокована при переході систему у промислову експлуатацію, що має відбутися 1 вересня. "Алгоритм зламу простий: виписують на сайті ІІТ тестовий ключ на Рябошапку та подають декларацію. При запуску системи в промислову експлуатацію використання тестових ключів відключається", - пояснив представник компанії-розробника. Перевірка демонструє, що наразі система електронних декларацій справді сприймає тестові ключі, які містять довільну інформацію про особу та які дозволено генерувати для перевірки функціональності інформаційних систем.
За матеріалами Голос UA на РФ
Також читайте:
| |||||||||
Категорія: Новини України |
Переглядів: 1307 | Додав: adminA
| Теги: |
Всього коментарів: 0 | |