Во время аудита, который проводится по обращению Офиса Президента Украины относительно манипуляций с голосованием за электронную петицию, установлен факт фиктивного голосования с использованием похищенного ключа усовершенствованной электронной подписи, сгенерированной квалифицированным предоставляющим электронных доверительных услуг (КНЕДП) АО КБ «Приватбанк».
Такие действия являются целенаправленной хакерской атакой высокого уровня сложности. По оценкам экспертов Госспецсвязи, осуществить такую атаку можно только при выполнении не менее трех условий:
- компрометация личного ключа (незаконное завладение и использование)
- дорогостоящая направленная хакерская атака с несколькомесячной подготовкой;
- использование человеческого фактора лиц, имеющих доступ к генерированию ключей.
Следует отметить, что национальная система электронных доверительных услуг сработала надежно. Несмотря на использованные хакерами ресурсы, скомпрометированной электронной подписью невозможно было подписать любые документы. Итак, никакой угрозы для граждан - переоформление документов, перевод средств, подписание деклараций и т.д. - эта атака не имела. Благодаря слаженным действиям экспертов возможность дальнейших подобных действий сведено к нулю.
Специалисты Госспецсвязи безотлагательно начали проведение масштабной операции, направленной на полную проверку системы электронных доверительных услуг. Сейчас исследуется система выдачи ключей АО КБ «Приватбанк» на соответствие требованиям безопасности. Такая же профилактическая комплексная проверка ждет все КНЕДП. По ее итогам, в случае необходимости, будут разработаны планы совершенствования соответствующих систем защиты и предоставлено публичный отчет общественности, ведь мы хорошо понимаем, что в современном мире, который стоит на пороге кибервойны, такие попытки будут нередки. Поэтому уже сейчас нам надо работать на опережение и повышать защищенность национальной системы электронных доверительных услуг, которые являются неотъемлемой составляющей формирования цифровой государства.
Соответствующие действия преступников можно квалифицировать как попытку подорвать доверие к процессам цифровизации, действий государственной власти и к государству в целом. Попытки создать соответствующую уязвимость имеет все признаки киберпреступления, который угрожает национальной безопасности, поэтому на это время проводится технический анализ указанного инцидента соответствующими подразделениями Госспецсвязи и Службы безопасности Украины.
В то же время безопасность государства зависит не только от современных систем защиты. Значительную роль в кибербезопасности играет и каждый из нас.
Чтобы исключить кражу вашей личной электронной подписи, придерживайтесь простых, но важных и действенных правил:
- Для хранения и использования личных ключей квалифицированной электронной подписи необходимо использовать защищенные носители личных ключей. Они обеспечивают ваш единоличный контроль над личным ключом, обеспечивая невозможность просмотра, копирования и использования злоумышленниками в мошеннических целях.
- Не оставляйте носители личных ключей без присмотра в своих рабочих компьютерах или ноутбуках, это убережет вас от несанкционированного использования подписи от вашего имени другими лицами.
- Установите на защищенном носителе надежный пароль (не менее восьми символов, включая цифры, прописные и строчные буквы латинского алфавита и специальных символов) для доступа к личному ключу, храните этот пароль в секрете, а не записанным в легкодоступных местах вроде наклейки на мониторе.
- Чтобы избежать несанкционированного использования вашего личного ключа электронной подписи для скрытого подписания электронных документов без вашего ведома, используйте только лицензионное программное обеспечение и оцененные в установленном порядке программные и аппаратные средства электронной подписи.
Защита собственной информации становится такой же необходимостью, как и надежный замок на входной двери в дом или хорошая сигнализация на авто. Призываем не пренебрегать нашими советами и надежно хранить свои личные ключи.
По информации Госспецсвязи