Поражение в электронных правах

№46(842) 17—23 ноября 2017 г. 15 Ноября 2017 5

Эстония крепит кибероборону — и ради этого блокирует ID-карточки

Эстония по праву считается мировым лидером в области внедрения электронного правительства — государственных сервисов, использующих современные дистанционные технологии. В Украине эстонский опыт постоянно вспоминают, а гастролирующие советники из маленькой прибалтийской страны — например, Яника Мерило — приобрели у нас серьезный медийный вес. Тем более удивительно, что здесь почти незамеченной прошла новость о грандиозном электронном кризисе — экстренным заседанием правительства в стране отменено действие 760 тыс. идентификационных карт.

Для справки — общее население Эстонии 1,3 млн. человек, то есть пострадало большинство совершеннолетних граждан, которым закрыли доступ к тем электронным ресурсам, где для идентификации требуется карта. Среди блокированных — абсолютно все карты электронных резидентов. Это, конечно, включает и всех украинцев, получивших электронное гражданство в Эстонии ради привлекательных условий ведения бизнеса.

Причиной паники стало сообщение экспертов, обнаруживших криптографическую уязвимость — иными словами, теоретически злоумышленники могут взломать чип карточки, с помощью которой гражданин страны не только обслуживается всей госмашиной, получает зарплату и медицинские услуги, контактирует с налоговой, но даже голосует.

История о том, как это произошло, тянет на политический триллер. Уязвимость обнаружили чешские специалисты по безопасности, в академических целях анализировавшие систему этого примерного электронного государства. Ученые-криптографы выяснили, что при создании 760 тыс. ID-карт использовалось решение немецкой фирмы Infineon, которое оказалось не слишком устойчивым ко взлому. Сами смарт-карты выпускала швейцарская компания Gemaltoa, обладающая серьезной деловой репутацией.

Оказалось, что если злоумышленники создадут большой вычислительный кластер из сотен компьютеров, то теоретически смогут взломать код без больших усилий — и получить таким образом персональные данные владельцев электронных паспортов. На черном рынке услуги по взлому одного такого кода обойдутся от 25 до 40 долл. за карту.

Сообщение об этом появилось еще в конце сентября. А 30 октября на конференции по компьютерной безопасности в Далласе была проведена публичная презентация исследования. Но только 3 ноября в Эстонии были предприняты экстренные меры по блокированию этих электронных карт. Почему так произошло?

Дело в том, что в стране шли выборы в муниципалитеты. Электронное голосование началось 5 октября, и выбирать 1927 депутатов в 79 органов местного самоуправления могли не только граждане страны, но и все постоянные жители населенных пунктов, начиная с 16 лет. Электронное голосование проводилось до 11 октября, а формальная дата выборов — 15 октября. Отменить действие ID-карточек означало ни много ни мало отменить выборы, что было чревато уже не техническим, а политическим кризисом. Да и с экономической точки зрения обошлось бы такое решение очень дорого.

Поэтому власти Эстонии пошли на риск — выборы проводились при использовании ID-карт, которые могли быть скомпрометированы. Это тем более опасно, что в соответствии с избирательными правилами страны отданный голос можно отозвать и изменить свое решение — тоже электронным способом, удаленно.

В то же время решение нельзя назвать политическим и незрелым. Принималось во внимание, что найденная уязвимость, согласно наблюдениям экспертов по безопасности, еще не использовалась злоумышленниками, а цена взлома одной карты слишком высока, чтобы ожидать масштабной атаки, способной в краткие сроки положить систему или заметно повлиять на результат волеизъявления.

Между тем окончательное решение проблемы еще не близко. Нельзя просто так взять и объявить недействительным ключевой элемент системы электронного правительства — это грозит не просто неудобствами, а может парализовать работу целых предприятий и отраслей. Вместе с тем организовать экстренную замену 760 тыс. ID-карт тоже невозможно.

Правительство страны пошло на компромисс. Заблокированные карты можно вернуть к жизни, если обновить сертификат безопасности. Перепрошить карточки можно дистанционно — но даже это не делается быстро. Поэтому приоритет отдается правоохранителям, врачам, судьям, юристам и госчиновникам — для которых карта критически важна в повседневной работе. Остальные могут обновить сертификаты до 31 марта 2018 г. До обновления картой можно будет пользоваться только вне интернета, как удостоверением личности.

Все это очень поучительно и интересно. Еще в 2014 г. американские ученые предостерегали, что эстонская система онлайн-голосования несовершенна, подвержена рискам постороннего вмешательства — от нее рекомендовали отказаться. В 2007 г. первая в мире «цифровая нация», как уже тогда называли эстонцев, подверглась первому масштабному нападению — были парализованы многие критически важные сервисы, не работали даже банкоматы. В мировой прессе в развязывании кибервойны обвиняли Россию, пробовавшую только прорезавшиеся зубы своего корпуса госхакеров.

Хотя беды в 2017 г. удалось избежать, пример Эстонии показывает: удобная и суперсовременная электронная централизация несет и большие риски. Если бы уязвимость первыми открыли злоумышленники, они могли бы спровоцировать грандиозную государственную катастрофу.

Отдельно стоит призадуматься и Украине. Страна нуждается в совершенно ином подходе к системе электронной безопасности, чем тот, который принят сегодня. Распространенные в госсекторе решения, когда программное обеспечение, национальной важности базы данных, госкадастры и прочие критически важные элементы системы нередко включены в мутные схемы с участием множества посредников с неясными полномочиями, в современном мире могут обернуться разрушением инфраструктуры и системы управления. Выявлять уже существующие угрозы нужно самим, а не ждать, пока что-то рухнет во время кибератаки.

Поэтому прежде чем брать на вооружение технические решения передовиков электронного государственного делопроизводства, стоит перенять и их ответственный подход к делу.

Уважаемые читатели, PDF-версию статьи можно скачать здесь...


Загрузка...
Загрузка...

Родня напрокат: японский бизнес по Фрейду

Давним и устойчивым спросом у японцев пользуется неординарная с точки зрения...

Главный редактор «Интера» Антон Никитин: «История...

Четвертый год накануне 9 Мая миллионы украинцев замирают в тревожном ожидании: отменят...

Уже 22 года Киев подвергается химической атаке

После окончательной ликвидации завода «Радикал» в 2000 г. территорию предприятия...

Уроки бесчеловечности

То, что некоторые читатели считают доступ к удобным современным технологиям...

Зимовка в Антарктиде – не для слабых духом

На украинской антарктической станции «Академик Вернадский» во время пересменки...

Комментарии 0
Войдите, чтобы оставить комментарий
Пока пусто

Получить ссылку для клиента
Авторские колонки

Блоги

Маркетгид
Загрузка...
Ошибка