На початку минулого місяця Департамент Кіберполіції Національної поліції України рекомендував всім користувачам змінити свої паролі та електронні цифрові підписи (далі – ЕЦП) у зв’язку з тим, що ці дані можуть бути скомпрометовані (тобто доступні стороннім особам). Причиною такої заяви стала масштабна кібератака користувачів вірусом Petya.A та можливим інфікуванням локальних комп’ютерів.
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Зважаючи на таку ситуацію, власники ЕЦП повинні подумати про безпеку. ЕЦП є основним елементом, без якого неможливо використовувати електронний документообіг. Ст. 12 Закону України «Про електронні документи та електронний документообіг» передбачає, що перевірка цілісності електронного документа може проводитися шляхом перевірки електронного цифрового підпису.
Як працює ЕЦП?
Відзначимо, що відповідно до Закону, електронний цифровий підпис – це вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. ЕЦП накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа. Особистий ключ – параметр криптографічного алгоритму формування електронного цифрового підпису, доступний лише підписувачу. Відкритий ключ – параметр криптографічного алгоритму перевірки електронного цифрового підпису, доступний суб'єктам відносин у сфері використання ЕЦП.
Відзначимо, що отриманий відповідно до закону ЕЦП за правовим статусом прирівнюється до власноручного підпису (печатки). ЕЦП використовується фізичними та юридичними особами – суб'єктами електронного документообігу для ідентифікації підписувача та підтвердження цілісності даних в електронній формі.
ЕЦП, як і підпис від руки, є унікальним для кожного підписанта. На практиці він працює наступним чином. При формуванні використовується математичний алгоритм, щоб сформувати два довгих номери, які називаються ключами. Один ключ є публічним, а інший – приватним. Коли підписант в електронному вигляді підписує документ, підпис формується з використанням приватного ключа підписанта, який відомий лише підписанту і завжди надійно ним зберігається.
Математичний алгоритм виступає як шифр, створюючи дані, які відповідають підписаному документу, а також шифрування цих даних. Отримані зашифровані дані – це ЕЦП. Підпис також позначається часом, коли документ був підписаний. Якщо документ зміниться після підписання, ЕЦП вже буде недійсним.
Ази безпеки ЕЦП
Щоб захистити цілісність ЕЦП, необхідно, щоб ключі ЕЦП були створені, виконані та збережені безпечним способом, що вимагає послуг надійного центру сертифікації. Формально всі центри сертифікації ключів ЕЦП, які легально діють в Україні, є акредитованими відповідно до «Порядку акредитації центру сертифікації ключів», затвердженого постановою Кабміну №903 від 13.07.2004 р., мають свідоцтво про акредитацію, а тому визнані державою як безпечні. Однак практика показує, що необхідно прискіпливо обирати навіть Акредитований центр сертифікації для отримання ключів ЕЦП (далі – АЦСК), оскільки не все так безпечно, як може здатися на перший погляд. Не всі АЦСК мають належний рівень кіберзахисту. Варто лише згадати недавню кібератаку вірусом Petya.A та перебої в роботі АЦСК Україна.
Зважаючи на зазначене, на нашу думку, безпечніше користуватися послугами АЦСК, які створені та працюють при держорганах. Мова йде про Акредитований центр сертифікації ключів органів юстиції України та Акредитований центр сертифікації ключів Інформаційно-довідкового департаменту Державної фіскальної служби України. Насамперед, рівень кіберзахисту цих центрів є високим. Адже якщо ключі ЕЦП, видані АЦСК органів юстиції України чи Інформаційно-довідкового департаменту ДФС, будуть скомпрометовані з вини останніх, то держава втратить довіру бізнесу та громадян у цій сфері. Водночас практика показує, що у разі чого більш реально стягнути збитки з держави, ніж з приватних компаній.
Ключі ЕЦП рекомендується зберігати не на комп’ютері, а на флешці. Це значно підвищить шанси того, що вони будуть надійно збережені та не опиняться в руках зловмисників, які зможуть потрапити у ваш комп’ютер за допомогою вірусу.
Також важливо використовувати надійні програми з відповідним рівнем безпеки. Наприклад, система зовнішнього документообігу для бізнесу – DEALS, яку створила українська компанія inBASE на базі платформи UnityBase, володіє високим рівнем захисту – Г2. Що це означає? На стадії розробки технічного завдання повинні бути розроблені функціональні специфікації комп’ютерної системи (далі – КС). Представлені функціональні специфікації мають включати неформалізований опис політики безпеки, що реалізується комплексом засобів захисту (далі – КЗЗ). Політика безпеки повинна містити перелік та опис послуг безпеки, що надаються КЗЗ. За вказаним принципом побудовано надійний рівень захисту.
Таким чином, система захисту DEALS дозволяє цілодобовий доступ до необхідних документів потрібному колу осіб без ризику втрати даних. Система DEALS є ресурсом, який забезпечує підписання, адміністрування, зберігання і доставку в електронному вигляді будь-яких юридично значущих документів, якими будь-яка компанія обмінюється зі своїми контрагентами в усьому світі в режимі онлайн. На жаль, багато програмних ресурсів у цій сфері намагаються зекономити на системі безпеки, через що згодом бізнес та держава зазнають великих збитків. Тому перед тим як розпочати користуватися якимось програмним забезпеченням, спочатку потрібно визначити рівень захисту інформації в ній.
Також рекомендуємо зберігати документи за допомогою хмарних технологій та програмних систем, які дозволяють це робити. Адже тоді документи будуть збережені в цілісному вигляді. Практика роботи система DEALS, яка також зберігає документи контрагентів, показує, що це є важливим, адже документи з жорсткого диска комп’ютера відновити не вдасться, а дістати документ з хмари цілком можливо.
Загальні рекомендації захисту
CERT-UA – спеціалізований структурний підрозділ Державного центру кіберзахисту та протидії кіберзагрозам Державної служби спеціального зв'язку та захисту інформації 04.08.2017 р. розповсюдив офіційне повідомлення. В ньому йдеться про те, що можлива кібератака на інформаційні ресурси України, присвячена Дню незалежності, який українці святкують 24 серпня. Вона може статися в день, напередодні або одразу після свята. Кіберзахисники закликають всіх власників інформаційних ресурсів бути готовими до можливої атаки та виконувати вимоги безпеки.
Власники мереж, які зазнали впливу кібератаки у червні 2017 р., навіть відновивши комп'ютери після атаки, можуть стати потенційним об'єктом повторної атаки. За даними Держспецзв’язку, існує висока ймовірність того, що зловмисникам відома інформація про мережі, паролі до облікових записів користувачів, адміністраторські паролі, приблизні схеми мереж, паролі до електронних поштових скриньок, ЕЦП тощо.
Зважаючи на зазначене, Державний центр кіберзахисту та протидії кіберзагрозам CERT-UA Держспецзв'язку надав Рекомендації щодо захисту комп'ютерів від повторного ураження вірусом-вимагачем.
Рекомендації CERT-UA:
1. Припинити використання проблемного програмного забезпечення до офіційного оголошення про вирішення проблеми, відімкнути від мережі комп'ютери, на яких воно було чи є встановленим. Рекомендовано провести перезавантаження операційної системи на таких комп'ютерах.
2. Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях.
3. Системним адміністраторам та адміністраторам безпеки звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштового й веб-трафіку.
4. Змінити всі паролі, які функціонують в мережі, та інші ідентифікаційні дані, які могли бути скомпрометовані. Доцільно змінити пул внутрішніх ІР-адрес та структуру мережі – схема мережі може бути відома зловмисникам, що полегшує реалізацію наступної атаки.
5. Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу: C:Windowsperfc.dat. Щоб запобігти шифруванню потрібно створити файл C:Windowsperfc. Перед початком процесу шифрування вірус перевіряє наявність файлу perfc у папці C:Windows, якщо файл вже існує, вірус завершує роботу і не шифрує файли.
6. Для унеможливлення шкідливим ПЗ змінювати MBR (в якому в цьому випадку і записувалася програма-шифрувальник) рекомендується встановити одне з рішень щодо заборони доступу до MBR.
7. Переконайтеся, що на всіх комп'ютерах встановлено антивірусне програмне забезпечення, воно функціонує належним чином та використовує актуальні бази вірусних сигнатур. За потреби встановіть та/або проведіть оновлення антивірусного програмного забезпечення.
8. Встановіть офіційний патч MS17-010.
9. Якщо є можливість, відмовитися від використання в локальній мережі протоколу NetBios (не використовувати для організації роботи мережеві папки та мережеві диски), в Брандмауері локальних ПК і мережевого обладнання заблокувати TCP/IP порти 135, 139 та 445.
10. Обмежте можливість запуску виконуваних файлів (*.exe) на комп'ютерах користувачів з директорій %TEMP%, %APPDATA%.
11. Відключіть застарілий протокол SMB1.
12. Звернутися до рекомендацій CERT–UA cтосовно безпеки поштових сервісів.
13. Для можливості відновлення зашифрованих файлів скористатися програмами ShadowExplorer або PhotoRec.
14. У разі інфікування персонального комп'ютера не перезавантажувати систему.
Як бачимо, бізнесу необхідно бути напоготові до нових кібератак і зробити все можливе, щоб мінімізувати ризики втрати важливих документів. Зберігайте ключі ЕЦП на флешці, документи – на хмарах, а ПО використовуйте лише надійне, з високим рівнем захисту.