Elektroninių valdžios vartų portalas dėl saugumo spragų sustabdė savo veiklą neribotam laikui (Video)
|
Šį šeštadienį uždrausti bet kokie prisijungimai per Elektroninių valdžios vartų portalą prie visų Registrų centro, „Sodros“, Valstybinės mokesčių inspekcijos (VMI) duomenų. Šį sprendimą institucijos priėmė po to, kai naujienų svetainė DELFI paskelbė apie saugumo spragas minėtame portale. Per „Elektroninius valdžios vartus“ gyventojai gali deklaruoti gyvenamąją vietą, pajamas ir turtą, gauti duomenų suvestines iš „Sodros“ bei pateikti prašymus pašalpoms, išmokoms, pensijomis ir kompensacijoms, rašoma DELFI portale Mindaugo Jackevičiaus straipsnyje. „Teoriškai žmogus per portalą turėtų galėti prisijungti tik prie savo duomenų. Tačiau praktiškai gali prisijungti prie bet kurio žmogaus – tereikia žinoti to žmogaus asmens kodą“, - teigė informacinio saugumo užtikrinimo paslaugas teikiančios bendrovės „Critical Security“ direktorius M. Lučinskis. Jo teigimu, prisijungti galima nežinant nei žmogaus vardo, nei pavardės – užtenka asmens kodo. Jungiantis prie duomenų, specialistas naudojosi įrankiu, „atliekančiu visą juodą darbą“. Jungiantis nebuvo reikalingas joks slaptažodis, nei žurnalisto asmens dokumentas. Įmonės vadovas priminė, kad asmens kodas nuspėjamas žinant gimimo datą – reikia atspėti tik trijų skaitmenų gimimo eilės numerį ir apskaičiuoti paskutinį skaitmenį. Pasak M. Lučinskio, siūloma paslauga pritaikyta elektroninių tapatybės kortelių sistemai – jungdamasis turėtum patvirtinti tapatybę, nuskaitydamas savo asmens tapatybės kortelėje esančius skaitmeninius sertifikatus, kurie, suvedant asmens tapatybės kortelės PIN kodą, būtų pasirašyti privačiu raktu. „Tačiau realybėje sistema blogai realizuota – pakeitus tam tikrus duomenis serveriui siunčiamame autentifikacijos pakete, su savo asmens tapatybės kortele gali prieiti prie bet kurio žmogaus duomenų ar jo vardu naudotis elektroninėmis paslaugomis“, - aiškino M. Lučinskis. Kita reikšminga spraga specialistas laiko tai, kad vartotojo identifikavimui naudojamas vadinamasis viešas skaitmeninis sertifikatas, kurio nuskaitymui iš kortelės nereikia žinoti jos PIN kodo. „Tai reiškia, kad trumpam pasiskolinus kortelę ir nuskaičius iš jos skaitmeninį sertifikatą, prie elektroninių paslaugų galima jungtis to žmogaus, kuriam priklauso dokumentas, vardu. Taip faktiškai pasisavinama jo tapatybė, taigi jeigu pirma spraga būtų ištaisyta, tai trumpam pasisavinus kortelę galima jungtis į jos savininko paskyrą“, - sakė pašnekovas. Sistemos spragas M. Lučinskis aiškino pastebėjęs kartu su kitais nepriklausomais saugumo specialistais. „Kokia to grėsmė? Duomenų nutekėjimas, manipuliavimai, be to, kai bus įteisinti elektroniniai rinkimai, net neabejoju, kad viskas vyks per tą patį portalą. Grėsmė pakankamai rimta, jau nekalbu apie specialiąsias kitų šalių tarnybas, kurioms surasti tai, ką radome mes, nebūtų sudėtinga“, - kalbėjo informacinio saugumo užtikrinimo specialistas. Jis spėja, kad taip pat lengvai galima pasinaudoti mirusių žmonių duomenimis. M. Lučinskio manymu, be aptartų saugumo problemų elektroniniuose valdžios vartuose egzistuoja ir daugiau sisteminių spragų, kurios nėra greitai išsprendžiamos. Paaiškėjus šioms saugumo spragoms elektroninių sistemų ryšį su Elektroniniais valdžios vartais savaitgalį atjungė ir „Sodra“. Todėl šiuo metu prie EGAS ir EDAS saugiai galima prisijungti tik iš „Sodros“ interneto svetainės“, savaitgalį pranešė portalas delfi.lt. „Atkreipiame dėmesį, kad tai ne „Sodros“, o „Elektroninių valdžios vartų“ sistemos saugumo spraga, nustatant asmens tapatybę. Prie „Sodros“ paslaugų per „Elektrinius valdžios vartus“ vėl bus galima prisijungti tik tuomet, kai bus ištaisytos minėtos spragos. Kol žmonių asmens duomenų saugumui kyla grėsmė, tol EGAS ir EDAS paslaugos bus prieinamos tik per „Sodros“ interneto svetainę“, - teigiama „Sodros“ pranešime. Policijos departamentas pranešė neblokuosiąs prisijungimo prie savo informacinės sistemos per Elektroninius valdžios vartus, nes departamentas pats informacijos išorės vartotojams neteikia, o per minėtą informacinę sistemą tiesiog priima pranešimus apie įvykius, todėl paskelbta Elektronines valdžios vartų saugumo spraga grėsmės Policijos departamentui nekelia. Registrų centro (RC) šeštadienį atliktas neeilinis informacinių sistemų saugumo auditas nenustatė prielaidų piktnaudžiauti Elektroninių valdžios vartų portale aptikta saugumo spraga jungiantis prie RC informacinės sistemos. Pasak RC specialistų, tai iš dalies lėmė Elektroninių valdžios vartų portalo nepopuliarumas: iš 43 tūkst. pastarąjį mėnesį prie RC informacinės sistemos prisijungusių vartotojų tik 160 jungėsi per minėtą portalą. Nežiūrint to, prisijungimas prie RC informacinės sistemos per Elektroninių valdžios vartų portalą lieka uždraustas neribotą laiką. "Elektroninių valdžios vartų portalas bus laikomas nesaugiu ir draudžiamu naudoti autentifikavimo šaltiniu tol, kol nebus atliktas žiniasklaidos paviešintų jo saugumo spragų tyrimas bei likvidavimas. Taip pat bus siekiama išsiaiškinti, kodėl Elektroninių valdžios vartų portalo administratoriai, jau kelias dienas žinodami apie jų tvarkomos informacinės sistemos saugumo spragas, neinformavo apie tai visų administravimo ir viešųjų elektroninių paslaugų tiekėjų, teikiančių paslaugas per Elektroninės valdžios vartus, - teigiama Registrų centro pranešime. „Vartotojų identifikavimo sistemų bendradarbiavimo esminis veiksnys yra visiškas tarpusavio pasitikėjimas. Šiandien pasitikėjimas Elektroninių valdžios vartų portalų buvo sugriautas ir aš nesiimu spręsti, kuomet jis bus atkurtas“, sakė Registrų centro Infrastruktūros valdymo departamento vadovas Saulius Kvedaravičius. Anot jo, padėtis tapo labai komplikuota turint galvoje tai, kad valstybės institucijoms privalomas šio nesaugaus portalo naudojimas įteisintas Vyriausybės nutarimu. Privalomą elektroninių administracinių ir viešųjų paslaugų teikimą per Elektroninės valdžios vartų portalą numato 2009 metų gruodį priimtas Vyriausybės nutarimas. Visą Elektroninių valdžios vartų projektą už 6 mln. litų užsakęs Informacinės visuomenės plėtros komitetas (IVPK) pripažįsta, kad saugumo spraga egzistuoja, tačiau ja pasinaudoti esą tegali tik aukštos kompetencijos specialistai. IVPK, atlikęs papildomą tyrimą, ar pastaruoju metu nebuvo piktavališkai pasinaudota sistemos duomenimis, preliminariai nustatė, kad tokių atvejų nebūta. Jei paaiškėtų kitaip, IVPK žada kreiptis į Generalinę prokuratūrą dėl galimybės pradėti ikiteisminį tyrimą. „Per pastaruosius keletą mėnesių elektroninių viešųjų paslaugų portalu jungiantis per asmens tapatybės korteles saugiai pasinaudojo apie 1 tūkst. Lietuvos gyventojų. Didžioji dauguma gyventojų (apie 100 tūkst.) jungėsi per elektroninės bankininkystės sistemas“, - rašoma komiteto pranešime. | ||||||
| ||||||