На початку минулого місяця Департамент кіберполіції Національної поліції України рекомендував всім користувачам змінити паролі і електронні цифрові підписи (далі — ЕЦП) у зв'язку з тим, що ці дані можуть бути скомпрометовані (тобто доступні стороннім особам).
Причиною такої заяви стала масштабна кібератака користувачів вірусом Petya.A і можливим інфікуванням локальних комп'ютерів.
З огляду на таку ситуацію, власники ЕЦП повинні подумати про безпеку. ЕЦП є основним елементом, без якого неможливо використовувати електронний документообіг. Ст. 12 Закону України «Про електронні документи та електронний документообіг» передбачає, що перевірка цілісності електронного документа може проводитися шляхом перевірки електронного цифрового підпису.
Intecracy Group випускає роз'яснення для користувачів про те, як розуміти дані рекомендації держоргану.
Як працює ЕЦП?
Відзначимо, що згідно з Законом, електронний цифровий підпис — це вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. ЕЦП накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа. Особистий ключ — параметр криптографічного алгоритму формування електронного цифрового підпису, доступний тільки передплатнику. Відкритий ключ — параметр криптографічного алгоритму перевірки електронного цифрового підпису, доступний суб'єктам відносин у сфері використання ЕЦП.
Відзначимо, що отриманий відповідно до закону ЕЦП за правовим статусом прирівнюється до власноручного підпису (печатки). ЕЦП використовується фізичними та юридичними особами — суб'єктами електронного документообігу для ідентифікації підписувача та підтвердження цілісності даних в електронній формі.
ЕЦП, як і підпис від руки, є унікальним для кожного підписанта. На практиці він працює наступним чином. При формуванні використовується математичний алгоритм, щоб сформувати два довгих номера, які називаються ключами. Один ключ є публічним, а інший — приватним. Коли підписант в електронному вигляді підписує документ, підпис формується з використанням приватного ключа підписувача, який відомий тільки підписанту і завжди надійно ним зберігається.
Математичний алгоритм виступає як шифр, створюючи дані, які відповідають підписаним документом, а також шифрування цих даних. Отримані зашифровані дані — це ЕЦП. Підпис також зазначається часом, коли документ був підписаний. Якщо документ зміниться після підписання, ЕЦП вже буде недійсним.
Ази безпеки ЕЦП
Щоб захистити цілісність ЕЦП, необхідно, щоб ключі ЕЦП були створені, виконані і збережені безпечним способом, вимагає послуг надійного центру сертифікації. Формально все центри сертифікації ключів ЕЦП, які легально діють в Україні, є акредитованими відповідно до «Порядку акредитації центру сертифікації ключів», затвердженого постановою Кабміну № 903 від 13.07.2004 р, мають свідоцтво про акредитацію, а тому визнані державою як безпечні. Однак практика показує, що необхідно ретельно вибирати навіть Акредитований центр сертифікації для отримання ключів ЕЦП (далі — АЦСК), оскільки не всі так безпечно, як може здатися на перший погляд. Не всі АЦСК мають належний рівень кіберзахисту. Варто тільки згадати недавню кібератаку вірусом Petya.A і перебої в роботі АЦСК України.
З огляду на вищесказане, на нашу думку, безпечніше користуватися послугами АЦСК, які створені і працюють при державних органах. Йдеться про Акредитованому центрі сертифікації ключів органів юстиції України та Акредитованому центрі сертифікації ключів Інформаційно-довідкового департаменту Державної фіскальної служби України. Перш за все, рівень кіберзахисту цих центрів є високим. Адже якщо ключі ЕЦП, видані АЦСК органів юстиції України або Інформаційно-довідкового департаменту ДФС, будуть скомпрометовані з вини останніх, то держава втратить довіру бізнесу і громадян в цій сфері. Разом з тим практика показує, що в разі чого більш реально стягнути збитки з держави, ніж з приватних компаній.
Ключі ЕЦП рекомендується зберігати на комп'ютері, а на флешці. Це значно підвищить шанси того, що вони будуть надійно збережені і не опиняться в руках зловмисників, які зможуть потрапити в ваш комп'ютер за допомогою вірусу.
Також важливо використовувати надійні програми з відповідним рівнем безпеки. Наприклад, система зовнішнього документообігу для бізнесу — DEALS, створена на базі платформи UnityBase, має високий рівень захисту — Г2. Що це означає? На стадії розробки технічного завдання повинні бути розроблені функціональні специфікації комп'ютерної системи (далі — КС). Представлені функціональні специфікації повинні включати неформалізовані опис політики безпеки, яка реалізується комплексом засобів захисту (далі — КВС). Політика безпеки повинна містити перелік і опис послуг безпеки, що надаються КСЗ. За даним принципом побудований надійний рівень захисту.
Таким чином, система захисту DEALS надає цілодобовий доступ до необхідних документів потрібному колі осіб без ризику втрати даних. Система DEALS є ресурсом, який забезпечує підписання, адміністрування, зберігання і доставку в електронному вигляді будь-яких юридично значущих документів, якими будь-яка компанія обмінюється зі своїми контрагентами в усьому світі в режимі онлайн. На жаль, багато програмні ресурси в цій сфері намагаються заощадити на безпеці, через що згодом бізнес і держава несуть великі збитки. Тому перед тим як почати користуватися якимось програмним забезпеченням, спочатку потрібно визначити рівень захисту інформації в ній.
Також рекомендуємо зберігати документи за допомогою хмарних технологій і програмних систем, які дозволяють це робити. Адже тоді документи будуть збережені в цілісному вигляді. Практика роботи система DEALS, яка також зберігає документи контрагентів, показує, що це важливо, адже документи з жорсткого диска комп'ютера відновити не вдасться, а отримати документ із хмари цілком можливо.
Загальні рекомендації щодо захисту
CERT-UA — спеціалізований структурний підрозділ Державного центру кіберзахисту і протидії кіберзагрозам Державної служби спеціального зв'язку та захисту інформації 04.08.2017 р поширив офіційне повідомлення. У ньому йдеться про те, що можлива кібератака на інформаційні ресурси України, присвячена Дню незалежності, який українці святкують 24 серпня. Вона може статися в день, напередодні або відразу після свята. Кіберзащітнікі закликають всіх власників інформаційних ресурсів бути готовими до можливої атаки і виконувати вимоги безпеки.
Власники мереж, які зазнали впливу кібератаки в червні 2017, навіть відновивши комп'ютери після атаки, можуть стати потенційним об'єктом повторної атаки. За даними Держспецзв'язку, існує висока ймовірність того, що зловмисникам відома інформація про мережу, паролі до облікових записів користувачів, адміністраторські паролі, приблизні схеми мереж, паролі до електронних поштових скриньок, ЕЦП і ін.
З огляду на сказане, Державний центр кіберзахисту і протидії кіберзагрозам CERT-UA Держспецзв'язку надав Рекомендації щодо захисту комп'ютерів від повторного ураження вірусом-здирником.
Рекомендації CERT-UA:
— Припинити використання проблемного програмного забезпечення до офіційного оголошення про вирішення проблеми, відключити від мережі комп'ютери, на яких воно було чи встановленим. Рекомендується провести перезавантаження операційної системи на таких комп'ютерах.
— Забезпечити неприпустимість відкриття вкладень в підозрілих повідомленнях.
— Системним адміністраторам і адміністраторам безпеки звернути увагу на фільтрування вхідних / вихідних інформаційних потоків, зокрема поштового і веб-трафіку.
— Змінити всі паролі, які використовуються в мережі, і інші ідентифікаційні дані, які могли бути скомпрометовані. Доцільно змінити пул внутрішніх IP-адрес і структуру мережі — схема мережі може бути відома зловмисникам, що полегшує реалізацію наступної атаки.
— Для ідентифікації шифрувальника файлів необхідно завершити всі локальні завдання і перевірити наявність наступного файлу: C: Windowsperfc.dat. Щоб запобігти шифрування потрібно створити файл C: Windowsperfc. Перед початком процесу шифрування вірус перевіряє наявність файлу perfc в папці C: Windows, якщо файл вже існує, вірус завершує роботу і не шифрує файли.
— Для запобігання шкідливим ПЗ міняти MBR (в якому в цьому випадку і записувалася програма-шифрувальник) рекомендується встановити одне з рішень про заборону доступу до MBR.
— Переконайтеся, що на всіх комп'ютерах встановлено антивірусне програмне забезпечення, воно функціонує належним чином і використовує актуальні бази вірусних сигнатур. При необхідності встановіть і / або проведіть оновлення антивірусного програмного забезпечення.
— Встановіть офіційний патч MS17–010.
— Якщо є можливість, відмовитися від використання в локальній мережі протоколу NetBios (не використовувати для організації роботи мережеві папки і мережеві диски), в брандмауері локальних ПК і мережевого устаткування заблокувати TCP / IP порти 135, 139 і 445.
— Обмежте можливість запуску виконуваних файлів (*.exe) на комп'ютерах користувачів з директорій %TEMP%,% APPDATA%.
— Вимкніть застарілий протокол SMB1.
— Звернутися до рекомендацій CERT-UA З приводу безпеки поштових сервісів.
— Для можливості відновлення зашифрованих файлів скористатися програмами ShadowExplorer або PhotoRec.
— У випадку інфікування персонального комп'ютера не перевантажувати систему.
Як бачимо, бізнесу необхідно бути готовий до нових кібератак і зробити все можливе, щоб мінімізувати ризики втрати важливих документів. Зберігайте ключі ЕЦП на флешці, документи — в хмарах, а ПЗ використовуйте надійне, з високим рівнем захисту.