(no subject)
Истосковавшись по новостям, а желательно и сенсациям, масс-медиа разгоняют перемогу, подавая в этом качестве меморандум о выполнении пунктов чего-то там, с помпой подписанный в Мариуполе. Как по мне, это сугубо декларативный документ, основной задачей которого было продемонстрировать способность НКРСИ оправдать доверие Партии и лично дорогого Руководителя, представив к ноябрьским….тьфу… к началу ноября долгожданное соглашение о судьбе 900 МГц диапазона.
Ни один из значимых аспектов не только не прояснён, но даже не определены, во-первых, критерии, которыми должен руководствоваться регулятор в процессе принятие решений. Во-вторых, нет никаких гарантий того, что благопожелания участников процесса смогут, наконец, воплотиться в жизнь. По большому счёту, радоваться, по-прежнему, нечему. Операторы ещё раз задекларировали своё искреннее категорическое желание договориться, но как именно и когда - остаётся неизвестным. Ах, да, назван срок 1 июля 2020 года, до которого вроде бы действует соглашение. Что будет, если оно сорвётся или не будет достигнуто до этой даты - остаётся неизвестным.
К сожалению, на этом фоне легко теряются события, которые, во-первых, имеют статус актуальных решений органов власти, а не их намерений. Во-вторых, имеют всеобъемлющий характер, с которым рискует столкнуться буквально каждый из нас. Наконец, в-третьих, в этих решениях присутствует вполне выраженный деструктивный потенциал. С которым, опять-таки, рискуем столкнуться все мы.
Меня сейчас, в первую очередь, беспокоят идеи, которыми фонтанирует новый министр Кабинета министров Дмитрий Дубилет. В силу каких-то причин он считает электронную цифровую подпись и родственные ей цифровые доверительные инструменты (отметку времени, BankID и т.п.) чем-то вроде серебряной пули, способной истребить сонмы коррупционеров, рейдеров и прочих упырей.
Зримым проявлением этой веры во всемогущество цифровых инструментов стал принятый 30 октября закон № 207-IX касательно электронного документооборота, связанного с законодательным процессом.
https://w1.c1.rada.gov.ua/pls/zweb2/webproc4_1?pf3511=66283
Согласно этого закона "в Регламент Верховной Рады внесены изменения, согласно которым законопроекты и сопроводительные документы подаются не в письменном виде, а создаются в единой автоматизированной системе и подаются в форме оригиналов электронных документов с квалифицированной электронной подписью субъекта законодательной инициативы.
Предложения, поправки, заключения к законопроектам подаются аппарату Верховной Рады или непосредственно главным комитету или временной специальной комиссии в форме оригиналов электронных документов, созданных в единой автоматизированной системе, с квалифицированной электронной подписью.
Относительно каждого законопроекта, включенного в повестку дня в единой автоматизированной системе ведется электронное дело".
Пояснения самого г-на Дубилета здесь:
https://www.facebook.com/dubilet/posts/10157843398863552
https://www.facebook.com/dubilet/posts/10157845917223552
Последние полгода я плотно занимаюсь проблематикой цифровых доверительных услуг, имел желание пощупать материал, вложить, так сказать, перста в язвы и нахожу уместным публично и категорично заявить о наличии значимых рисков при попытке завязать любые сколь-нибудь серьёзные правоотношения на цифровые инструменты. Настолько значимых, что впору говорить о несвоевременности подобных шагов.
Приходится говорить о том, что государство допустило аццкий бардак, масштабы которого невозможно представить, пока не начинаешь его целенаправленно изучать.
Почему неуместны надежды г-на Дубилета сотоварищи на то, что использование цифровых инструментов позволит, с одной стороны, снизить накладные расходы на традиционный документооборот, при этом, с другой, устранить риски подлога документов, манипуляции с ними и прочие махинации?
Дело в том, что в конкретно-исторических условиях Украины наличие ЭЦП само по себе ничего не гарантирует.
Для начала органы власти уже успели отметиться изготовлением подложных ключей для ЭЦП. Подложных в данном случае означает полнофункциональных, но выданных на руки не тому человеку, чьё имя значилось в сертификате, а кому-то другому, что категорически запрещено. Причём изготовило и выдало подделку не абы кто, а дочернее предприятие Госспецсвязи, такие себе "Інформаційні спеціальні системи". А жертвой этой истории стал не абы кто, а нынешний генпрокурор Руслан Рябошапко. Прикольно, да?
Самое прикольное то, что никто не то что не был посажен или с треском уволен, доблестная Госспецсвязь вообще не проводила расследование этого вопиющего случая. Хотя прошло уже три года и пострадавший, напомню, уже стал гепрокурором. Кстати, его эта история, похоже, также не очень впечатлила. Ну выдали кому-то его, Рябошапки, ключи, и шо?
Далее, при генерации новых ключей уже много лет имеет место проблема идентификации заявителя. Я был поражён до глубины души, когда узнал недавно, что даже нотариусы, даже ГОСУДАРСТВЕННЫЕ нотариусы не имеют доступа к Государственному же демографическому реестру, который администрирует Государственная миграционная служба. Это означает, что если злоумышленники предъявляют качественно изготовленную подделку - чужой паспорт с аккуратно вклеенной фотографией или целиком сфальсифицированный документ, - у сотрудников т.н. центров сертификации нет возможности выявить подлог. Они не могут банально сличить серию и номер паспорта и, самое главное, эталонное изображение удостоверяемого лица. Вместо этого они выдадут ключи не тому человеку, на которого ключи номинально оформлены. Со всеми вытекающими последствиями.
Наконец, в Украине до сих пор государство разрешает использовать для создания квалифицированной, т.е. наиболее защищённой, юридически значимой электронной подписи разного рода суррогаты. Речь идёт о том, что согласно европейских регламентов ключи для квалифицированной электронной подписи (КЭП) должны храниться ИСКЛЮЧИТЕЛЬНО на защищённых носителях. Такие носители физически не допускают копирования ключей, каковое копирование носит в Украине массовый характер. Примером защищённых носителей являются, например, MobileID.
Год назад в связи с принятием закона "О доверительных услугах" суррогатные носители ключей КЭП были, наконец, поставлены вне закона. Был установлен переходный период в один год, по окончании которого оформление суррогатных ключей для КЭП должно быть запрещено. Казалось бы, ну и слава богу, лучше поздно, чем никогда. Однако дигитализаторы, в том числе и Дмитрий Дубилет, недавно принялись обсуждать возможность продлить переходный период ещё на пару-тройку лет.
Обоснование продления подкупает своей простотой: люди просють. Да, люди привыкли, что носители для ключей ничего не стоят (а цены на защищённые носители начинаются от 450 грн), сами ключи можно невозбранно копировать, чтобы отдать копии бухгалтеру или таможенному брокеру. Вопрос безопасности или правомочности людей не парит. Как не парит других, но очень похожих людей почему государство обязано обеспечить им валютные вклады не по текущему курсу, а по восемь гривен за доллар. Почему государство обязано пойти навстречу их желанию ездить на убитых в хлам, чадящих колымагах.
Впрочем, даже если власти не прогнутся и переходный период завершится вовремя, это не устраняет риски фальсификации документов Верховной Рады, подписанных с помощью КЭП. Дело в том, что выпуск суррогатных носителей должен завершиться 7 ноября этого года, а вот их использование - ещё через год.
Что это означает в контексте попыток усовершенствовать документооборот в парламенте?
Это означает, что открывается широчайшее поле для всевозможных манипуляций с законодательными актами. Настолько широкое, насколько хватит фантазии. А с фантазией у некоторых людей всё в порядке. Или не в порядке, с какой стороны посмотреть.
Самое простое - публикация множества вариантов проголосованного законопроекта. Подпись одна и та же, т.е. уполномоченного лица, а вот время и дата публикации отличаются. При этом в законе не указано, что подлинной считается лишь самая первая версия, правильно? Опубликовали и опубликовали, главное, что подпись подлинная. Квалифицированная, окончательная, броня! То же самое с поправками, сопроводительными документами и прочим документооборотом.
Кто же эти мерзавцы, эти изверги рода человеческого, которые рискнут подписывать от имени, например, спикера подложные варианты бюджета на следующий год?
Да кто угодно. Может, для начала, сам спикер, объясняя очевидное злоупотребление тем, что его ключи украли хакеры. Могут его помы и замы, аккуратно, но незаметно скопировав ключи шефа. Государство, напомню, даже в лучшем случае ещё целый год будет признавать абсолютно надёжными ключи, записанные на обычную флешку или компакт-диск.
Это могут быть реальные, не выдуманные хакеры, которые будут, пользуясь тем, что сановные пользователи не склонны обременять себя соблюдением процедур, тырить ключи с незащищённых носителей или дистанционно управлять ключами на носителях защищённых. В обоих случаях пароли к этим ключам воруются с помощью кейлоггеров, например. Или с помощью фотоаппарата с телевиком.
Для меня не составляет труда представить дивный новый мир, в котором законотворческий процесс будет окончательно превращён в шапито, где народ Украины словно едет на велосипеде, который горит, седло горит и все в огне.
Если кому то кажется, что я преувеличиваю или дую на воду, предлагают ознакомиться с тем, что уже много ЛЕТ происходит с КЭП нотариусов и государственных регистраторов, которые, теоретически, отвечают за совершаемые ими действия головой:
https://www.facebook.com/groups/eIDAS.UA/permalink/2569262066641605/
https://www.npu.gov.ua/news/kiberzlochini/pravooxoronczi-zatrimali-organizatoriv-masshtabnoji-sxemi-pererejestracziji-areshtovanogo-majna
https://internetua.com/ukrainskie-gosispolniteli-narushali-vse-myslimye-pravila-kiberbezopasnosti
Короче,
Я не прошу журналистов транслировать мою точку зрения. Я прошу обратить внимание на проблему. Задать тому же Дубилету вопросы. Выяснить, что думают в коридорах власти о рисках и угрозах, которые я выше описал.
Положа руку на сердце - если украинские операторы не смогут договориться об использовании 900 МГц частот, небо не упадёт на землю, а Земля не налетит на небесную ось.
А вот если неугомонные реформаторы протолкнут набитые багами регламенты работы с электронными документами, нас ждут неиллюзорные проблемы.
Ни один из значимых аспектов не только не прояснён, но даже не определены, во-первых, критерии, которыми должен руководствоваться регулятор в процессе принятие решений. Во-вторых, нет никаких гарантий того, что благопожелания участников процесса смогут, наконец, воплотиться в жизнь. По большому счёту, радоваться, по-прежнему, нечему. Операторы ещё раз задекларировали своё искреннее категорическое желание договориться, но как именно и когда - остаётся неизвестным. Ах, да, назван срок 1 июля 2020 года, до которого вроде бы действует соглашение. Что будет, если оно сорвётся или не будет достигнуто до этой даты - остаётся неизвестным.
К сожалению, на этом фоне легко теряются события, которые, во-первых, имеют статус актуальных решений органов власти, а не их намерений. Во-вторых, имеют всеобъемлющий характер, с которым рискует столкнуться буквально каждый из нас. Наконец, в-третьих, в этих решениях присутствует вполне выраженный деструктивный потенциал. С которым, опять-таки, рискуем столкнуться все мы.
Меня сейчас, в первую очередь, беспокоят идеи, которыми фонтанирует новый министр Кабинета министров Дмитрий Дубилет. В силу каких-то причин он считает электронную цифровую подпись и родственные ей цифровые доверительные инструменты (отметку времени, BankID и т.п.) чем-то вроде серебряной пули, способной истребить сонмы коррупционеров, рейдеров и прочих упырей.
Зримым проявлением этой веры во всемогущество цифровых инструментов стал принятый 30 октября закон № 207-IX касательно электронного документооборота, связанного с законодательным процессом.
https://w1.c1.rada.gov.ua/pls/zweb2/webproc4_1?pf3511=66283
Согласно этого закона "в Регламент Верховной Рады внесены изменения, согласно которым законопроекты и сопроводительные документы подаются не в письменном виде, а создаются в единой автоматизированной системе и подаются в форме оригиналов электронных документов с квалифицированной электронной подписью субъекта законодательной инициативы.
Предложения, поправки, заключения к законопроектам подаются аппарату Верховной Рады или непосредственно главным комитету или временной специальной комиссии в форме оригиналов электронных документов, созданных в единой автоматизированной системе, с квалифицированной электронной подписью.
Относительно каждого законопроекта, включенного в повестку дня в единой автоматизированной системе ведется электронное дело".
Пояснения самого г-на Дубилета здесь:
https://www.facebook.com/dubilet/posts/10157843398863552
https://www.facebook.com/dubilet/posts/10157845917223552
Последние полгода я плотно занимаюсь проблематикой цифровых доверительных услуг, имел желание пощупать материал, вложить, так сказать, перста в язвы и нахожу уместным публично и категорично заявить о наличии значимых рисков при попытке завязать любые сколь-нибудь серьёзные правоотношения на цифровые инструменты. Настолько значимых, что впору говорить о несвоевременности подобных шагов.
Приходится говорить о том, что государство допустило аццкий бардак, масштабы которого невозможно представить, пока не начинаешь его целенаправленно изучать.
Почему неуместны надежды г-на Дубилета сотоварищи на то, что использование цифровых инструментов позволит, с одной стороны, снизить накладные расходы на традиционный документооборот, при этом, с другой, устранить риски подлога документов, манипуляции с ними и прочие махинации?
Дело в том, что в конкретно-исторических условиях Украины наличие ЭЦП само по себе ничего не гарантирует.
Для начала органы власти уже успели отметиться изготовлением подложных ключей для ЭЦП. Подложных в данном случае означает полнофункциональных, но выданных на руки не тому человеку, чьё имя значилось в сертификате, а кому-то другому, что категорически запрещено. Причём изготовило и выдало подделку не абы кто, а дочернее предприятие Госспецсвязи, такие себе "Інформаційні спеціальні системи". А жертвой этой истории стал не абы кто, а нынешний генпрокурор Руслан Рябошапко. Прикольно, да?
Самое прикольное то, что никто не то что не был посажен или с треском уволен, доблестная Госспецсвязь вообще не проводила расследование этого вопиющего случая. Хотя прошло уже три года и пострадавший, напомню, уже стал гепрокурором. Кстати, его эта история, похоже, также не очень впечатлила. Ну выдали кому-то его, Рябошапки, ключи, и шо?
Далее, при генерации новых ключей уже много лет имеет место проблема идентификации заявителя. Я был поражён до глубины души, когда узнал недавно, что даже нотариусы, даже ГОСУДАРСТВЕННЫЕ нотариусы не имеют доступа к Государственному же демографическому реестру, который администрирует Государственная миграционная служба. Это означает, что если злоумышленники предъявляют качественно изготовленную подделку - чужой паспорт с аккуратно вклеенной фотографией или целиком сфальсифицированный документ, - у сотрудников т.н. центров сертификации нет возможности выявить подлог. Они не могут банально сличить серию и номер паспорта и, самое главное, эталонное изображение удостоверяемого лица. Вместо этого они выдадут ключи не тому человеку, на которого ключи номинально оформлены. Со всеми вытекающими последствиями.
Наконец, в Украине до сих пор государство разрешает использовать для создания квалифицированной, т.е. наиболее защищённой, юридически значимой электронной подписи разного рода суррогаты. Речь идёт о том, что согласно европейских регламентов ключи для квалифицированной электронной подписи (КЭП) должны храниться ИСКЛЮЧИТЕЛЬНО на защищённых носителях. Такие носители физически не допускают копирования ключей, каковое копирование носит в Украине массовый характер. Примером защищённых носителей являются, например, MobileID.
Год назад в связи с принятием закона "О доверительных услугах" суррогатные носители ключей КЭП были, наконец, поставлены вне закона. Был установлен переходный период в один год, по окончании которого оформление суррогатных ключей для КЭП должно быть запрещено. Казалось бы, ну и слава богу, лучше поздно, чем никогда. Однако дигитализаторы, в том числе и Дмитрий Дубилет, недавно принялись обсуждать возможность продлить переходный период ещё на пару-тройку лет.
Обоснование продления подкупает своей простотой: люди просють. Да, люди привыкли, что носители для ключей ничего не стоят (а цены на защищённые носители начинаются от 450 грн), сами ключи можно невозбранно копировать, чтобы отдать копии бухгалтеру или таможенному брокеру. Вопрос безопасности или правомочности людей не парит. Как не парит других, но очень похожих людей почему государство обязано обеспечить им валютные вклады не по текущему курсу, а по восемь гривен за доллар. Почему государство обязано пойти навстречу их желанию ездить на убитых в хлам, чадящих колымагах.
Впрочем, даже если власти не прогнутся и переходный период завершится вовремя, это не устраняет риски фальсификации документов Верховной Рады, подписанных с помощью КЭП. Дело в том, что выпуск суррогатных носителей должен завершиться 7 ноября этого года, а вот их использование - ещё через год.
Что это означает в контексте попыток усовершенствовать документооборот в парламенте?
Это означает, что открывается широчайшее поле для всевозможных манипуляций с законодательными актами. Настолько широкое, насколько хватит фантазии. А с фантазией у некоторых людей всё в порядке. Или не в порядке, с какой стороны посмотреть.
Самое простое - публикация множества вариантов проголосованного законопроекта. Подпись одна и та же, т.е. уполномоченного лица, а вот время и дата публикации отличаются. При этом в законе не указано, что подлинной считается лишь самая первая версия, правильно? Опубликовали и опубликовали, главное, что подпись подлинная. Квалифицированная, окончательная, броня! То же самое с поправками, сопроводительными документами и прочим документооборотом.
Кто же эти мерзавцы, эти изверги рода человеческого, которые рискнут подписывать от имени, например, спикера подложные варианты бюджета на следующий год?
Да кто угодно. Может, для начала, сам спикер, объясняя очевидное злоупотребление тем, что его ключи украли хакеры. Могут его помы и замы, аккуратно, но незаметно скопировав ключи шефа. Государство, напомню, даже в лучшем случае ещё целый год будет признавать абсолютно надёжными ключи, записанные на обычную флешку или компакт-диск.
Это могут быть реальные, не выдуманные хакеры, которые будут, пользуясь тем, что сановные пользователи не склонны обременять себя соблюдением процедур, тырить ключи с незащищённых носителей или дистанционно управлять ключами на носителях защищённых. В обоих случаях пароли к этим ключам воруются с помощью кейлоггеров, например. Или с помощью фотоаппарата с телевиком.
Для меня не составляет труда представить дивный новый мир, в котором законотворческий процесс будет окончательно превращён в шапито, где народ Украины словно едет на велосипеде, который горит, седло горит и все в огне.
Если кому то кажется, что я преувеличиваю или дую на воду, предлагают ознакомиться с тем, что уже много ЛЕТ происходит с КЭП нотариусов и государственных регистраторов, которые, теоретически, отвечают за совершаемые ими действия головой:
https://www.facebook.com/groups/eIDAS.UA/permalink/2569262066641605/
https://www.npu.gov.ua/news/kiberzlochini/pravooxoronczi-zatrimali-organizatoriv-masshtabnoji-sxemi-pererejestracziji-areshtovanogo-majna
https://internetua.com/ukrainskie-gosispolniteli-narushali-vse-myslimye-pravila-kiberbezopasnosti
Короче,
Я не прошу журналистов транслировать мою точку зрения. Я прошу обратить внимание на проблему. Задать тому же Дубилету вопросы. Выяснить, что думают в коридорах власти о рисках и угрозах, которые я выше описал.
Положа руку на сердце - если украинские операторы не смогут договориться об использовании 900 МГц частот, небо не упадёт на землю, а Земля не налетит на небесную ось.
А вот если неугомонные реформаторы протолкнут набитые багами регламенты работы с электронными документами, нас ждут неиллюзорные проблемы.