Хакеры могут авторизоваться и подписать электронные документы за любого гражданина без его ведома. Недоработку отдельных сервисов обнаружил Центр анализа и расследования кибер атак. Специалисты ЦАРКА и Atameken Business провели эксперимент. Оказалось, что на портале онлайн-петиций можно "накрутить" голоса.
Бурный рост цифровизации без кибербезопасности – так специалисты описывают ситуацию. По словам Олжаса Сатиева, главы Центра анализа и расследования кибератак, разработчики отдельных сервисов, внедряющие авторизацию через ЭЦП, допустили системные ошибки. Сейчас злоумышленники могут авторизоваться и подписывать документы электронным ключом под именем любого юридического или физического лица.
"Когда мы начали копать, изучать, то выяснилось, что более 40 ресурсов в Казахстане, включая ресурсы государственных органов, частных, документооборот, во многих случаях использует ЭЦП для подписи. Он подвержен этому. Здесь проблема не в самом удостоверяющем центре, который есть у электронного правительства. Не проводится аудит безопасности", - говорит он.
И казахстанцы в этой ситуации никак не могут себя защитить. Хакерам достаточно знать ИИН и личные данные человека. Уязвимым оказался и портал онлайн-петиций. Сейчас мы вам покажем эксперимент, который доказал, как легко накрутить голоса под любым общественным требованием. Это пример того, как киберугроза обретает национальные масштабы.
В минцифры в ответ на наш запрос заявили, что данная уязвимость - это вина владельцев информационной системы. Ведомство может только порекомендовать ввести функцию о проверке подлинности ЭЦП. Но за отсутствие таковых нет даже административной ответственности. Такую норму хотят ввести в новом законопроекте. А пока казахстанцы остаются в зоне риска.