Хакеры могут авторизоваться и подписать электронные документы за любого гражданина без его ведома. Недоработку отдельных сервисов обнаружил Центр анализа и расследования кибер атак. Специалисты ЦАРКА и Atameken Business провели эксперимент. Оказалось, что на портале онлайн-петиций можно "накрутить" голоса
Бурный рост цифровизации без кибербезопасности – так специалисты описывают ситуацию. По словам Олжаса Сатиева, главы Центра анализа и расследования кибер атак, разработчики отдельных сервисов, внедряющие авторизацию через ЭЦП, допустили системные ошибки. Сейчас злоумышленники могут авторизоваться и подписывать документы электронным ключом под именем любого юридического или физического лица.
"Когда мы начали капать, изучать, то выяснилось более 40 ресурсов в Казахстане, включая ресурсы государственных органов, частных, документооборот во многих случаях используется через ЭЦП для подписи. Он подвержен этому. Здесь проблема не в самом удостоверяющем центре, который есть у электронного правительства. Не проводится аудит безопасности", - говорит он.
И казахстанцы в этой ситуации никак не могут себя защитить. Хакерам достаточно знать ИИН и личные данные человека. Уязвимым оказался и портал онлайн петиций. Сейчас мы вам покажем эксперимент, который доказал, как легко накрутить голоса под любым общественным требованиям. Это пример того, как кибер угроза обретает национальные масштабы.
В минцифры в ответ на наш запрос заявили, что данная уязвимость - это вина владельцев информационной системы. Ведомство может только порекомендовать ввести функцию о проверке подлинности ЭЦП. Но за отсутствие таковых нет даже административной ответственности. Такую норму хотят ввести в новом законопроекте. А пока казахстанцы остаются в зоне риска.
Читайте по теме:
Какие госуслуги можно получить не выходя из дома в Казахстане?