Пропозиції Громадської організації «Асоціація нотаріусів міста Харкова та Харківської області» щодо вирішення проблеми несанкціонованого доступу до Єдиних та державних реєстрів від 30.03.2016 № 4
ГРОМАДСЬКА ОРГАНІЗАЦІЯ
«АСОЦІАЦІЯ НОТАРІУСІВ МІСТА ХАРКОВА ТА ХАРКІВСЬКОЇ ОБЛАСТІ»
61002, м. Харків, вул. Максиміліанівська, буд. 6
код ЄДРПОУ 24275948, п/р. 2600800119855 в АТ «РЕГІОНБАНК» у м. Харкові, МФО 351254
(057) 7142790, (057) 7142789
| «30» березня 2016 р. № 4 |
Міністру юстиції України Петренку П.Д. |
Пропозиції щодо вирішення проблеми
несанкціонованого доступу
до Єдиних та державних реєстрів
Довгий час право доступу до Єдиних та державних реєстрів Міністерства юстиції України мало досить вузьке коло осіб (приватні та державні нотаріуси, працівники Держінформ’юсту). Будь-який вхід користувача-нотаріуса до реєстрів контролювався інженерами Держінформ’юсту, виконані реєстраційні дії перевірялись відповідними спеціалістами, надавались поточні консультації, коригувалась практика роботи нотаріусів з реєстрами.
Останнім часом держава взяла курс на відкритість відомостей з Єдиних та державних реєстрів, а також суттєво розширила коло осіб-реєстраторів (працівники РС, ЦНАП, НАІС, органи місцевого самоврядування, банки). Штат працівників НАІС з контролю за діями реєстраторів не змінився. Таким чином, можливість кваліфікованого контролю за правильністю та законністю кожної дії реєстратора втрачена.
Отже, постає питання додаткового захисту відомостей реєстрів від стороннього несанкціонованого злочинного втручання з метою викривлення даних (зняття арештів слідчих органів та суду щодо нерухомого майна тощо).
Сьогодні офіційні користувачі реєстрів — приватні та державні нотаріуси, працівники реєстраційної служби, працівники ЦНАП.
Причетними до несанкціонованого доступу (пособниками) можуть бути помічники нотаріусів, працівники РС, ЦНАП, НАІС (Держінформ’юст), а також всі зазначені колишні співробітники (звільнені працівники, припинена діяльність тощо).
Ці особи обізнані з реєстрами та вміють ними користуватись (знають, що і де натиснути).
Нині для доступу користувачів до Єдиних та державних реєстрів використовується технологія електронно-цифрового підпису (ЕЦП) та програмне забезпечення, що працює локально на комп’ютерах користувачів, а також онлайн доступ через інтернет.
Користувач, у тому числі нотаріус, має свій унікальний ідентифікатор (логін), пароль доступу до реєстрів, свій ЕЦП (файл key-6.dat) та пароль доступу до ЕПЦ.
Для входу до реєстрів у користувача має бути програмне забезпечення, доступ до інтернету та дійсний ЕПЦ.
У таблиці наведено суб’єктів доступу, які офіційно можуть мати ту чи іншу інформацію та вчиняти певні дії.
| Нотаріус | Помічник нотаріуса | Реєстратори ЦНАП | Реєстратори РС | Працівники НАІС | Колишні працівники | |
| Інсталяція ПЗ | Так | Так | Так | Так | Так | Так |
| Знає унікальний ідентифікатор користувача | Так | Так | Так | Так | Так | Так |
| Знає пароль доступу до реєстрів | Так | Так | Так | Так | Ні | Можливо |
| Має ЕЦП користувача | Так | Так | Так | Так | Ні | Можливо |
| Знає пароль доступу до ЕЦП | Так | Так | Так | Так | Ні | Можливо |
| Вміє працювати у реєстрах | Так | Так | Так | Так | Так | Так |
«Можливо» — мається на увазі, що таким користувачам відомі були відомості, необхідні для доступу до реєстрів, але їх актуальність не може бути підтверджена.
Для несанкціонованого доступу (під чужим іменем користувача) до реєстрів зловмисник повинен:
мати програмне забезпечення (інсталяцію);
знати унікальний ідентифікатор користувача;
знати пароль доступу до реєстрів;
мати ЕЦП офіційного користувача;
знати пароль доступу до ЕЦП.
Як видно з таблиці, зловмисник може повністю отримати інформацію, необхідну для входу до реєстрів від офіційних користувачів реєстрів та їх «помічників», які мають фактичний доступ до реєстрів.
Отримання такої інформації може бути здійснено таємно, а саме через фактичний доступ до комп’ютера, який використовується для доступу до реєстрів. Зловмисник у такий спосіб може викрасти файл ЕЦП (key-6.dat), який має унікальну назву, і така назва не може бути змінена користувачами. Також зловмисник, отримавши фактичний доступ до комп’ютера, може викрасти інсталяційні комплекти для встановлення програмного забезпечення на інших комп’ютерах.
Що стосується паролів доступу, то зловмисник може встановити на комп’ютер користувача відповідні програми, так звані «клавіатурні шпигуни», які будуть передавати зловмиснику всі дані про натиснення клавіш клавіатури на комп’ютері користувача. Також зловмисник може провести відеофіксацію введення користувачем паролю доступу до реєстру та до ЕЦП (замасковані мініатюрні відеокамери), звернувшись до користувача офіційно за вчиненням будь-якої дії.
Як можна бачити, на сьогоднішній день доступ до реєстрів не може вважатись захищеним, оскільки збільшилось коло суб’єктів користувачів реєстру, а також колишніх користувачів, які мають певні знання, а це — ризики того, що інформація може бути розголошена та передана третім особам або ж отримана третіми особами, які мають за мету вчинити протиправні дії.
Зменшити ризики можна у такий спосіб:
Файл електронного цифрового підпису може мати будь-яке ім’я та розширення, а також перебувати у довільному місці, а не виключно у корені носія інформації. На сьогоднішній день файл ЕЦП має назву та розширення key-6.dat. Тобто зловмисник, маючи намір викрасти ЕЦП, звичайним пошуком знаходить цей файл та викрадає його. Якщо файл ЕЦП буде мати довільну назву і розширення, наприклад «rt.sd», то зловмиснику буде складніше реалізувати свої наміри.
Локальні програми-інтерфейси доступу користувачів до реєстрів мають бути прив’язані до певного комп’ютера офіційного користувача. Тобто зловмисник, навіть дізнавшись про всі необхідні дані для доступу до реєстрів, не зможе ними скористатись, якщо не буде мати фізичного доступу до комп’ютера офіційного користувача. Це може бути реалізовано мінімумом затрат, а саме НАІС може зобов’язати користувачів надати певні характеристики своїх робочих комп’ютерів, що будуть наче «відбитками пальців». При вході до реєстрів сервери НАІС будуть звіряти поточний відбиток з тим, що зберігається на сервері НАІС; якщо вони ідентичні, а також введено вірні паролі, то буде здійснено доступ.
Ввести так звану двокрокову аутентифікацію. Вона полягає в тому, що не тільки сервер від користувача отримує дані, а також сервер направляє користувачу певні дані, які він повинен надати серверу. При вході до реєстру сервер вимагатиме після введення пароля подати спеціальний код. Цей код офіційний користувач може отримати декількома способами:
отримати через sms-повідомлення на свій телефон (номер якого буде передано НАІС);
отримати електронною поштою на свою скриньку (адресу якої буде передано НАІС).
Отриманий код можна вводити на спеціальній веб-сторінці або безпосередньо у вікні доступу до програми.
Сьогодні цю систему використовують банки усього світу.
Необхідно зробити інтерфейс, згідно з яким користувач реєстрів зможе онлайн блокувати-розблоковувати свій доступ до реєстрів.
Наприклад, робочий день закінчився — користувач заблокував свій доступ. Потім за необхідності відновлює цей доступ.
Якщо користувачу стало відомо про те, що хтось скористався або може скористатись його ідентифікатором доступу, то такий користувач може миттєво заблокувати доступ, а змінивши паролі доступу, відновити його.
Це може бути реалізовано шляхом доступу до певного веб-інтерфейсу або через телефонну службу підтримки, яка буде діяти цілодобово «24/7».
Запропоновані нами способи захисту не потребують значних обсягів фінансування, але є ефективними засобами захисту від несанкціонованого втручання злочинців у роботу державних реєстрів.
Нотаріуси першими вдарили на сполох, оскільки є сумлінними користувачами-реєстраторами, що десятиліттями напрацьовували довіру держави до себе як до професіоналів з чистими руками та помислами. Відсутність надійного захисту доступу до реєстрів ставить під удар не лише авторитет нотаріуса, а й авторитет держави щодо спроможності забезпечити достатній захист програмного забезпечення Єдиних та державних реєстрів, а отже, цілковиту законність цивільного обороту нерухомості в Україні.
Президент Громадської організації
«Асоціація нотаріусів міста
Харкова та Харківської області» В.М. Марченко
отримати повну версію статті
