Цифровые беды
Провозглашённая президентом Зеленским концепция «государства в смартфоне» снова и снова испытывается на прочность. В качестве испытателей выступают большие и маленькие украинцы, авторитетные и не очень бизнесмены, нардепы, нотариусы, государственные регистраторы и все-все-все.
На днях правоохранительные органы сообщили о раскрытии преступной группы «чёрных регистраторов», на протяжении четырёх лет безнаказанно злоупотреблявших государственными реестрами имущественных прав. По данным следствия, банда, в которую входили бывшие и действующие государственные исполнители, регистраторы, сотрудники органов юстиции и хакеры, поставила на поток противоправное отчуждение самых разных активов, от объектов недвижимости до корпоративных прав, пишет Mediasat.
Официально заявленные подробности дела потрясают воображение. Преступникам инкриминируется свыше тысячи (!!!) эпизодов незаконного наложения и снятия запрета на отчуждение собственности, перерегистрации движимого и недвижимого имущества. Инструментом всех этих преступлений стали два государственных реестра, прав собственности на недвижимое имущество и обременений имущества движимого. Стоимость услуг по внесению изменений в реестры колебалась от 7 до 50 тысяч долларов.
Как утверждает следствие, ключевым элементом преступного замысла стал взлом компьютерных систем и установление контроля над приватными ключами добросовестных нотариусов и государственных регистраторов. Для этого, якобы, использовалась тактика атаки на ПК жертв с помощью инфицированных писем, замаскированных под сообщения органов власти. Внедрённые с их помощью вирусы инсталлировали на компьютерах жертв приложения для дистанционного управления наподобие Team Viewer. Пользуясь тем, что жертвы игнорировали правила безопасности при использовании ключей доступа к реестрам, преступники совершали от их имени юридически значимые действия.
Обнародованная схема противоправного отчуждения (попросту говоря — кражи посредством подлога) собственности без преувеличения тянет на сенсацию. Скомпрометирована вся сразу национальна система учёта имущественных прав, без которой невозможен их полноценный эффективный оборот. Скомпрометированы национальные нотариат и органы государственной регистрации. Скомпрометированы цифровые инструменты обеспечения доверия, на которые опираются все вышеперечисленные публично-правовые институты.
Наличие в чрезвычайно успешной преступной схеме хитроумных хакеров ставит под вопрос способность государства предотвратить повторение подобные истории в будущем. Представляется самоочевидным, что абсолютную защиту от взлома гарантировать невозможно. Раз так, любые цифровые инструменты обеспечения имущественных прав и поддержки доверия к ним выглядят заведомо уязвимыми. Любые правоотношения и юридически значимые действия в цифровой среде — условно легитимными и заслуживающими этого самого доверия.
Между тем заявленная картина случившегося не выглядит безупречной.
Во-первых, решительно непонятно, зачем были нужны все эти сложности — лютые хакеры, выезд в лес и прочая конспирация, — если можно «мутить» намного, намного проще. И дешевле, что всегда немаловажно. В январе этого года был осуждён руководитель аппарата Дарницкого районного суда столицы. Смекалистый служитель Фемиды успешно решал точно такие же задачи, как вышеупомянутая преступная группа. Подшивая к реальным архивным делам посторонние материалы, отражавшие интересы заказчиков, он фальсифицировал формальные основания для перерегистрации имущественных прав.
Действуя намного более простыми средствами, без многочисленных сообщников, джипов, хакеров и прочего антуража, сотрудник суда успешно совершил, как минимум, 22 преступления. Большего доказать не удалось, но это и не важно в контексте нашего разговора. Важно то, что мошенник отделался штрафом в 17 тыс. грн., т.е. чуть менее чем 500 долларов из нескольких сотен тысяч неправомерной выгоды, доказанной на суде. Поразительно, но его взял на поруки судейский коллектив родного суда. Иными словами, подобные экзерсисы не рассматриваются в этой среде как нечто из ряда вон выходящее, а замешанные в них люди остаются вполне рукопожимаемы.
При этом, во-вторых, версия с хакерами выводит из-под удара нотариусов и регистраторов, чьими ключами оказались заверены противоправные действия. Практика «чёрного нотариата» имеет место в Украине, как минимум, с конца девяностых. По мнению людей осведомлённых, последние лет десять она носит массовый характер, т.е. сотни инцидентов в год. Однако раньше «чёрные нотариусы», в силу очевидной противоправности своих действий, были вынуждены тщательно избегать встреч с прессой и пострадавшими. Теперь же у них появилась возможность сваливать всё на вездесущих и всемогущих хакеров.
Не так давно автор назвал три сюжета, развитие которых можно рассматривать как функциональный тест для администрации Зеленского:
- Проблема с персональными данными, которые накапливаются «платформой электронного здравоохранения». Обзор вопроса здесь.
- Проблема с переходом н азащищённые хранилища для ключей, которые используются для ЭЦП. Эмоциональная реплика на сей счёт здесь.
- История с компрометацией дочернего предприятия Госспецсвязи, которое в 2016 году противоправно выпустило ключ для ЭЦП, зарегистрированный на члена НАЗК Руслана Рябошапку. Кратенько здесь.
Теперь к ним можно добавить четвёртый — рассмотрение и принятие решений об ответственности нотариусов и гос. регистраторов, чьи ключи доступа были использованы для совершение противоправных манипуляций с госреестрами. Если им погрозят пальчиком, поставят на вид и скажут быть на будущее более внимательными, значит схема с некими «хакерами» рабочая и ребята будут «мутить» дальше. Если виновные, как минимум, в халатном отношении к безопасности ключей, понесут адекватное, т.е. достаточно суровое, наказание, это станет сигналом о реальной опасности «баловства» с ключами.
Кстати, по третьему сюжету теоретически можно было бы ожидать серьёзных подвижек. Мало того, что Руслан Рябошапка, на имя которого в 2016 году дочернее предприятие Госспецсвязи выпустило подложные ключи, занял кресло генерального прокурора. Другой фигурант той истории, Антон Геращенко, стал заместителем министра МВД. Теоретически, слаженными усилиями МВД и прокуратура могли бы быстро выяснить все обстоятельства, включая личность заказчиков и организаторов самого громкого случая компрометации национальной инфраструктуры доверительных услуг. Это в теории, а как оно будет на практике, мы скоро узнаем. Мнения есть разные.
Пока же потребители цифровых доверительных услуг, так или иначе завязанных на украинское государство, могут сделать, как минимум, следующие выводы:
Хранилища секретных ключей в обязательном порядке должны быть оснащены механическими элементам, без физического воздействия не которые обращение к ключам невозможно. Это необходимо, чтобы минимизировать риск скрытого обращения к ключам резидентными «зловредами».
Коль скоро государство не в состоянии предотвратить массовые злоупотребления цифровыми инструментами поддержки доверия, оно обязано предоставлять максимум информации об этой проблеме, включая технические подробности инцидентов, а также общую статистику пользования такого рода инструментами. Это необходимо, чтобы рассчитывать вероятность взлома, кражи и других форм компрометации. Попросту говоря, выяснять риски, причём в численной форме. Без этого никакое полноценное управление ими, а также развитие рынка соответствующих инструментов попросту невозможны.
Существующие на местном рынке инструменты обеспечения доверия представляют ограниченную ценность. В связи с этим целесообразно, с одной стороны, искать возможность использовать иные цифровые средства, в том числе опирающиеся на иные юрисдикции, иные схемы доверия. С другой — не увлекаться использованием цифровых инструментов в тех случаях, когда на кону достаточно много, слишком много.
В целом проблема «чёрных регистраторов» является отличной, предельно наглядной иллюстрацией тех вызовов, с которыми неизбежно столкнутся любые попытки перейти от слов про «государство в смартфоне» к практическим делам.
Автор: Роман Химич; Mediasat
Tweet
