Site icon УКРАЇНА КРИМІНАЛЬНА

Цифровые беды

Цифровые беды
Цифровые беды

Провозглашённая президентом Зеленским концепция «государства в смартфоне» снова и снова испытывается на прочность. В качестве испытателей выступают большие и маленькие украинцы, авторитетные и не очень бизнесмены, нардепы, нотариусы, государственные регистраторы и все-все-все.

На днях правоохранительные органы сообщили о раскрытии преступной группы «чёрных регистраторов», на протяжении четырёх лет безнаказанно злоупотреблявших государственными реестрами имущественных прав. По данным следствия, банда, в которую входили бывшие и действующие государственные исполнители, регистраторы, сотрудники органов юстиции и хакеры, поставила на поток противоправное отчуждение самых разных активов, от объектов недвижимости до корпоративных прав, пишет Mediasat.

Официально заявленные подробности дела потрясают воображение. Преступникам инкриминируется свыше тысячи (!!!) эпизодов незаконного наложения и снятия запрета на отчуждение собственности, перерегистрации движимого и недвижимого имущества. Инструментом всех этих преступлений стали два государственных реестра, прав собственности на недвижимое имущество и обременений имущества движимого. Стоимость услуг по внесению изменений в реестры колебалась от 7 до 50 тысяч долларов.

Как утверждает следствие, ключевым элементом преступного замысла стал взлом компьютерных систем и установление контроля над приватными ключами добросовестных нотариусов и государственных регистраторов. Для этого, якобы, использовалась тактика атаки на ПК жертв с помощью инфицированных писем, замаскированных под сообщения органов власти. Внедрённые с их помощью вирусы инсталлировали на компьютерах жертв приложения для дистанционного управления наподобие Team Viewer. Пользуясь тем, что жертвы игнорировали правила безопасности при использовании ключей доступа к реестрам, преступники совершали от их имени юридически значимые действия.

Обнародованная схема противоправного отчуждения (попросту говоря — кражи посредством подлога) собственности без преувеличения тянет на сенсацию. Скомпрометирована вся сразу национальна система учёта имущественных  прав, без которой невозможен их полноценный эффективный оборот. Скомпрометированы национальные нотариат и органы государственной регистрации. Скомпрометированы цифровые инструменты обеспечения доверия, на которые опираются все вышеперечисленные публично-правовые институты.

Наличие в чрезвычайно успешной преступной схеме хитроумных  хакеров ставит под вопрос способность государства предотвратить повторение подобные истории в будущем. Представляется самоочевидным,  что абсолютную защиту от взлома гарантировать невозможно.  Раз так, любые цифровые инструменты обеспечения имущественных  прав и поддержки доверия к ним выглядят заведомо уязвимыми. Любые правоотношения и юридически значимые действия в цифровой среде — условно легитимными и заслуживающими этого самого доверия.

Между тем заявленная картина случившегося не выглядит безупречной.

Во-первых, решительно непонятно, зачем были нужны все эти сложности — лютые хакеры, выезд в лес и прочая конспирация, — если можно «мутить» намного, намного проще.  И дешевле, что всегда немаловажно. В январе этого года был осуждён руководитель аппарата Дарницкого районного суда столицы. Смекалистый служитель Фемиды успешно решал точно такие же задачи, как вышеупомянутая преступная группа. Подшивая к реальным архивным делам посторонние материалы, отражавшие интересы заказчиков, он фальсифицировал формальные основания для перерегистрации имущественных прав.

Действуя намного более простыми средствами, без многочисленных  сообщников, джипов, хакеров и прочего  антуража, сотрудник суда успешно совершил, как минимум, 22 преступления. Большего доказать не удалось, но это и не важно  в контексте нашего разговора. Важно то, что мошенник отделался штрафом в 17 тыс. грн., т.е. чуть менее чем 500 долларов из нескольких сотен тысяч неправомерной выгоды, доказанной на суде. Поразительно, но его взял на поруки судейский коллектив родного суда. Иными словами, подобные экзерсисы не рассматриваются в этой среде как нечто из ряда вон выходящее, а замешанные в них люди остаются вполне рукопожимаемы.

При этом, во-вторых, версия с хакерами выводит из-под удара нотариусов и регистраторов, чьими ключами оказались заверены противоправные действия. Практика «чёрного нотариата» имеет место в Украине, как минимум, с конца девяностых. По мнению людей осведомлённых, последние лет десять она носит массовый характер, т.е. сотни инцидентов в год. Однако раньше «чёрные  нотариусы», в силу очевидной противоправности своих действий, были вынуждены тщательно избегать встреч с прессой и пострадавшими. Теперь же у них появилась возможность сваливать всё на вездесущих и всемогущих хакеров.

Не так давно  автор назвал три сюжета, развитие которых можно рассматривать как функциональный тест для администрации Зеленского:

  1. Проблема с персональными данными, которые накапливаются «платформой электронного здравоохранения». Обзор вопроса здесь.
  2. Проблема с переходом н азащищённые хранилища для ключей, которые используются для ЭЦП. Эмоциональная реплика на сей счёт здесь.
  3. История с компрометацией дочернего предприятия Госспецсвязи, которое в 2016 году противоправно выпустило ключ для ЭЦП, зарегистрированный на члена НАЗК Руслана Рябошапку. Кратенько здесь.

Теперь к ним можно добавить четвёртый — рассмотрение и принятие решений об ответственности нотариусов и гос. регистраторов, чьи ключи доступа были использованы для совершение противоправных  манипуляций с госреестрами. Если им погрозят пальчиком, поставят на вид и скажут быть на будущее более внимательными, значит схема с некими «хакерами» рабочая и ребята будут «мутить» дальше. Если виновные, как минимум, в халатном отношении к безопасности ключей, понесут адекватное, т.е. достаточно суровое, наказание, это станет сигналом о реальной опасности «баловства» с ключами.

Кстати, по третьему сюжету теоретически можно было  бы ожидать серьёзных  подвижек. Мало того, что Руслан Рябошапка, на имя которого в 2016 году дочернее предприятие Госспецсвязи выпустило подложные ключи, занял кресло генерального прокурора. Другой фигурант той истории, Антон Геращенко, стал заместителем министра МВД. Теоретически, слаженными усилиями МВД и прокуратура могли бы быстро выяснить все обстоятельства, включая личность заказчиков и организаторов самого громкого случая компрометации национальной инфраструктуры доверительных услуг. Это в теории, а как оно  будет на практике, мы скоро узнаем. Мнения есть разные.

Пока же потребители цифровых доверительных услуг, так или иначе завязанных на  украинское государство,  могут сделать, как минимум, следующие выводы:

Хранилища секретных ключей в обязательном порядке должны быть оснащены механическими элементам, без физического воздействия не которые обращение к ключам невозможно. Это  необходимо, чтобы минимизировать риск скрытого обращения к ключам резидентными «зловредами».

Коль скоро государство не в состоянии предотвратить массовые злоупотребления цифровыми инструментами поддержки доверия, оно обязано  предоставлять максимум информации об этой проблеме, включая технические подробности инцидентов, а также общую статистику пользования такого рода инструментами. Это необходимо, чтобы рассчитывать вероятность взлома, кражи и других форм компрометации. Попросту говоря, выяснять риски, причём в численной форме. Без этого никакое полноценное управление ими, а также развитие рынка соответствующих инструментов попросту невозможны.

Существующие на местном рынке инструменты обеспечения доверия представляют ограниченную ценность. В связи с этим целесообразно, с одной стороны,  искать возможность использовать иные цифровые средства, в том числе опирающиеся на иные юрисдикции, иные схемы доверия. С другой — не  увлекаться использованием цифровых инструментов в тех случаях, когда на кону достаточно много, слишком много.

В целом проблема «чёрных регистраторов» является отличной, предельно наглядной иллюстрацией тех вызовов, с которыми неизбежно столкнутся любые попытки перейти от слов про «государство в смартфоне» к практическим делам.

Автор: Роман Химич; Mediasat

Exit mobile version