Drošs elektroniskais paraksts un dinamiskais saturs
Latvijas kiberdrošības pētnieks, Possible Security dibinātājs, Kirils Solovjovs, ir aktualizējis jautājumu par to, kā, izmantojot dažādas .docx un .odt teksta dokumentu formātos pieejamās funkcijas, krāpniekiem ir iespējams radīt dokumentus, kuru datņu saturs ir nemainīgs un līdz ar to nerada šaubas par digitālā paraksta derīgumu, taču faktiskā lietotājam attēlotā dokumenta reprezentācija var atšķirties. Tas nozīmē, ka krāpnieki biroja lietojumprogrammu radītajās dokumenta formāta datnēs var iekļaut dinamisko saturu.
Kas ir dinamiskais saturs un kā tas darbojas?
Dinamiskais saturs var būt dažāds. Piemēram, ik reizi, atverot dokumentu, ja tajā ir iekļauts dinamiskais saturs, var mainīties dokumenta parakstīšanas datums vai paraksta licēja vārds.
Droši kvalificēta elektroniskā paraksta rīki, kas Latvijā ir eParaksts un Smart-ID, nodrošina parakstīto datu integritāti, izmantojot datu kontrolsummas šifrēšanu ar kādu no kriptogrāfijas algoritmiem. Gadījumā, ja parakstītajā dokumentā tiek veiktas kādas izmaiņas, kontrolsumma nesakritīs un paraksts tiks identificēts kā nederīgs. Taču dinamiskā satura gadījumā tas nozīmē, ka datu kontrolsumma paliks nemainīga, jo jau parakstīšanas brīdī dinamiskais saturs ir bijis iekļauts dokumentā un parakstīts tiek dinamiskais kods. Tāpēc, pat atainojot iekļauto, izmainīto dinamisko saturu, dokumenta paraksts tiks atainots kā derīgs.
Šeit ir svarīgi uzsvērt, ka šāda potenciāli ļaunprātīga vai krāpnieciska rīcība kā dinamiskā satura ievietošana nekādā gadījumā nav saistīts ar elektroniskā paraksta kā tāda vai kādas konkrētas tehnoloģijas drošību. Pievienojot un parakstot dinamisko saturu, krāpnieki izmanto lietotāju zināšanu nepilnības par biroja lietojumprogrammatūru radīto datņu funkcijām un biroja lietojumprogrammu iespējām vispār. Vairāk informācijas par K. Solovjova pētījumu un ieteikumus risku mazināšanai var skatīt Possible Security mājas lapā: https://possible.lv/news/dross-paraksts
Jāatgādina arī, ka šī nav jauna problēma. Atbildīgajās Eiropas institūcijās par iespēju cīnīties ar dinamiskā satura iekļaušanu dokumentos diskusijas bez būtiskiem rezultātiem notiek jau aptuveni 20 gadus. Turklāt šāda problēma vienlīdz skar dokumentu parakstīšanas pakalpojumu sniedzējus visā Eiropā un pasaulē.
Kā rīkoties?
Tā kā dinamiskais saturs var tikt iekļauts lielākajā daļā ikdienā izmantojamo biroja lietojumprogrammatūru radīto datņu formātu, lai mazinātu risku ieteicams:
- izmantot eZīmogu, kas paredzēts satura integritātes un izcelsmes nodrošināšanai, tādējādi organizācijas sagatavotā datne tiek nozīmogota un otrai pusei krāpniecības iespējas būtiski mazinātas;
- fiksēt parakstīšanas brīdī redzamo dokumenta saturu, tādējādi atslēdzot dinamisko saturu, piemēram, pārtaisot saturu par bildi vai parakstot dokumentu programmās, kur tas tika sagatavots.
Ja radušās aizdomas, ka parakstītais vai parakstāmais dokuments ir ar dinamisko saturu, aicinām konsultēties ar IT drošības speciālistu, kas var apstiprināt, vai pieņēmums ir pamatots. Ja dokuments ir krāpniecisks, aicinām vērsties tiesību sargājošās iestādēs.
Vienlaikus atgādinām - ņemot vērā strauji pieaugošo elektronisko dokumentu aprites popularitāti, periodiski nepieciešams veikt darbinieku zināšanu atjaunošanu par piesardzības pasākumiem, tostarp pamatprasībām drošai elektroniskai saziņai:
- droša elektroniskā paraksta piekļuves datus un rīkus nedrīkst nodot citai personai;
- ja piekļuves dati kļuvuši zināmi citai pusei, nekavējoties jāveic piekļuves informācijas nomaiņa;
- ja drošs elektroniskais paraksts tiek lietots viedtālrunī, tā ekrānam jābūt aizsargātam ar paroli;
- parolēm, kas tiek izmantotas droša elektroniskā paraksta nesējiem, jābūt unikālām un periodiski jāveic to nomaiņa;
- saņemot dokumentu, kas parakstīts ar drošu elektronisko parakstu, nekavējoties jāveic paraksta pārbaude;
- programmatūrai un operētājsistēmai, kurā tiek parakstīts vai lasīts digitāli parakstīts dokuments, jābūt uzstādītiem visiem drošības ielāpiem.
Eiropas Parlamenta un Padomes 2014. gada 23. jūlija regula (ES) Nr. 910/2014 par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū un ar ko atceļ Direktīvu 1999/93/EK (eIDAS regula) nosaka konteinera tipa failu formātu XadES, kurā netiek ierobežoti parakstāmo datņu tipi vai formāti, līdz ar to teju jebkurā Eiropas Savienības parakstīšanas rīkā, tostarp Eiropas Komisijas finansētā atvērtā koda bibliotēkās, var izveidot parakstītu dokumentu ar dinamisko saturu. Lūdzam izvērtēt minēto apstākli un iespējamos risku mazināšanas procesus savā organizācijā, tostarp izvērtējot elektroniski parakstītu dokumentu apstrādes procesu, kā arī pieļaujamos dokumentu formātus un parakstīto dokumentu pārbaudes procesus.
2021. gada rudenī, sadarbojoties LVRTC, Possible Security, CERT.LV un SK ID Solutions, plānots organizēt drošības jautājumiem veltītu semināru, par kuru informācija tiks publicēta atsevišķi.
Informācijai:
- apraksts par Microsoft Office formātu dokumentu parakstīšanu ir pieejams: https://support.microsoft.com/lv-lv/topic/ciparparaksta-pievieno%C5%A1ana-vai-no%C5%86em%C5%A1ana-office-failos-70d26dc9-be10-46f1-8efa-719c8b3f1a2d
- apraksts par PDF formātu dokumentu parakstīšanu ir pieejams: https://helpx.adobe.com/acrobat/using/certificate-based-signatures.html
Attēls: Pixabay.com