Заплахата „Търговски регистър“

Една от най-използваните онлайн платформи от бизнеса е Търговският регистър, в който се намира цялата информация за съществуващите у нас фирми, чуждестранни клонове и свързаните с тях факти и обстоятелства. Нещо повече, регистърът може да се похвали, че отдавна вече е електронен и дава възможност на човек да заявява и получава справки изцяло онлайн. На теория достатъчно условие, за да се ползва пълната база данни на Регистъра, е наличието на електронен подпис.

А дали е достатъчно?

Не, реално не е така. Всеки, понечил да вкара в употреба своя е-подпис при използването на електронни услуги на Търговския регистър, бързо установява, че има нещо счупено. Проблемът обаче не е в идентификатора, а в технологията, на която е базирана самата платформа. Доста стара и, според експерти, дори опасна платформа, от гледна точка на сигурността.

При опит за справка системата подканва потребителя да актуализира Java приставката, но не до най-актуалната, а задължително до седмата ѝ версия. След дълги главоблъсканици, съвети от форуми и консултации със служители на Агенцията по вписванията, която стопанисва Търговския регистър, човек накрая стига до следния извод: пълната функционалност на платформата може да бъде използвана през компютърно устройство, не с какъв да е браузър, а единствено със архаичния Internet Explorer (IE).

Причината? За да работи Търговският регистър, е необходимо машината да има инсталирана Java и браузър, който поддържа Java Applet плъгини. Към днешна дата единственият такъв е IE, всички останали – Chrome, Firefox, Safari, Opera и Edge (наследникът на Internet Explorer), още преди години спряха поддръжките на тези приставки.

Технологии от старо време...

Плъгините, или приставките, са софтуерна технология от  миналия век. През 90-те години те се използваха активно, за да се предостави на потребителя допълнителна функционалност към браузъра. Освен Java Applet плъгини, популярни са още Flash, Silverlight, QuickTime и Unity.

Що се отнася до Internet Explorer, той бе основният браузър по подразбиране в Windows в продължение на две десетилетия, преди през 2015 г. да бъде окончателно заменен от Edge. Повечето потребители използват Chrome, Firefox или Edge, но редица фирми продължават да разчитат на Internet Explorer за някои по-стари уеб приложения, които все още не са модернизирани. Въпреки че Microsoft опитва различни начини да накара бизнеса да се поправи, IT администраторите често предпочитат да се поддадат на по-лесния път и да използват Internet Explorer.

Поука не си взема и Търговският регистър, чиято стара информационна система не се модернизира, поради което трябва да разчита на морално остарели технологични решения, които да ѝ бъдат патерици, за да може да предлага на гражданите услуги по съвременен електронен път.

... а и несигурни

Още през 2016 г. Oracle, разработчикът на Java Applet плъгините, обяви, че постепенно ще изостави поддръжката им. Причината е, че те не само са отживяла технология, но и крият голям брой проблеми и уязвимости. „Използването на стара технология е свързано със сериозни рискове от хакерски атаки към ползвателите на системата, особено когато се използва с цел управление и подписване на дигитални сертификати“, коментира пред Economic.bg Красимир Коцев, основател на компанията за киберсигурност SoCyber.

„Търговският регистър работи със стари версии на Java и стари браузъри, в които може да има уязвимости. Засега не ми е известно такива, които оказват влияние на работата с платформата да са открити, но рискът от това остава“, допълва Божидар Божанов, софтуерен инженер и експерт по електронно управление.

Що се отнася до Internet Explorer, вече дори създателят му Microsoft настоява потребителите да спрат използването на морално и технически остарелия браузър. Компанията преустанови поддръжката на версии 8 и 9 още през 2016 г. Тези на десетата ще спрат окончателно през януари 2020 г. Някакви грижи все още се полагат за 11-ата.

„Препоръчително е обаче да не се използват версии на IE от преди 12.01.2016, тъй като старите версии крият множество уязвимости от всякакъв характер. Справка в www.exploit-db.com показва и наличието на уязвимости от 2017 и 2018, свързани с JavaScript и изпълнението на отдалечен код“, коментира още Красимир Коцев. По негови думите, съществуват различни опасности за потребителите, в зависимост от това каква версия на Java и Internet Explorer използват, както разбира се и каква операционна система. „Трудно е да се потвърди дали конкретна атака е възможна, тъй като всяка е различна в зависимост от горните критерии. Бърза справка в www.cvedetails.com показва наличието на 16 различни уязвимости, свързани с JRE, като всяка е приложима за специфична версия“, изтъква още Коцев.

Модернизация на електронното подписване

Трудностите и потенциалните проблеми за сигурността от работата с Търговския регистър на практика възникват, когато потребителят реши да използва електронния си подпис за някоя функционалност. В тази връзка държавната администрация има и друг пример – на Национална агенция за приходите (НАП), която отдавна въведе подписване, без нужда от Java Applet. „То отново използва Java, но тя е просто инсталирана на компютъра, като може да се използва със всеки браузър и реално не е забранена технология. Локално инсталираната Java може да бъде обновявана и подписването да работи“, обяснява Божидар Божанов.

Друг вариант, според него, е дълго отлаганият проект за електронна идентификация. Идеята е да се разработи единно приложение, което гражданите да инсталират веднъж на компютъра си и то да се грижи за комуникацията между браузъра и електронния подпис. „Още един вариант е използване на отдалечено подписване (remote signing), каквото някои доставчици вече предоставят, но все още не е налична интеграция с електронни услуги, освен някои пилотни проекти, като този на Община Бургас с доставчика ЕвроТръст“, обръща внимание Божанов.

Той е категоричен, че достатъчно сигурни технологии са налични отдавна, но „у нас влизат със закъснение, тъй като държавата е бавна при възприемането им“. Според Божанов бъдещето е по-скоро свързано с използването на смартфона. „До скоро той не предоставяше достатъчно ниво на сигурност за съхранение на ключове (от каквито имат нужда електронния подпис и електронната идентичност), но в последните години нещата значително се подобриха и според мен смартфонът ще бъде естественият механизъм за електронна идентичност и електронно подписване“, смята експертът.

Използването на смартфона може да бъде комбинирано с отдалеченото подписване, при което ключовете стоят на сървър на доставчика, но при всички положения достъпът на потребителя ще бъде през смартфон. За целта обаче трябва електронните услуги да поддържат такава опция. „В правилника за прилагане на Закона за електронна идентичност е предвиден и такъв процес на идентификация, така че поне откъм нормативна уредба имаме готовност да посрещнем новостите“, казва още Божанов.

Коренът на проблема

Опитът показва, че за несъвършенствата си държавата най-често се оправдава с липсата на финансов ресурс. В днешно време обаче такъв може да бъде осигурен не само от националния бюджет, но и по различни оперативни програми. В случая с информационната система на Търговския регистър, например по ОП „Добро управление“. „А и това не би струвало кой знае какво“, смята Божидар Божанов.

„Когато вече системата се използва, е по-сложно да се подменят или интегрират нови модули“, обръща внимание Борис Гончаров, главен експерт по киберсигурност в "Аматас". Според него такива инвестиции трябва да се планират внимателно, още повече говорейки за цялостна екосистема от електронни услуги.

Тук трябва да се спомене, че е планирано изграждането на единна информационна система между Националния статистически институт (НСИ), Националната агенция за приходите (НАП) и Агенцията по вписванията. Тя например ще позволи попълването на електронен документ, подаден в НСИ, автоматично да послужи и за целите по публикуването на годишния финансов отчет, подлежащ на обявяване в Търговския регистър. Очаква се, че това ще доведе до намаляване на административната тежест за бизнеса с над 9 млн. лв. годишно.

Нищо чудно, предвид планираното надграждане, модернизирането на системата на Търговския регистър също да се отлага умишлено, за да се стикова с този план. За това обаче може само да гадаем, тъй като от институцията така и не върнаха отговори на изпратените от Economic.bg въпроси по темата.

Независимо от всичко, остава въпросът защо държавата в лицето на Агенцията по вписванията допуска години наред платформата на Търговския регистър, събираща критично важна за националната сигурност информация, да стои уязвима от кибернетична гледна точка. Да, досега не е известно да има извършени атаки, но рисковете съществуват.

„Старите и не поддържани версии на софтуери оставят завинаги уязвими. Това трябва да се избягва, винаги когато става въпрос за чувствителна информация. Действията по нейната обработка и съхранение винаги трябва да са обезпечени с последните сигурни версии на софтуера“, убеден е Борис Гончаров.

Затова и в случая „по-скоро липсва яснота за сериозността на проблема или желание той да бъде решен – използването на електронни услуги у нас е ниско, и дори те да съществуват, тяхното поддържане рядко е приоритет“, смята от своя страна Божидар Божанов.

Всички помним последствията от спирането на Търговския регистър миналата година, когато една от най-важните бази данни в държавата остана блокирана 18 дни. Тогава бе обяснено, че причината са няколко изгорели диска. Според експерти възстановяването на информацията при наличието на добре поддържани резервни копия (back up) на отделни сървъри би отнело по-малко от ден. Безпрецедентният казус повдигна множество въпроси за методите на опазване на информация от национална сигурност и потенциалните щети от нейното погубване и подмяна.

Сега може само да спекулираме какви последици може да има от наличните киберуязвимости на морално остарялата информационна система на Търговския регистър. Докато тя не бъде компрометирана.