Często zdarzały się przypadki kradzieży haseł z platform elektronicznych, poprzez które zamawiający mają dostęp do systemu zamówień publicznych ProZorro.
Po otrzymaniu takiego dostępu atakujący może uzyskać pełną informację o twojej ofercie przetargowej i cenowej oraz wykorzystać jako przewagę konkurencyjną na aukcji, zmodyfikować dokumentację licytacji, co może skutkować dyskwalifikacją lub w ogóle wyeliminowaniem udziału w przetargu.
Ostatnio podobny incydent odbył się 3 maja bieżącego roku. Nieznane osoby złamały e-mail jednego z uczestników i w jego imieniu złożyły wniosek o odzyskanie hasła na platformie elektronicznej. Identyfikacja osoby na platformie w większości przypadków odbywa się za pośrednictwem poczty e-mail, która jest jednocześnie loginem użytkownika, a zatem taka aplikacja została zaakceptowana automatycznie.
Po uzyskaniu dostępu do platformy transakcyjnej atakujący odwołali skargę uczestnika na dyskryminujące warunki dokumentacji przetargowej, nawet po zaakceptowaniu jej do rozpatrzenia przez Komitet Antymonopolowy Ukrainy. Ponowne złożenie takiej skargi było niemożliwe z przyczyn technicznych związanych z wygaśnięciem terminu na takie oskarżenie.
Obecnie rozstrzygnięciem tej sprawy zajmuje się Departament Cyberpolicji Ukrainy.
Kwalifikowany podpis elektroniczny (KPE)
W dniu 7 listopada 2018 r. weszła w życie ustawa Ukrainy „O elektronicznych usługach zaufania”, która wyeliminowała „elektroniczne podpisy cyfrowe” na Ukrainie (wcześniej wydane klucze będą działać jeszcze dwa lata) i wprowadziła nową koncepcję „kwalifikowanego podpisu elektronicznego”.
Aby zabezpieczyć się przed kradzieżą hasła, konieczne jest zalogowanie się nie poprzez konto, a jedynie za pomocą „kwalifikowanego podpisu elektronicznego”.
KPE to zaawansowany podpis elektroniczny, który nakładany jest przy pomocy klucza prywatnego i sprawdzany poprzez specjalny program (klucz otwarty). System podpisu cyfrowego zakłada, że każdy użytkownik sieci ma swój własny klucz prywatny, który jest wtajemniczony i nikt oprócz właściciela nie ma dostępu. Metoda obliczania KPE zapewnia, że taki system może zapobiec fałszowania podpisu.
Aby uzyskać dostęp do platformy elektronicznej, można zamówić KPE bezpośrednio w ukraińskich akredytowanych centrach certyfikacji. Z kolei zobowiązujące ustawodawstwo Ukrainy nie zakazuje uzyskiwania KPE przez cudzoziemców.
Wprowadzenie identyfikacji elektronicznej zgodnie ze standardami międzynarodowymi
Przypominamy, że na Ukrainie kontynuowana jest procedura wprowadzania identyfikacji elektronicznej zgodnie ze standardami międzynarodowymi, czyli wzajemne uznawanie ukraińskich i zagranicznych certyfikatów kluczy i podpisów elektronicznych. Oznacza to, że identyfikatory elektroniczne wydane na Ukrainie można wykorzystywać za granicą, z kolei zagraniczne będą uznawane na Ukrainie.
Od listopada 2020 r. planuje się wydawanie kluczy osobistych do KPE będzie przeprowadzane wyłącznie na specjalnych nośnikach informacji, aby wykluczyć jakąkolwiek możliwość kradzieży takich kluczy przez Internet.
Wdrożenie tego wymogu prawa oznacza jednak zawarcie odpowiednich umów międzynarodowych dotyczących uznawania systemów identyfikacji elektronicznej i proces ten dopiero się rozpoczął w tym roku.
{ 0 komentarze… dodaj teraz swój }