El. parašas dar negarantuoja sutarties tvirtumo: saugumo ekspertas atskleidė skaitmeninių dokumentų spragą

Daugiau nei kas trečias – tiek Lietuvos gyventojų naudojasi kvalifikuotu el. parašu, juo pasirašydami skaitmeninius dokumentus. Tačiau rizikos valdymo, kibernetinio saugumo ir kitas konsultacines paslaugas verslui teikiančios bendrovės „Advisense“ specialistai teigia daugelio naudojamuose skaitmeniniuose dokumentuose atradę svarbią saugumo spragą, rašoma pranešime žiniasklaidai.

„Advisense“ kibernetinio saugumo eksperto Giedriaus Bagaliūno teigimu, skaitmeninius dokumentus, kurių plėtinys – PDF, galima modifikuoti taip, kad juose atvaizduojamas turinys atrodys skirtingai skirtingu laiku.

„Pavyzdžiui, jei iki tam tikros datos dokumente galite matyti vienokią informaciją, po jos pamatysite visai kitą informaciją, ir tokį dokumentą galima pasirašyti el. parašu. Nors PDF plėtinio failai – labai sudėtingi, palyginti nesunku įterpti tam tikrą programinį kodą, kuris, priklausomai nuo laiko, gali kisti, net jei dokumentas ir skirtas archyvavimui“, – teigia G. Bagaliūnas.

Paslaptis – sluoksniai

Anot specialisto, PDF formato dokumentai yra sudaryti iš daugybės elementų, į kuriuos galima įterpti programinį kodą, parašytą „JavaScript“ kalba.

„Archyviniuose dokumentuose, kokie ir yra su PDF plėtiniu, nesunku įdiegti dinaminį turinį, kuris, priklausomai nuo sukurtų sąlygų, gali keistis, ir keistis iš esmės. Ši problema gana ilgą laiką nebuvo žinoma, kol jos neatradome eilinio tyrimo metu. Laimei, visi keturi kvalifikuoto el. parašo paslaugos teikėjai jau ėmėsi sprendimų apsaugoti vartotojus nuo netinkamų dokumentų pasirašymo“, – sako G. Bagaliūnas.

Ekspertas paaiškina, kad vienas iš teikėjų nebeleidžia pasirašinėti skaitmeninių dokumentų, kuriuose yra įdiegtas „JavaScript“ kodas. Tuo metu kiti iššokančiais pranešimais įspėja savo vartotojus apie tai, kad dokumente yra dinaminis kūrinys ir jo nevertėtų pasirašyti.

„Nors kvalifikuoto el. parašo infrastruktūrą prižiūri Ryšių reguliavimo tarnyba, paties dokumento sukūrimas nėra licencijuojama paslauga – tokius dokumentus gali sukurti kiekvienas. Kreipėmės ir į Nacionalinį kibernetinio saugumo centrą – jie taip pat pastebi aiškią saugumo spragą ir yra suinteresuoti imtis pokyčių“, – tikina „Advisense“ atstovas.

Sprendimas – yra, galimybių – kol kas ne

Siekiant apsaugoti sukurtus skaitmeninius dokumentus ir paversti juos tinkamus archyvavimui, yra sukurtas specialus – PDF/A formatas. Juo išsaugotus dokumentus galima peržiūrėti vienodai skirtingose programose, nepriklausomai nuo to, koks prietaisas yra naudojamas. Į tokio tipo dokumentus neįmanoma įdiegti jokio dinaminio turinio, todėl failas matomas toks, koks ir buvo sukurtas, o esant poreikiui, ir pasirašytas.

Kaip nurodo G. Bagaliūnas, PDF/A plėtinys naudojamas ir Lietuvoje. Be to, Lietuvos vyriausiojo archyvaro tarnyba yra sukūrusi PDF-LT dokumentų formatą, kuris naudoja PDF/A plėtinį.

Vis dėlto, pasak saugumo eksperto, konvertuoti dokumentus į šį formatą yra sunku – nors „Microsoft“ programos palaiko tokią funkciją, realiai jomis eiliniam vartotojui pasinaudoti vargiai pavyks.

„Kol kas nėra bendrų reikalavimų, kaip išvengti dviprasmybių el. parašu pasirašant skaitmeninius dokumentus. Tačiau pastebime suinteresuotų šalių – Nacionalinio kibernetinio saugumo centro ir kitų institucijų – pritarimą stiprinti tūkstančiams vartotojų svarbių paslaugų saugumą“, – teigia „Advisense“ kibernetinio saugumo ekspertas G. Bagaliūnas.