Portalas delfi.lt rašo, kad į elektroninę erdvę besikeliančios duomenų sistemos ir jose esantys duomenys gali tapti lengvu piktavalių grobiu.
Per Elektroninius valdžios vartus gyventojai gali deklaruoti gyvenamąją vietą, pajamas ir turtą, gauti duomenų suvestines iš „Sodros“ bei pateikti prašymus pašalpoms, išmokoms, pensijomis ir kompensacijoms.
„Teoriškai žmogus per portalą turėtų galėti prisijungti tik prie savo duomenų. Tačiau praktiškai gali prisijungti prie bet kurio žmogaus – tereikia žinoti to žmogaus asmens kodą“, – teigė informacinio saugumo užtikrinimo paslaugas teikiančios bendrovės „Critical Security“ direktorius Miroslavas Lučinskis.
Pasak M. Lučinskio, siūloma paslauga pritaikyta elektroninių tapatybės kortelių sistemai – jungdamasis turėtum patvirtinti tapatybę nuskaitydamas savo asmens tapatybės kortelėje esančius skaitmeninius sertifikatus, kurie, suvedant asmens tapatybės kortelės PIN kodą, būtų pasirašyti privačiu raktu.
„Tačiau realybėje sistema blogai realizuota – pakeitus tam tikrus duomenis serveriui siunčiamame autentifikacijos pakete, su savo asmens tapatybės kortele gali prieiti prie bet kurio žmogaus duomenų ar jo vardu naudotis elektroninėmis paslaugomis“, – aiškino M. Lučinskis.
Kita reikšminga spraga specialistas laiko tai, kad vartotojo identifikavimui naudojamas vadinamasis viešas skaitmeninis sertifikatas, kurio nuskaitymui iš kortelės nereikia žinoti jos PIN kodo.
„Tai reiškia, kad trumpam pasiskolinus kortelę ir nuskaičius iš jos skaitmeninį sertifikatą, prie elektroninių paslaugų galima jungtis to žmogaus, kuriam priklauso dokumentas, vardu. Taip faktiškai pasisavinama jo tapatybė, taigi jeigu pirma spraga būtų ištaisyta, tai trumpam pasisavinus kortelę galima jungtis į jos savininko paskyrą“, – sakė jis.
Informacinės visuomenės plėtros komitetas žada, kad saugumo spraga bus greitai pašalinta.
„Komitetas mano, kad sukurta sistema saugi“, – teigė komiteto Tarpžinybinių duomenų valdymo skyriaus vedėjas, projekto vadovas Algirdas Trakimavičius.
Tačiau, pasak A. Trakimavičiaus, norint pasinaudoti šia spraga būtina aukšta kompetencija sistemų saugos srityje, o įprastiniams interneto naudotojams pasinaudoti tokia spraga esą nebūtų įmanoma.
