Председателят на ДАЕУ Атанас Темелков (вляво) получи лиценз за блокчейн софтуер от управителя на LogSentinel Божидар Божанов (снимка: ДАЕУ)
Държавната агенция „Електронно управление“ (ДАЕУ) разполага със софтуерно решение за превенция на злоупотребата с лични данни чрез съвременни криптографски технологии, включително блокчейн.
Продуктът LogSentinel предоставя сигурна одитна следа и защитава интегритета на данните в държавни регистри и достъпа до тях, като записва всеки достъп до лични данни през централния компонент за свързаност на държавните регистри RegiX, поддържан от ДАЕУ.
Това означава, че решението прави практически невъзможен всеки опит за промяна или изтриване на следа на достъпа до лични данни през централните компоненти на електронното управление и гарантира надеждна защита на данните.
Неограничен лиценз за продукта беше предоставен на Агенцията чрез дарение от изпълнителния директор на компанията LogSentinel Божидар Божанов и прието от председателя на ДАЕУ Атанас Темелков. Подобна практика се случва за първи път в България и е вдъхновена от примера на естонски разработчици, които даряват на естонската държава решение за защита на здравните записи на гражданите в държавни регистри.
Стойността на дарението възлиза на 12 500 евро, които ще бъдат ежегодно спестявани от бюджетите на всяко отделно ведомство. Дарителят LogSentinel предвижда и безплатно обучение на служители на Държавната агенция „Електронно управление“ за работа с едноименния продукт.
Софтуерното решение може да бъде използвано от всички администрации в зависимост от тяхната готовност. Нормативните изисквания за сигурна одитна следа са записани в Наредбата за общите изисквания към информационните системи, регистрите и електронните административни услуги.
Страхувам се, че пак някой хвърля прах в очите на хората.
Блоковите вериги (БВ за по-кратко) могат да гарантират целостта на данните и евентуална промяна ще е проследима, това е безспорно. Но, одитирането на достъпа не е новост, може да се реализира и без БВ.
Допълнително трябва да отбележа, че разгледах сайта на LogSentinel и съм силно подозрителен относно полезността на системата.
В секцията “Comparing Database State” се говори как може клиентския софтуер да прави валидация срещу записи в LogSentinel, но са допуснати няколко изключително съществени грешки:
1. След като LogSentinel е web услуга, защо г-н Божанов смята, че атакуващият ще е достатъчно кадърен да промени записи в базата данни, дори да обнови локални hash стойности, но по никакъв начин няма да му хрумне да направи нов, валиден запис в LogSentinel?!?
И как точно се следи база данни с голяма натовареност (хиляди/милиони промени на ден), разпределена на множество възли, с евентуална консистентност (eventually consistent databases)?
Правенето на запис за всяка промяна ще е огромен трафик сам по себе си, а обработката на партиди (batch) ще позволи вмъкването на промени без да бъдат забелязани.
2. След като атакуващият е успял да получи достъп директно до базата данни, значи може да изтегли цялото съдържание без да остави никаква диря в LogSentinel.
Не е задължително атакуващият да иска да променя данните, по-вероятно е само да иска да ги докопа.
3. Ако атакуващият използва чужди права за достъп (impersonation), очевидно тази система нищо няма да направи по въпроса. Да, ще остане запис, ако имплементацията е правилна.
От една страна записът ще е напълно валиден, освен ако не е в 2 през нощта.
От друга страна, LogSentinel е услуга, която може да бъде неправилно внедрена в съответния софтуер. Т.е. следа може и да не остане.
Следователно, тази услуга може да не помогне по никакъв начин за ограничаване на достъпа до данните.
Една от огромните грешки при разработка на софтуер (библиотека / услуга) свързан с криптография и сигурност е приемането, че потребителите на този софтуер разбират от сигурност и криптография и ще използват продукта “по правилния начин”.
Няма нищо по-невярно от това. Тук с пълна сила важи правилото, че ако нещо има шанс да се обърка, то със сигурност ще се обърка.
Пример в това отношение са стотиците слабости дори в самите криптографски библиотеки (Heartbleed …).
В този смисъл, смятам че статията силно преекспонира полезността и възможностите на услугата.
Аз се чудя, как още не са се сетили да пазят националната сигурност с блокчейн технология. Като някоя армия ни нападне на границата, то ще им дадем задачка да се идентифицират с блокчейн и като не успеят ще им кажем да си ходят… 😉