Държавната агенция „Електронно управление“ (ДАЕУ) разполага със софтуерно решение за превенция на злоупотребата с лични данни чрез съвременни криптографски технологии, включително блокчейн.
Продуктът LogSentinel предоставя сигурна одитна следа и защитава интегритета на данните в държавни регистри и достъпа до тях, като записва всеки достъп до лични данни през централния компонент за свързаност на държавните регистри RegiX, поддържан от ДАЕУ.
[related-posts]
Това означава, че решението прави практически невъзможен всеки опит за промяна или изтриване на следа на достъпа до лични данни през централните компоненти на електронното управление и гарантира надеждна защита на данните.
Неограничен лиценз за продукта беше предоставен на Агенцията чрез дарение от изпълнителния директор на компанията LogSentinel Божидар Божанов и прието от председателя на ДАЕУ Атанас Темелков. Подобна практика се случва за първи път в България и е вдъхновена от примера на естонски разработчици, които даряват на естонската държава решение за защита на здравните записи на гражданите в държавни регистри.
Стойността на дарението възлиза на 12 500 евро, които ще бъдат ежегодно спестявани от бюджетите на всяко отделно ведомство. Дарителят LogSentinel предвижда и безплатно обучение на служители на Държавната агенция „Електронно управление“ за работа с едноименния продукт.
Софтуерното решение може да бъде използвано от всички администрации в зависимост от тяхната готовност. Нормативните изисквания за сигурна одитна следа са записани в Наредбата за общите изисквания към информационните системи, регистрите и електронните административни услуги.
2 коментара
Страхувам се, че пак някой хвърля прах в очите на хората.
Блоковите вериги (БВ за по-кратко) могат да гарантират целостта на данните и евентуална промяна ще е проследима, това е безспорно. Но, одитирането на достъпа не е новост, може да се реализира и без БВ.
Допълнително трябва да отбележа, че разгледах сайта на LogSentinel и съм силно подозрителен относно полезността на системата.
В секцията “Comparing Database State” се говори как може клиентския софтуер да прави валидация срещу записи в LogSentinel, но са допуснати няколко изключително съществени грешки:
1. След като LogSentinel е web услуга, защо г-н Божанов смята, че атакуващият ще е достатъчно кадърен да промени записи в базата данни, дори да обнови локални hash стойности, но по никакъв начин няма да му хрумне да направи нов, валиден запис в LogSentinel?!?
И как точно се следи база данни с голяма натовареност (хиляди/милиони промени на ден), разпределена на множество възли, с евентуална консистентност (eventually consistent databases)?
Правенето на запис за всяка промяна ще е огромен трафик сам по себе си, а обработката на партиди (batch) ще позволи вмъкването на промени без да бъдат забелязани.
2. След като атакуващият е успял да получи достъп директно до базата данни, значи може да изтегли цялото съдържание без да остави никаква диря в LogSentinel.
Не е задължително атакуващият да иска да променя данните, по-вероятно е само да иска да ги докопа.
3. Ако атакуващият използва чужди права за достъп (impersonation), очевидно тази система нищо няма да направи по въпроса. Да, ще остане запис, ако имплементацията е правилна.
От една страна записът ще е напълно валиден, освен ако не е в 2 през нощта.
От друга страна, LogSentinel е услуга, която може да бъде неправилно внедрена в съответния софтуер. Т.е. следа може и да не остане.
Следователно, тази услуга може да не помогне по никакъв начин за ограничаване на достъпа до данните.
Една от огромните грешки при разработка на софтуер (библиотека / услуга) свързан с криптография и сигурност е приемането, че потребителите на този софтуер разбират от сигурност и криптография и ще използват продукта “по правилния начин”.
Няма нищо по-невярно от това. Тук с пълна сила важи правилото, че ако нещо има шанс да се обърка, то със сигурност ще се обърка.
Пример в това отношение са стотиците слабости дори в самите криптографски библиотеки (Heartbleed …).
В този смисъл, смятам че статията силно преекспонира полезността и възможностите на услугата.
Аз се чудя, как още не са се сетили да пазят националната сигурност с блокчейн технология. Като някоя армия ни нападне на границата, то ще им дадем задачка да се идентифицират с блокчейн и като не успеят ще им кажем да си ходят… 😉