Читать «Журнал «Компьютерра» № 10 от 14 марта 2006 года» онлайн - страница 71

Давайте представим невозможное: я обошел всю защиту и вошел в систему как полноправный пользователь. Что там можно натворить?

— Это очень непростой вопрос. Нужно очень хорошо представлять устройство платежной казначейской системы. Посторонний человек, который влезет в систему, просто не разберется — что там к чему? Что он может сделать… Простейший вариант — забить канал, слать в него какой-нибудь информационный мусор, затрудняя взаимодействие легальных пользователей. То есть обычная DоS-атака, от которой не застрахован никто, но фатальных последствий она иметь не будет. Если же злоумышленник знает систему изнутри, он может способствовать перечислению денег «не той» организации. Хотя изначально перечень абонентов в системе закрытый. Искусственно расширить его практически невозможно, поскольку список бюджетополучателей конечен, и существует специальный порядок «включения» нового участника. Нельзя просто создать собственный банковский счет и перевести на него деньги — на этом уровне злоупотребление бюджетными средствами сильно затруднено. На мой взгляд, гораздо дешевле и эффективнее растаскивать средства внутри организации-бюджетополучателя. Но на этот случай есть Счетная палата и другие надзирающие органы. Задача же Казначейства — в заданные сроки и по нужным «адресам» распределить утвержденный бюджет.

А в других странах казначейства применяют аналогичные решения?

— С точки зрения казначейств не во всех странах это реализовано так, но по похожему принципу часто строятся системы сбора налогов. Например, в Ирландии и Австралии действует то же PKI-решение, на базе которого функционирует система Казначейства РФ. Каждый гражданин Австралии подает налоговую декларацию в электронном виде; у него есть свой цифровой сертификат, которым он ее подписывает, что гарантирует авторство документа; затем ему выдается квитанция с датой и временем отправки (она нужна для того, чтобы исключить судебные споры о задержке сроков подачи налоговой отчетности).

Это другой денежный поток, но система похожая — тоже на базе решения, которое когда-то называлось UniCert. Его родоначальником была ирландская компания Baltimore, которая объединилась с еще двумя и стала называться Betrusted, а потом ее купила американская Cybertrust. Несмотря на частую смену имен эта система входит в тройку крупнейших мировых производителей PKI-решений. Все разработчики (около двухсот человек) до настоящего времени работают в Ирландии. Локализация для России не делалась — фактически потребовалось добавление средств криптографии, предусмотренных отечественным законодательством. Это и было сделано нами совместно с «Крипто-Про» и «Балтимором».

Кстати, одним из требований Казначейства была реализация всех механизмов криптографии только на базе российских алгоритмов. Соответственно, был разработан совместный продукт, получивший название «Юнисерт-ГОСТ»; на данный момент это единственный зарубежный пакет, получивший сертификат ФСБ РФ. На нем и построена система, о которой мы говорим.