Teoriškai VMI deklaravimo sistema nesaugi

Publikuota: 2009-10-22
Atnaujinta 2015-06-03 12:36

Valstybinės mokesčių inspekcijos
Elektroninio deklaravimo sistemoje naudojamas pačios inspekcijos sukurtas
tapatumo sertifikatas gali būti nesaugus, nors žalos galimybė yra tik teorinė,
teigia informacijos saugos vadybos ir sertifikatų platinimo
bendrovės Lietuvoje.

IT specialistai atkreipia dėmesį, kad Valstybinės mokesčių inspekcijos (VMI) deklaravimui skirtame tinklalapyje http://deklaravimas.vmi.lt/ spustelėjus nuorodą "Sudariusiems sutartis AVMI skyriuose" naršyklėje iššoka pranešimas, kad tapatumo SSL sertifikatas yra nepatvirtintas. Tas pats perspėjimas skelbiamas ir jungiantis prie Elektroninio deklaravimo sistemos (EDS) pro elektroninės bankininkystės vartus.SSL sertifikatas, anot juos platinančios UAB "Hostex", yra privalomas interneto parduotuvėms, e-bankininkystės sistemoms, finansiniams tinklapiams ir kitiems, dirbantiems su konfidencialia informacija. Tapatumo sertifikatą VMI yra sukūrusi pati.Martynas Nikolajevas, "Hostex" verslo plėtros direktorius, teigia, kad pačios VMI naudojamas sertifikatas gali būti prilygintas situacijai, kai asmuo pats sau išduoda pasą."Fiziniai ir juridiniai asmenys, deklaruojantys duomenis, negali būti tikri, jog šie siunčiami būtent į VMI svetainę", - sako p. Nikolajevas."Hostex" skaičiavimais, SSL sertifikatas Valstybinei mokesčių inspekcijai per metus atsieitų nuo 400 Lt. Palyginimui, banko "Swedbank" tinklalapyje naudojamas kone 1.400 Lt metams kainuojantis sertifikatas.

Pati save sertifikavo

Ponui Nikolajevui antrina informacijos saugos vadybos UAB "Synegry Consulting" vadovas Tyrūnas Jokubauskas."Informacijos nutekėjimas gali padaryti materialią ir nematerialią žalą. Tai, kad tas sertifikatas yra jų pačių sugeneruotas, nėra tokia didelė bėda, nes į deklaravimo sistemą patenkama iš banko. Duomenų tarnybą galima apgauti, tačiau tai technologiškai yra labai sudėtinga. Nepaisant to, kad tai yra tik teorinė galimybė, realiai pati VMI neturėtų sertifikuoti savęs", - dėsto p. Jokubauskas.Anot p. Jokubausko pranešimas apie netinkamą sertifikatą galimas trimis atvejais: kai sertifikato galiojimas pasibaigęs, taip pat, kai nepatikimas sertifikuotojas arba neatitinka svetainės adresas. Jis pažymi, kad šiuo atveju problema slypi tame, kad VMI "pati save sertifikavo".Anot pašnekovo, jei į EDS sistemą patenkama per e-bankininkystės sistemą, galima būti ramiais, kad bankas nenukreips į vadinamą "phishing'o" tinklalapį."Tačiau yra teorinė galimybė perimti tokią nuorodą ir nukreipti ją į netikrus serverius, jeigu tokius susikurtume. Tai vėlgi nėra paprasta, nes vardų suteikimą administruoja Kauno technologijos universitetas", - pasakoja jis."Synegry Consulting" vadovo šis atvejis nestebina. Jis teigia, kad Lietuvoje viešojo sektoriaus institucijų, atliekančių identiškus veiksmus yra apstu. VMI duomenimis, Elektroninė deklaravimo sistema šiuo metu turi 1,15 mln. vartotojų.

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą

Rašyti komentarą

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau