В связи с растущим общественным недовольством по поводу подделки дипломов в Турции,, эксперты предупреждают о более глубоком системном сбое.
Хотя прокуратура называет расследование прорывом в деле о сети из 35 участников, новые данные говорят о том, что истинные масштабы скандала неизвестны. Официальные лица не дали чёткого объяснения того, как были скомпрометированы столь конфиденциальные учётные данные.
Министерство внутренних дел сообщает, что организация создала не менее 57 дипломов, 108 водительских удостоверений и ряд других официальных документов, используя поддельные электронные подписи высокопоставленных чиновников.
Несмотря на беспрецедентный доступ, предоставляемый этими учётными данными, ни Управление по информационным технологиям и коммуникациям Турции (BTK), регулирующее цифровую безопасность страны, ни Министерство транспорта и инфраструктуры, которое его курирует, не опубликовали никаких заявлений. По словам экспертов, это молчание усугубляет неопределенность относительно масштабов ущерба, того, кто несет ответственность и насколько широко распространено злоупотребление государственными системами.
В центре скандала — растущий список документов, которые не были подделаны в традиционном смысле, а были созданы через законные государственные платформы с использованием цифровых учетных данных государственных служащих.
По словам бывшего начальника турецкой полиции, имеющего непосредственный опыт борьбы с киберпреступностью, особую опасность скандалу придает широкий спектр полномочий, открывающихся после взлома электронной подписи. В цифровой бюрократии Турции электронная подпись — это не просто инструмент утверждения документов, она является юридическим эквивалентом собственноручной подписи и интегрирована практически во все уровни государственных операций.
Бывший начальник полиции, пожелавший остаться анонимным, рассказал, как доступ к электронной подписи означает доступ к Системе электронного документооборота (EBYS), которая регулирует все — от внутренних служебных записок Министерства до межведомственных решений.
«При помощи действительной электронной подписи можно вести межведомственную переписку, утверждать постановления, назначать государственных служащих, подписывать распоряжения о расходах, авторизовать тендеры, утверждать зарубежные поездки сотрудников или проверять аудиторские отчеты. После цифровой подписи эти решения имеют полную юридическую силу и считаются подлинными», - сказал он.
Чиновник добавил, что скомпрометированные учетные данные могут быть использованы даже для внесения изменений в кадровые документы, проведение аттестации, выдачи разрешений на выплату заработной платы, а также для составления и проверки контрактов на закупки и отчетов о проверках. Электронные подписи также необходимы для оформления заключений внутреннего аудита, разрешений регулирующих органов и принятия институциональных решений, таких как одобрение проектов, перераспределение бюджета и дисциплинарные взыскания.
Крайне важно, что в системе отсутствуют достаточные гарантии для выявления несанкционированного использования.
«Если вы получаете от начальника подписанный цифровой приказ, даже если сам приказ незаконен, вы должны его безоговорочно выполнить. Механизма проверки, который бы оповестил лицо, подписавшее приказ, нет. На практике это означает, что самозванец, использующий электронную подпись чиновника, может издать незаконный приказ, который другие в цепочке командования выполнят как обычно. Это делает нынешний скандал чем-то большим, чем просто поддельные дипломы или лицензии — он представляет собой полномасштабное нарушение государственного механизма. Можно имитировать функции любого Министерства. Именно о таком уровне доступа мы говорим. И мы пока не имеем представления о том, сколько действующих решений было принято под чужим руководством», — предупредил эксперт.
С таким широким доступом масштабы потенциальных злоупотреблений трудно оценить количественно. Даже один похищенный документ может быть использован для подделки разрешений регулирующих органов, авторизации государственных платежей, внесения изменений в записи в земельных кадастрах или налоговых базах данных, а также для найма и продвижения неквалифицированных лиц на важные государственные должности.
Анонимный эксперт призвал к полной проверке всех административных транзакций, связанных со скомпрометированными электронными подписями, предупредив, что без прозрачности и независимого надзора невозможно оценить всех масштабов того, что было совершено от имени турецкого государства.
Ситуацию ещё больше осложняет факт того, что у некоторых высокопоставленных чиновников было более одной электронной подписи, что поднимает вопросы о ведении учёта, отслеживаемости и внутреннем контроле. По словам эксперта по цифровым правам, профессора доктора Ямана Акдениза, одно это уже является тревожным сигналом.
«Электронная подпись должна быть уникальным цифровым отпечатком. Она ни в коем случае не должна дублироваться или пропадать», — заявил он, добавив, что отсутствие двухэтапных систем аутентификации облегчает преступникам работу.
Власти утверждают, что банда получила доступ через двух лицензированных поставщиков цифровых сертификатов: TÜRKTRUST и E-İMZATR. Сотрудники этих компаний, предположительно, одобряли заявки, используя поддельные удостоверения личности, что позволяло сети получать действительные сертификаты на чужие имена. Оттуда они проникали в системы Министерств, университетов и государственных учреждений и начинали выдавать документы. Многие из этих документов, хотя и были получены незаконным путём, неотличимы от действительных и продолжают циркулировать по сей день.
Среди подозреваемых есть лица, которые, предположительно, платили за документы, необходимые для получения или повышения квалификации дипломов, лицензий или должностей. Среди них мужчина, который, как сообщается, набрал 8 из 100 баллов на письменном экзамене по вождению, но получил сертификат, показывающий проходной балл 70. Другой выдавал себя за клинического психолога и появлялся на телевидении, продвигая гипнотерапию, взимая с пациентов до 4 тыс. 500 лир за сеанс. На самом деле он ранее был зарегистрирован как руководитель ассоциации чистильщиков ковров.
Имеются также обвинения в отмывании денег. Судебные документы показывают, что человек, которого называют главарем группировки, Зия Кадироглу, обсуждал платежи с контактом в Дубае через зашифрованные мессенджеры, называя стоимость документов от 50 тыс. до 2,5 млн лир. Он якобы хвастался выдачей поддельных удостоверений личности лицам, разыскиваемым полицией, и утверждал, что отправлял доверенных лиц для прохождения стандартизированных тестов от имени других лиц в предыдущих случаях мошенничества с экзаменами.
Хотя прокуратура может увеличить список подозреваемых в деле — теперь общее число подозреваемых достигло 199 человек, — наблюдатели считают, что уголовная ответственность — это лишь часть проблемы. Более широкий вопрос заключается в том, как параллельная сеть неавторизованных пользователей смогла так глубоко проникнуть в цифровую бюрократию Турции, и почему до сих пор ни одно официальное ведомство не предоставило исчерпывающего объяснения того, как произошла утечка данных или какие меры будут приняты для предотвращения повторения подобных случаев.