Zašto je važno ozbiljno se baviti e-upravom — Posledice prazničnih propusta u radu CROSO portala

CROSO portal ugrozio je bezbednost i tajne ključeve svojih korisnika, a zatim je na 10 dana stao sa radom i onemogućio prijave tokom praznika, ali i zasigurno smanjio prihod državi tokom ovog perioda.

Milan Trbojević - 11. Januar, 2017.

Jedan od najvažnijih servisa eUprave, CROSO — Centralni registar obaveznog socijalnog osiguranja, stao je sa radom na 10 dana tokom praznika. Ok, bilo je vreme praznika, pa veliki broj firmi nije radio. Objašnjenje je bilo da se radi na poboljšanju servisa i da će se početi sa radom od 9. januara i to u boljoj verziji.

Država je na gubitku

Problem je što je zakonski rok za prijavu zaposlenog na osiguranje 3 dana, međutim u periodu od 30. decembra do 9. januara prijavljivanje je bilo onemogućeno kako kroz portal, tako i fizički na šalterima.

Preduzetnicima koji se bave ugostiteljstvom, hotelijerstvom i sličnim delatnostima je ovaj period „poslovna sezona“ i često se dešava da primaju nove zaposlene kako bi mogli da pruže adekvatnu uslugu. Međutim, sada nisu bili u mogućnosti da prijave te nove zaposlene. Zvanično obaveštenje je bilo da će se rok produžiti za onoliko dana koliko portal nije radio.

Pored toga što su preduzetnici mogli da uđu u problem ako nema razumevanja sa druge strane, npr. inspektora (što se nadam da se nije dešavalo) i država je bila na gubitku. Preduzetnik je, zbog nefunkcionisanja portala, mogao bez problema i bez sankcija da ne prijavi zaposlenog koji je radio za vreme praznika.

Međutim, i kada je portal ponovo “vasrksao”, 9. januara, opet smo naišli na probleme — vrlo je otežano radio usled nepripremljenosti na veliku posetu tokom tog dana. Padao je često i štucao.

croso ažuriranje

I to nas je dovelo do novog obaveštenja — pošto portal ima manjih tehničkih problema, prijave i odjave zaposlenih se mogu uraditi na šalterima. U trenutku kada je već red zbog promene zdravstvene knjižice, a u gradovima kolaps usled vremenskih nepogoda.

SecurityTray i bezbednosni problem

Na drugi problem, ukazao nam je krajem prošle godine Goran Rakić. Sertifikaciono telo Privredne komore Srbije je 23. decembra opozvalo sertifikat koji CROSO portal, tj. njegov prateći program (SecurityTray) koristi za komunikaciju između čitača kartice i portala. Srećom, Goran je kreirao uputstvo kako da se ovo premosti, pa se veliki broj korisnika vodio njime i ipak koristio portal tih 7 dana.

Nakon pauze, objavom nove verzije i “poboljšanja servisa” ovog ponedeljka pojavljuje se i ozbiljan bezbednosni problem.

Nova SecurityTray aplikacija bez obaveštenja korisnika instalira CA sertifikat u Trusted Root skladište Windows operativnog sistema. Dodatno, za korisnike Mozilla Firefox pretraživača, postoji uputstvo kako da korisnici sami dodaju ovaj sertifikat u Trusted Root skladište.

Privatni ključ koji odgovara ovom sertifikatu je uključen u instalaciju aplikacije i dostupan je svakom zlonamernom napadaču nakon jednostavnog tehničkog postupka raspakivanja. U pitanju je CA sertifikat bez ograničenja, koji u kombinaciji sa javno dostupnim privatnim ključem može da se iskoristi za izdavanje lažnih sertifikata za bilo koji drugi sajt.

Na ovaj način zlonamerni napadač može da pripremi lažne sertifikate i zatim presretne i ugrozi zaštićenu komunikaciju između korisnika i drugih sajtova na internetu, uključujući servise e-uprave, e-bankarstva i druge bezbednosno osetljive usluge.

Svodi se na to da su korisnici CROSO portala bili primorani da instalacijom SecurityTray aplikacije ugroze svoju bezbednost.

Sreća u nesreći ovaj put je opet brza reakcija i ispravka:

Ipak, ni to nije urađeno kompletno. Sada korisnike Chrome-a upućuju da ignorišu bezbednosna upozorenja:

croso chrome

Ovo je sličan problem na koji je u novembru prošle godine ukazala Netokracija, kada je eUprava koristila neispravan SSL sertifikat na svom portalu. I ovde je, srećom, Kancelarija brzo odreagovala i ispravila grešku, ali moramo ići ka tome da se ove stvari ne otkrivaju slučajno, već da stručnjaci o njima unapred razmišljaju.

Pitanje je šta bi mogao da bude problem da kompanije koje su provajderi eGov rešenja ne nabave validne sertifikate za potpisivanje programskih modula i slično, nego kreiraju sopstvene procedure i self-signed metode, koje ne samo da komplikuju proces, već i ugrožavaju korisnike.

Odgovornost je i na eUpravi, ali i na izvođačima ovih radova, a svi moraju imati u vidu važnost ispravnosti ovih portala.