Sprawa braku certyfikatu zgodności kompleksu systemu ochrony informacji w „Akcji”: istota decyzji
Powód skarżył się na brak certyfikatu zgodności z systemem ochrony informacji Przedsiębiorstwa Państwowego „Akcja” w dniu wpisania na Listę Zaufania kwalifikowanego dostawcy elektronicznych usług zaufania.
Sąd orzekł w przypadku braku w „Akcji” zaświadczenia o zgodności z kompleksem systemu ochrony informacji
12 kwietnia 2021 r. Okręgowy Sąd Administracyjny w Kijowie orzekł w sprawie, której okoliczności dotyczyły braku Ministerstwa „Akcja” Przedsiębiorstwa Państwowego w dniu wpisania na Listę Zaufania kwalifikowanych dostawców elektronicznych usług zaufania certyfikatu zgodność z systemem bezpieczeństwa informacji.
Powód podniósł również kwestię braku certyfikatu zgodności kompleksu ochrony systemu ochrony informacji i telekomunikacji systemu ochrony centralnej jednostki certyfikującej w Przedsiębiorstwie Państwowym „Akcja” w okresie od 19.12.2019 do 06. 10.10.2020.
Jest to sprawa pod № 640/13909/20 w sprawie pozwu osoby do Ministerstwa Transformacji Cyfrowej Ukrainy i przedsiębiorstwa państwowego „Akcja”, które zwróciło się do sądu:
zobowiązanie Ministerstwa do wykluczenia z Listy Zaufania kwalifikowanego dostawcy elektronicznych usług zaufania SE „Akcja”;
zobowiązanie Ministerstwa Kultury do unieważnienia kwalifikowanych certyfikatów klucza publicznego kwalifikowanego dostawcy elektronicznych usług zaufania Przedsiębiorstwa Państwowego „Akcja” wydanych w okresie przed 10.06.2020 przez centralną jednostkę certyfikującą;
unieważnienia certyfikatu pieczęci elektronicznej z podpisem własnym Centralnego Urzędu Certyfikacji wystawionego do dnia 10.06.2020 r.
Na poparcie swoich roszczeń powódka stwierdziła, że poprzez badanie materiałów otwartego dostępu zamieszczonych w zasobach elektronicznych Ministerstwa Transformacji Cyfrowej ustalono, że pozwana naruszyła prawo, co rażąco narusza prawa oraz uzasadnione interesy i wolności powód obywatel Ukrainy, użytkownicy elektronicznych usług zaufania.
Powód zauważył, że wbrew wymogom ustawy „O elektronicznych usługach zaufania” pozwany na Listę Zaufania zamieszczoną na stronie Centralnej Jednostki Certyfikującej Ministerstwa Transformacji Cyfrowej oraz Rejestru Kwalifikowanych Dostawców Elektronicznych Usług Zaufania przez Przedsiębiorstwo Państwowe „Akcja” wykaz nie posiadał certyfikatu zgodności systemu bezpieczeństwa informacji i nie przedłożył poświadczonej kopii w sposób przewidziany prawem.
Powód zwrócił również uwagę na brak certyfikatu zgodności z kompleksem ochrony systemu ochrony informacji i telekomunikacji centralnego urzędu certyfikacji (dalej – KSZI ITC CPB) w SE „Akcja” w okresie od 19.12.2019 do 10.06 2020, co stanowi naruszenie ustawy o usługach zaufania” oraz ustawy o ochronie informacji w systemach informatycznych i telekomunikacyjnych, a w efekcie może prowadzić do nieuprawnionego dostępu do kluczy osobistych i certyfikatów głównych centralnego urzędu certyfikacji.
Також позивач звернула увагу на відсутність атестату відповідності комплексу системи захисту інформаційно-телекомунікаційної системи захисту центрального засвідчувального органу (надалі – КСЗІ ITC ЦЗО) у ДП «Дія» у період з 19.12.2019 до 10.06.2020, що є порушенням норм Закону «Про електронні довірчі послуги» та Закону «Про захист інформації в інформаційно-телекомунікаційних системах», та, як наслідок, могло призвести до несанкціонованого доступу до особистих ключів та кореневих сертифікатів центрального засвідчувального органу.
У відкритому доступі на електронних ресурсах відповідача було розміщено копію Атестату відповідності КСЗІ ITC ЦЗО Державного підприємства «Дія» від 10 червня 2020 року за № 21585. У той же час ДП «Дія» внесено відповідачем до Довірчого списку під час відсутності Атестату відповідності КСЗІ ITC ЦЗО, що виданий Державному підприємству «Дія», що є порушенням вказаних вимог законодавства, оскільки законом не передбачено включення до Довірчого списку за часткового подання документів, наведених у пункті 30 Закону «Про електронні довірчі послуги».
Мінцифри у своєму відзиві на позов наголосило на тому, що позивач не наділений повноваженнями встановлювати факти порушення законодавства у сфері електронних довірчих послуг та звертатися з відповідним позовом щодо дій центрального засвідчувального органу – Мінцифри та адміністратора інформаційно-телекомунікаційної системи центрального засвідчувального органу – ДП «Дія», оскільки тільки Адміністрація Держспецзв`язку наділена повноваженнями встановлювати та кваліфікувати порушення у сфері електронних довірчих послуг, видавати приписи та звертатися до суду щодо застосування заходів реагування.
Також відповідач зауважив, що набуття статусу кваліфікованого надавача електронних довірчих послуг ДП «Дія» відбулося у визначеному законодавством порядку шляхом передачі майна зі сфери управління Міністерства юстиції України з балансу ДП «Національні інформаційні системи» до сфери управління Міністерства цифрової трансформації на баланс ДП «Дія».
Позивач подала до суду відповідь, в яких зазначила таке.
Так, на думку позивача, невідворотними можуть стати для кожного користувача електронних довірчих послуг саме наслідки порушення відповідачем Конституції України та Закону «Про електронні довірчі послуги», а не наслідки скасування самопідписаного сертифікату електронної печатки Центрального засвідчувального органу.
На думку позивача, відповідачем було включено до Довірчого списку ДП «Дія» з грубим порушенням чинного законодавства України, а саме постанови Кабінету Міністрів «Про реалізацію експериментального проекту щодо забезпечення безперервного надання кваліфікованих електронних довірчих послуг у разі заміни надавача таких послуг» та Закону «Про електронні довірчі послуги».
Надання ДП «Дія» електронних довірчих послуг протягом тривалого часу без наявності атестату відповідності комплексної системи захисту інформації є порушенням вимог нормативно-правових документів щодо технічного захисту інформації та статті 8 Закону «Про захист інформації в інформаційно-телекомунікаційних системах».
Powód zwrócił również uwagę na brak certyfikatu zgodności z kompleksem ochrony systemu ochrony informacji i telekomunikacji centralnego urzędu certyfikacji (dalej – KSZI ITC CPB) w SE „Akcja” w okresie od 19.12.2019 do 10.06 2020, co stanowi naruszenie ustawy o usługach zaufania” oraz ustawy o ochronie informacji w systemach informatycznych i telekomunikacyjnych, a w efekcie może prowadzić do nieuprawnionego dostępu do kluczy osobistych i certyfikatów głównych centralnego urzędu certyfikacji.
Kopia Certyfikatu Zgodności ITC CPC Przedsiębiorstwa Państwowego „Deiya” z dnia 10 czerwca 2020 r. dla numeru 21585 została umieszczona w domenie publicznej w zasobach elektronicznych pozwanego, wydanego na rzecz Przedsiębiorstwa Państwowego „Akcja”, które jest naruszenie tych wymagań, ponieważ prawo nie przewiduje umieszczenia na Liście zaufania w celu częściowego złożenia dokumentów wymienionych w paragrafie 30 ustawy „O elektronicznych usługach zaufania”.
W odpowiedzi na pozew Ministerstwo Liczb podkreśliło, że powód nie jest uprawniony do stwierdzania naruszeń prawa w zakresie elektronicznych usług zaufania i wnoszenia pozwu przeciwko Centralnemu Ośrodkowi Certyfikacji - Ministerstwu Liczb i administratorowi system informacyjno-telekomunikacyjny Centralnego Urzędu Certyfikacji – SE „Akcja”, gdyż tylko Państwowa Administracja Łączności Specjalnej jest uprawniona do identyfikowania i kwalifikowania naruszeń w zakresie elektronicznych usług zaufania, wydawania poleceń oraz występowania do sądu o zastosowanie środków reagowania .
Pozwany zauważył również, że nabycie statusu kwalifikowanego dostawcy elektronicznych usług zaufania SE „Akcja” nastąpiło w sposób przewidziany prawem poprzez przeniesienie majątku Ministerstwa Sprawiedliwości Ukrainy z salda SE „Krajowe Systemy Informacyjne”. do Ministerstwa Transformacji Cyfrowej.
Powód złożył do sądu odpowiedź, stwierdzając, co następuje.
Zatem, zdaniem powoda, konsekwencje naruszenia przez pozwanego Konstytucji Ukrainy i ustawy „O elektronicznych usługach zaufania”, a nie skutki unieważnienia certyfikatu pieczęci elektronicznej z podpisem własnym Centralnego Urzędu Certyfikacji mogą być nieuniknione dla każdego użytkownik elektronicznych usług zaufania.
Według powoda, pozwany został wpisany na Listę Powierniczą SE „Akcja” z rażącym naruszeniem obowiązującego ustawodawstwa Ukrainy, a mianowicie uchwały Gabinetu Ministrów „W sprawie realizacji projektu pilotażowego w celu zapewnienia ciągłego świadczenia kwalifikowanej elektronicznej usługi zaufania w przypadku wymiany." elektroniczne usługi zaufania ".
Świadczenie przez Diagnozę przez długi czas elektronicznych usług zaufania bez zaświadczenia o zgodności kompleksowego systemu ochrony informacji stanowi naruszenie wymagań dokumentów prawnych dotyczących technicznej ochrony informacji oraz art. 8 ustawy „O ochronie informacji w informacji i telekomunikacji Systemy".
Sąd stwierdził, co następuje.
Rozporządzeniem Ministra Transformacji Cyfrowej z dnia 19.12.2019 nr 27 zatwierdzono Regulamin Centralnego Urzędu Certyfikacji i wyznaczono Przedsiębiorstwo Państwowe „Akcja” na administratora systemu teleinformatycznego Centralnego Urzędu Certyfikacji, który zapewnia wsparcie techniczne i technologiczne dla Centralny Urząd Certyfikacji.
SE „Akcja” znajduje się na Liście Zaufania, która jest publikowana na stronie internetowej Centralnej Instytucji Certyfikującej Ministerstwa Transformacji Cyfrowej oraz w Rejestrze Kwalifikowanych Dostawców Usług Elektronicznych.
Zdaniem powódki, badając materiały otwartego dostępu zamieszczone w zasobach elektronicznych Ministerstwa Transformacji Cyfrowej ustaliła fakty naruszenia prawa przez pozwanego.
Z akt sprawy wynika, że osoba N, która nie jest powodem w tej sprawie, zwróciła się do Administracji Państwowej Służby ds. Łączności Specjalnej i Ochrony Informacji Ukrainy z prośbą o udostępnienie informacji publicznej z dnia 18.02.2020 r., w której zwróciła się o: Informacja:
czy Państwowa Służba Łączności Specjalnej i Ochrony Informacji Ukrainy wydała Certyfikat zgodności z systemem technicznej ochrony informacji w systemie informacyjno-telekomunikacyjnym centralnej jednostki certyfikującej należącej do SE „Akcja” Ministerstwa Transformacji Cyfrowej Ukrainy lub Ministerstwo Cyfrowej Transformacji Ukrainy;
dostarczyć kopię Certyfikatu zgodności wydanego przez Państwową Służbę Ochrony Łączności Specjalnej i Informacji Ukrainy do systemu technicznej ochrony informacji w systemie informacyjno-telekomunikacyjnym centralnej jednostki certyfikującej należącej do SE „Akcja” Ministerstwa Cyfrowa Transformacja Ukrainy lub Ministerstwo Cyfrowej Transformacji Ukrainy.
Pismem z dnia 24.02.2020 r. Administracja Państwowej Służby Łączności Specjalnej i Ochrony Informacji poinformowała, że Świadectwo Zgodności określone we wniosku nie zostało wydane przez Państwową Administrację Łączności Specjalnej w wyniku rozpatrzenia wniosku o udostępnienie informacji publicznej.
Zdaniem powoda, SE „Powództwo” w dniu wpisania na Listę Zaufania nie posiadało certyfikatu zgodności KSZI i nie przedłożyło uwierzytelnionego odpisu w sposób przewidziany prawem, a zatem SE „Powództwo”, wbrew przepisom Ustawa „O elektronicznych usługach zaufania” została umieszczona na liście Trust.
Kopia Certyfikatu Zgodności ITC CPC Przedsiębiorstwa Państwowego „Akcja” z dnia 10.06.2020 dla № 21585 została umieszczona w domenie publicznej w zasobach elektronicznych Ministerstwa Transformacji Cyfrowej, wydanego przez SE „Akcja”, co stanowi naruszenie prawa, ponieważ prawo nie przewiduje umieszczenia na liście zaufania w celu częściowego złożenia dokumentów wymienionych w art. 30 ust. 2 ustawy „O elektronicznych usługach zaufania”.
Tym samym powód doszedł do wniosku, że fakty dotyczące braku KSZI ITC CPB SE „Akcja” i potwierdził brak Certyfikatu Zgodności KSZI ITC CPB w okresie od 19.12.2019 do 10.06.2020 stanowią naruszenie przepisów Ustawa "O elektronicznych usługach zaufania" oraz Ustawa "O ochronie informacji w systemach informatycznych i telekomunikacyjnych" o polityce bezpieczeństwa i jest rzeczywistym zdarzeniem faktycznym, które doprowadziło lub może prowadzić do nieuprawnionego dostępu do kluczy prywatnych i certyfikatów głównych CPB.
Sąd uznał, że roszczenia były bezpodstawne z następujących powodów.
W pozwie powód nie wskazał konkretnych praw, wolności lub interesów, które rzekomo zostały naruszone przez pozwanego w wyniku umieszczenia SE „Action” na Trust List.
Analiza Ustawy o elektronicznych usługach zaufania oraz CAS Ukrainy pokazuje, że naruszone prawa, wolności i uzasadnione interesy użytkowników elektronicznych usług zaufania podlegają ochronie sądowej, która ma miejsce tylko wtedy, gdy ich prawa są naruszane w wyniku działania lub zaniechania określonych dostawcom elektronicznym, usługom zaufania oraz organom wykonującym regulacje państwowe w zakresie elektronicznych usług zaufania.
Jednocześnie powód nie wskazuje, a zatem z akt sprawy nie wynika, że jest on użytkownikiem elektronicznych usług zaufania dostawcy elektronicznych usług zaufania SE „Akcja”, w wyniku którego usługi naruszyły jego prawa i interesy.
Tym samym z dostępnych materiałów sprawy nie można ustalić, czy powód jest użytkownikiem elektronicznych usług zaufania SE „Action” oraz w jaki sposób pozwany naruszył prawa powoda. W związku z tym powód nie udowodnił faktu naruszenia ich praw, wolności lub interesów przez działania Ministerstwa Transformacji Cyfrowej Ukrainy związane z wpisaniem SE „Akcja” na Listę Zaufania elektronicznych usług zaufania, która jest przesłanki do wniesienia pozwu, odpowiednio, świadczy o bezzasadności dochodzonych roszczeń.
Dlatego sąd oddalił roszczenie.
Data publikacji: 23.05.2021