Magyarországon elektronikus iratok millió kerülhetnek veszélybe akár fél éven belül, mivel a szakmai előrejelzések szerint hamarosan feltörhetik a legnépszerűbbek közé tartozó, SHA-1 kriptográfiai algoritmust.
Utólag akár milliónyi, érzékeny adatot tartalmazó elektronikus dokumentumot is módosíthatnak büntetlenül, mivel a szakértők szerint akár már 6 hónapon belül feltörhetik a világ egyik legelterjedtebb kriptográfiában alkalmazott algoritmusát, az SHA-1-et. Magyarországon is számtalan szervezet és vállalat állt át a költségtakarékossági, kereshetőségi és dokumentumtárolási szempontból a papíralapú nyilvántartásoknál jobb megoldást kínáló elektronikus archiválásra: az algoritmus elterjedése miatt, becslések szerint, jelenleg hazánkban százmilliós nagyságrendű a veszélyeztetett dokumentumok száma. Amennyiben a szervezetek nem gondoskodnak időben a dokumentumok védelméről, akár többmillió forintos károkat is kockáztatnak.
A szakértők előrejelzése szerint akár 6 hónapon belül feltörhetik a számos elektronikus aláíró rendszer által alkalmazott SHA-1 algoritmust. Ezzel a támadók számára lehetőség nyílik az egyes dokumentumok, illetve az azokon szereplő elektronikus aláírások meghamisítására. A Microsoft, a Google és a Mozilla bejelentette, hogy böngészőik 2017-től nem támogatják az algoritmust. A hazai archiválási rendszerek esetében viszont ennél gyorsabb reakcióra lesz szükség.
Az SHA-1 feltörése révén az elektronikus dokumentumok elveszíthetik hitelességüket, az iratok utólagos módosítása pedig rendkívül komoly következményekkel járhat. „Becslések szerint ma Magyarországon százmilliós nagyságrendű az ilyen iratok száma, a probléma elsősorban mégsem az adatok mennyisége, hanem hogy a múlt hamisíthatóvá válik. Képzeljük el, hogy korábbi adásvételi szerződéseken vagy számlákon szereplő információkat írhatnak át utólag. Ez egy rendkívül veszélyes forgatókönyv” – mondja Lengyel Csaba, a Hunguard Kft. szakmai igazgatója.
Jelenleg a 2007/114-es GKM-rendelet szabályozza és határozza meg Magyarországon a digitális archiválás szabályait. Nem kell azonban kétségbe esniük az elektronikus adatokat tároló szervezeteknek. „Azok az archiváló rendszerek, amelyek megfelelnek a jogszabálynak, és képesek az SHA-1 és a későbbi kriptográfiai algoritmusok meggyengülése esetén is folyamatosan fenntartani a hitelességet, a továbbiakban is megfelelő védelmet biztosítanak majd. Viszont ezekre minél előbb át kell térniük a vállalatoknak, hiszen akár már fél éven belül is probléma lehet a régi hitelesítésű dokumentumokkal” – emeli ki a szakmai igazgató.
Célszerű a saját tanúsítású szoftverek alkalmazása a vállalatok számára, mivel ezek könnyebben testreszabhatóak, így jobban megfelelnek az egyedi igényeknek és a jogszabályi elvárásoknak is. Ez azért is fontos, mert egyre több vállalat ismeri fel az elektronikus archiválásban és adattárolásban rejlő lehetőségeket, így ugrásszerűen terjedni fog ezen rendszereknek az alkalmazása. „A hosszútávú, hiteles és biztonságos elektronikus archiválás mind költségmegtakarítás, mind kereshetőség szempontjából az egyetlen lehetséges út a nagyszámú dokumentummal dolgozó szervezetek számára. Nem mindegy tehát, hogy ezeknek a biztonságát milyen rendszerekre bízzák a szervezetek” – mutat rá Lengyel Csaba.
Az SHA-1 algoritmus elavulása miatt a megfelelő archiváló rendszer megtalálása elengedhetetlen a különböző vállalatok és szervezetek számára, hiszen a nem megfelelő biztonsági szinten archivált dokumentumok és számlák akár súlyos összegekbe is kerülhetnek például egy-egy peres ügy kapcsán. „Az SHA-1 algoritmus feltörését követően már egy bírósági eljárásban a szakértők sem tudják garantálni, hogy a dokumentumot nem módosították illetéktelenül. Ez egy számlakövetelés vagy szerződés esetében akár több millió forintos kárral is járhat” – mutat rá Lengyel Csaba.
A helyzet fontosságát mutatja, hogy hosszú időn keresztül az SHA-1 volt a legelterjedtebb kriptográfiai algoritmusok egyike úgy globálisan, mint hazánkban is. Magánvállalatok és államigazgatási szervek egyaránt használták, így nem túlzás globálisan százmilliós nagyságrendű olyan dokumentumállományról beszélni, amelyet érint a kérdés.