Угрозы информационной безопасности применения новых типов контрольно-кассовых машин в Республике Казахстан

Контрольно-кассовые машины(ККМ) являются основным средством налогового контроля за денежными потоками в Республики Казахстан(РК). Порядок их применение утверждён и регулируется положениями главы 90 Налогового Кодекса РК. В 2013 году внесены, а с 2014 года вступают в действия изменения положений ст. 645 Налогового Кодекса. Основное из изменений этой статьи гласит:

Налогоплательщики, осуществляющие оптовую и (или) розничную реализацию бензина (кроме авиационного), дизельного топлива, алкогольной продукции, при торговых операциях посредством наличных денег обязаны применять контрольно-кассовые машины, обеспечивающие передачу сведений о денежных расчетах в оперативном режиме в органы налоговой службы по сетям телекоммуникаций общего пользования.

В данный момент на всех уровнях государства ведётся активная работа по технической реализации данного положения. Данный обзор рассматривает классификацию возможных угроз информационной безопасности(ИБ) для новых типов ККМ, а также предлагает методы по их устранению.

Архитектура реализуемой концепции применения ККМ

Общим принципом реализации новой концепции является объединение в единую сеть всех ККМ(согласно установленной категории налогоплательщиков) с целью постоянного получения данных о денежных рассчётах по контрольным чекам ККМ. По получаемым данным будет вестись мониторинг и отслеживаться объёмы оборота наличных средств проводимых через кассу предприятий торгующих алкогольной продукцией и горюче-смазочными материалами. Так как данные виды бизнеса по объёму обороту находятся в лидерах, то и обеспечение безопасности и достоверности передачи данных является первоочередной задачей реализации поставленных целей. Реализуемая в рамках концепции архитектура предполагает два уровня: уровень сервера налогового органа(СНО), который управляет сетью и накапливает данные, и уровень ККМ налогоплательщика, который эти данные собирает и передаёт. В рамках данной статьи мы предлагаем рассмотреть с точки зрения ИБ уровень ККМ налогоплательщика, как наиболее уязвимый со стороны внешних угроз элемент представленной архитектуры.

Общая классификация угроз

Целью любой деструктивной атаки на данные ККМ, является сокрытие реальной суммы поступивших от покупателей денежных средств. При этом фальсификации могут вестись, как в сторону занижения оборота денежных средств, с целью финансирования противоправной деятельности и/или ухода от налогообложения, так и в сторону завышения, с целью легализации средств поступающих из незаконных источников финансирования. В среде специалистов по обеспечению ИБ ККМ на сегодня принято выделять перечисленные ниже типы угроз.

  1. Двойной учёт. Наиболее старый из методов сокрытия данных по текущей деятельности предприятия. В РК государство активно противодействует ему, обязуя применять при рассчёте наличными ККМ с фискальной памятью. С 2013 года данная норма стала обязательной и для торговли на рынках. С другой стороны сейчас набирает обороты проведение платежей по средствам пластиковых карт. И в случае использования новых технологий для этой сферы, таких как интернет магазин, мобильный терминал, бесконтактный платёж, онлайн деньги и т.п., отсутствует нормативная база для обязательного отражения этих операций через ККМ. А это в свою очередь ведёт к тому, что продавец ведя двойной учёт по карточным платежам, может скрывать получаемые денежные средства и переводить их в любую юрисдикцию без контроля со стороны государства.
  2. Скрытые изменения(англ. Phantom-ware) внедряемые в кассовое оборудования и/или программное обеспечение для манипуляции данными. Если в 90-ых годов и начале 2000-ых этот функционал внедрялся не авторизованными специалистами по техническому обслуживанию или хакерами одиночками по запросу недобросовестных предпринимателей, то сейчас наблюдается тенденция когда эти изменения вносятся целенаправленно производителям кассового оборудования и разработчиками программного обеспечения. Реализуемая в проекте передача данных в налоговые органы в режиме онлайн призвана решить эту проблему, но если скрытые изменения будут вносится на уровне производителей и разработчиков, то в этом случае данная мера будет бессильна.
  3. Запперы(англ. Zapper) – это самая современная и наиболее сложная с технической точки зрения угроза. Её реализация представляет собой специальное внешние устройство(чаще всего флеш-карта) подключаемое к кассовому оборудованию или POS системе для изменения данных о продажах в любой удобный для скрытых махинаций момент. Для подключения заппера используются стандартные коммуникационные порты, что позволяет проводить изменения не привлекая внимание. Специалисты указывают, так как данный способ не требует технической подготовки, то и воспользоваться им может любой кто приобретёт в интернет это заппер.

В феврале 2013 г. этой угрозе был посвещён большой доклад Организации экономического сотрудничества и развития(англ. Organisation for Economic Co-operation and Development, OECD), в котором противостояние ей рекомендовано правительствам 34 ведущим странам мира, как основное средство предотвращение махинаций с денежным средствами. В одной только провинции Квебек, Канада, выявлено больше 275 запперов; в Швеции выявлено около 1200 фирмы приобретавших у запперов устройства; в штате Нью-Йорк, США, выявлено что в сфере общественного питанию 85% ККМ оборудовано запперами. На сегодня активно ведут борьбу с этой угрозой в Канаде, Швеции, Германии, Нидерландах, Португалии.

При всём этом идёт нарастание угрозы, так как запперы создают международные группа и разрабатывают новые способы подключения кассовому оборудованию через интернет. Пример, в Швеции была выявлена группа запперов в которую входили участники из самой Швеции, Канады, Испании и Японии. Исходя из этого, сейчас наиболее уязвимы для атак запперов именно ККМ и POS системы объединённые в сеть.

Примеры финансирования террористической деятельности

Сокрытие данных о продажах используют не только для уклонения от уплаты налогов, но и для финансирования международной террористической деятельности. Вот некоторые из таких примеров.

2007 г. Aleef Garage Ltd, г. Ливерпуль, Великобритания.

Фирма Aleef Garage Ltd. существовала более 25 лет и являлся крупнейшим семейным бизнесом на Северо-Западе Великобритании. В её розничную сеть входило 60 заправочных станций и магазинов в центре Манчестера, Ланкашира и Чешира. В бизнесе участвовало около 250 сотрудников, годовой оборот составлял свыше 92 миллионов фунтов стерлингов. Двойной учёт вёлся так, что в каждой торговой точке было установлено две кассы, а официально обороты отражались только по одной. Так как заправочные станции и торговые точки находились в оживлённых местах, то это стало идеальным местом для такого рода преступления, есть большой поток клиентов, которые в спешке платят наличными. Учредитель Aleef Garage Ltd. Ахмед Патель спонсировал Мусульманское Сообщество Центрального Манчестера. Через эту благотворительную мусульманскую организацию и были отмыты деньги скрытые Aleef Garage Ltd. После проведённого службой Её Величества по Доходам и Таможни(англ. HM Revenue and Customs, HMRC) расследования бывший генеральный директор фирмы признал себя виновным. Всего за период действия преступной схемы от государства было скрыто налогов на сумм 5,3 млн. фунтов стерлингов. В итоге семь бывших сотрудников, включая трёх бывших директоров, заключены в тюрьму на сроки до 11 лет заключения.

2007 г. Сеть ресторанов La Shish, г. Детройт, штат Мичиган, США.

Открытая в 1989 году и очень популярная в Детройте сеть ресторанов восточной кухни. До 2005 года история успеха её владельца Талала Халиль Чахина считалась воплощением «американской мечты». Но в 2006 году Отдел уголовных расследований ФБР(англ. Criminal Investigative Division, CID) выявил подключение специальных устройств «запперов» к кассовым аппаратам в 13 ресторанах сети. После чего было начато расследование фактов сокрытия доходов и в результате было выявлено, что в течении 4 лет Талалом Чахином от властей было скрыто 20 млн. долларов США, при этом все эти средства были переправлены террористической организации Хезболла в Ливане. Сам Талал Чахин тоже скрылся в Ливане, перед судом предстал только его жена Эльфат Эль Аоуар. Эльфат Эль Аоуар свою вину признала и сотрудничала со следствием, суд приговорил её к 18 месяцам заключения и депортации в 2009 году в Ливан. Также в ходе расследование была выявлено участие в данном деле Нады Проути, сестры Эльфат Эль Аоуар, которая на момент расследования была действующем сотрудником ФБР, а в прошлом агентом ЦРУ. В 2000 и 2003 она поставляла сестре и её мужа секретную информацию из внутренней базы данных ФБР.

2011 г. Сеть закусочных быстрого питания IHOP, штаты Индиана и Огайо, США.

В данную сеть входило 8 закусочных быстрого питания расположенных на территории штатов Индиана и Огайо. Закусочные были зарегистрированы на Терри Элк, настоящее имя которого в ходе расследования оказалось Тарек Элькафрауи. Тареком Элькафрауи была приобретена франшиза для открытие закусочных под маркой IHOP. В результате совместных мероприятий Федеральным бюро расследований(англ , FBI) и Министерства внутренней безопасности США (англ. Department of Homeland Security, DHS) было выявлены махинации с данными продаж на сумму 3 млн. долларов США и арестовано 18 человек входивших в группу связанную с мусульманскими террористическими организациями в Египте, Иордании и Ливане. Манипуляции в основном осуществлялись через сеть интернет по средствам изменения данных продаж в POS системе закусочных. Кроме того в сети работало более 200 нелегальных рабочих, а также выявлена факты фальсификаций и манипуляций с Номерами социального обеспечения (англ. Social Security number, SSN).

Необходимые меры противодействия угрозам

Приведённые выше вызовы со стороны международного терроризма требуют мощных технических и организационных мер противодействия со стороны государства и всех участников рынка ККМ и POS систем. Вот основные из них:

  1. Требования к ИБ ККМ. Внесение в технические требования к новым типам ККМ мер по обеспечению ИБ хранимых и передаваемых данных. В РК подобные требования действует только для компьютерных систем вносимых в Государственный реестр КММ.
  2. Криптографическая защита данных. Обеспечение средствами криптографической защиты уникальности и достоверности данных обрабатываемых посредству ККМ и POS систем. Снабжение данных контрольного чека электронной цифровой подписью(используя двумерный штрих-код), хранение необходимых данных в памяти контрольного устройства и безопасная передача данных в налоговые органы в режиме реального времени. Этот способ уже применяется в провинции Квебек(Канада) и Швеции. С 2013 года такая мера для POS систем введена Хорватией.
  3. Сертификация ИБ ККМ. Проведение сертификации уровня обеспечения ИБ для всех типов применяемых ККМ и POS систем. Система добровольной сертификации введена в Нидерландах и обеспечивает оценку налоговыми органами налоговых рисков при проведении проверок, т. е. если налогоплательщик использует не прошедшее сертификацию оборудование и программное обеспечение, то риск уклонения от уплаты налогов выше и соответственно внимания ему должно уделяться больше.

Общие выводы

Усложняя технически средства налогового контроля, государство улучшает качество получаемой информации, но в месте с тем растёт риск несанкционированного доступа и искажения этой информации. При этом преступные цели могут быть направлены, как на нанесения экономического вреда, так и на финансирования террористической деятельности. Для того, чтобы избежать этого, в мире формируется общая тенденция к усилению мер по техническому регулированию и контролю средств обеспечения ИБ, а также использованию более мощных средств защиты информации в сфере применения ККМ и POS систем.

Ссылки на источники:

О нас

Созданное в 2013 году Объединение юридических лиц «Казахстанская Ассоциация Содействия Обработке Фискальных Данных "Салық Innovation"», сокращенно ОЮЛ «КА СОФД  "Салық Innovation"», является независимой общественно-профессиональной некоммерческой организацией, объединившей казахстанских экспертов в сфере применения контрольно-кассовой техники.

Развитие и сотрудничество

Наши публикации