0
Письмо с интересным содержанием на днях было опубликовано в соцстетях Объединением юридических лиц «ЦАРКА» («Центр анализа и расследования кибер-атак. – Прим. ред.).
«Специалистами ЦАРКА обнаружена критическая уязвимость, ставящая под сомнение безопасность всей информационной инфраструктуры Республики Казахстан, и, соответственно, всех применяемых в настоящее время методов обеспечения информационной безопасности», — говорится в письме, отправленном, по словам автора – президента ЦАРКА Олжаса Сатиева, в «соответствующие органы» 4 октября. Однако ответов до 12 октября получено не было.

«У нас есть информация, что на данный момент все государственные ресурсы скомпрометированы и существует угроза паралича государственных информационных систем, и как следствие — частичного, а может быть, и полного паралича государства», — написал ОЮЛ «ЦАРКА» в комментарии к своему письму.
«Радиоточка» связалась с Сатиевым и выяснила, что до нас с программистом успели созвониться чиновники, а теперь в спешном порядке принимают меры.
Что за проблема поставила под сомнение жизнеспособность всей государственной IT-инфраструктуры, он не назвал – информация конфиденциальная, потому что касается безопасности. Но мы договорились, что о сути он расскажет. В итоге получилось, что мы затронули проблемы действительно масштабные.
— Олжас, чем занимается ваша организация?
— Мы являемся первым частным CERTом в Казахстане, то есть, службой экстренного реагирования на компьютерные инциденты. В каждой стране есть CERTы, они обмениваются информацией о кибератаках. Если кибератака производится на какой-то сервер в Казахстане из Польши, чтобы не взаимодействовать через МВД Польши, местный CERT отправляет запрос коллегам и те уже работают с органами.
— Создание этой службы — ваша личная инициатива?
— У нас объединение юридических лиц. Мы привлекли всех казахстанских хакеров, которые занимали призовые места на хакерских конференциях, и получилось так, что к нам стекает различная информация об уязвимостях, угрозах. Вы могли о нас слышать в прошлом году, когда была опубликована критическая статья об уязвимости e-gov. Данные граждан находятся в свободном доступе. После обнаружения факта, мы написали депутатам, был небольшой шум.
— Письмо, которое разместили в открытом доступе, каким адресатам вы его ещё отправили?
— В основные ведомства мы его направили. Долго не было ответа. Но вчера мы встретились с представителем министерства информации и коммуникаций. Тема сдвинулась. Такая ситуация: сейчас появилось новое министерство — обороны и аэрокосмической промышленности. При нём будет комитет по информационной безопасности.
— А кто отвечает за информационную безопасность сейчас? 
— Вообще министерство информации и коммуникаций должно отвечать. У них есть государственно-техническая служба, есть свой, национальный, CERT. Но у этой службы проблема — они могут заниматься только мониторингом угроз. Например, «заражено» министерство или нет, а повлиять они на это не могут.
— Почему? 
— Потому что они могут только сообщить: «Вот, ребята, сайт вашего министерства заражён». Но внести изменения они не могут. Если мы можем после обнаружения уязвимости закрыть её сами, они могут только отправить официальное уведомление. Но вы сами знаете, что наши министерства могут просто его проигнорировать.
— Когда вы обнаружили уязвимость сайтов госорганов и электронного правительства?
— Дней 10 назад мы получили информацию. Через день мы направили письмо. Но из-за бюрократической проволочки с новым министерством — когда все ждали, что ответственность перекинуть на него — вопрос встал.

— Вы изучали состояние наших госсайтов по собственной инициативе? Это проявление гражданской позиции или что?

— Мы мониторим Казнет, наши ребята сидят на разных закрытых форумах, где часто публикуют различные уязвимости, мы ситуацию знаем. Тем более, когда кто-то из казахстанских хакеров, программистов, администраторов обнаруживает такую информацию, они скидывают её нам.
— Какова должна быть квалификация хакера, чтобы воспользоваться этой уязвимостью и «положить» все наши государственные сайты?
— То, что мы обнаружили, это «детская» уязвимость. Мы не говорим о сложных атаках, это может сделать даже не команда, а любитель в одиночку.
— А чем грозит наличие этой уязвимости, что может сделать злоумышленник по худшему сценарию? 
— Сейчас у нас очень бурно развивается IT-инфраструктура, все завязано на IT-системах: таможня, выдача справок, регистрации…  Если главные сайты «полетят», у нас встанет везде работа.
— А может вся эта информация «стереться» из баз данных? 
— Я не думаю, что у нас все так печально. Скорее всего, данные резервируются. Но утечка может произойти. Как в Турции, где все данные граждан, включая президента, были выложены в сеть. Если у нас не уделять внимание информбезопасности, может произойти то же самое.
— Обычный гражданин Казахстана. Как может повлиять на него утечка конфиденциальной информации? 
— Злоумышленники могут вам позвонить, представиться должностными лицами, указать ваши данные и попросить PIN-код банковской карточки. Вы не ответите, но из 100 человек кто-то ответит. Вообще на Западе существуют директивы, которые наказывают владельцев уязвимых систем в случае утёчки персональных данных. У нас, к сожалению, за утёчку персональных данных не наказывают. Мы с этим боремся, хотим, чтобы владельцы госсистем, которые теряют данные, наказывались — штрафами, чем-то еще. У нас этого пока что не понимают.
— У всех этих интернет-ресурсов, о которых говорится в вашем письме, одна и та же уязвимость?
— Уязвимость не самих госресурсов, а инструментов управления этими госресурсами. Не нужно каждый из них взламывать, есть ошибка в системе управления.
— Эта система управления едина для всех государственных сайтов? 
— Да.
— То есть, речь идет о некой унифицированной программе, с помощью которой управляют данными сайтов? 
— Да, можно так сказать.
— Есть ли в вашем распоряжении данные, кто разработчик этой программы?
— Я сейчас не могу сказать — до исправления уязвимости.
— То есть, если прямо сегодня будет создан новый сайт нового министерства, данные будут управляться с помощью этой же системы? 
— Да.
— А почему все эти интернет-ресурсы работают не один год, а проблема всё это время сохранялась? 
— Это потому, что бурный рост IT-индустрии у нас только начался. До этого мы даже хакерам были не интересны. Было малое количество пользователей карточек. Недавно мы общались с антивирусными компаниями, по их данным, уже идёт сбор данных жителей Казахстана — приблизительно с прошлого года. До этого хакерские группировки работали, например, по Европе — там уже занялись серьёзно защитой. Сейчас идёт бум взломов банков в России. Думаю, в скором времени займутся и Казахстаном.
— Хакерам из каких стран мы уже интересны? 
— Российским, китайским. Случаи были, когда хакеры ИГИЛа взламывали наши сайты. В прошлом году сайт МИДа был заражён.
— Системная, общая проблема в чём? Не хватает специалистов высокого уровня среди разработчиков, которые могли бы увидеть проблему ещё на стадии разработки?
— Та же проблема: владельцы государственных интернет-ресурсов не теряют ничего при взломе. Кроме репутационных рисков.

Все госсайты в Казахстане можно «положить» разом

Проблемный скрипт на сайте mfa.gov.kz, февраль 2016 года. Источник фото: profit.kz

— То есть, если базу данных какого-то министерства взломали, должно, по-вашему, отвечать за это министерство? 
— Да. Когда взломали тот же сайт МИДа, была тишина. Ну, взломали и взломали. Починили его только через неделю. Представьте, сайт министерства неделю был заражен — он мог заражать данные своих послов и так далее. Никто ответственности за это не понёс.
— Когда мы говорим об атаках на наши государственные сайты, мы имеем в виду что? Доступ к базам данных? Но сайты министерств не имеют выхода к обширным базам данных. 
— Это так. Но есть возможность заражать посетителей сайтов. Зайдёт, например, наш посол со своего компьютера на сайт министерства. Он же доверяет этому сайту, правильно? А хакеры, допустим, взяли и заменили постановление министра на свой файл. Он скачал, заразился и всё.
— И предоставил доступ к данным своего компьютера?
— Да. В этом плане хакеры — более творческие личности.
— Каков минимальный срок исправления этой уязвимости? 
— Именно эта проблема решается в течение одного дня.
— Только одна уязвимость обнаружена? Возможно ли, что найдутся и другие?
— Возможно. Даже не так — скорее всего, они есть. В Казахстане большой пробел в информбезопасности вообще. У нас была задача быстро построить IT-инфраструктуру, а о вопросах безопасности никто не задумывался. Это проблема многих стран — Кыргызстана, например. Когда ты задаешься этими вопросами, процесс тормозится. А надо же быстрее всё запустить.
— Черепаха вырастает из панциря? 
— Да, многие системы были построены без учёта вопроса и из-за этого у многих проблемы. И только сейчас начали об этом задумываться. Об этом говорит создание того же комитета в новом министерстве по инфобезопасности.
Источник информации: https://radiotochka.kz

Казахстан создает регулятора в области кибербезопасности

Previous article

В Алматы судят предполагаемых киберпреступников, работавших под видом Генпрокуратуры

Next article

You may also like