Все госсайты в Казахстане можно «положить» разом

Письмо с интересным содержанием на днях было опубликовано в соцстетях Объединением юридических лиц «ЦАРКА» («Центр анализа и расследования кибер-атак. – Прим. ред.).

«Специалистами ЦАРКА обнаружена критическая уязвимость, ставящая под сомнение безопасность всей информационной инфраструктуры Республики Казахстан, и, соответственно, всех применяемых в настоящее время методов обеспечения информационной безопасности», — говорится в письме, отправленном, по словам автора – президента ЦАРКА Олжаса Сатиева, в «соответствующие органы» 4 октября. Однако ответов до 12 октября получено не было.

«У нас есть информация, что на данный момент все государственные ресурсы скомпрометированы и существует угроза паралича государственных информационных систем, и как следствие — частичного, а может быть, и полного паралича государства», — написал ОЮЛ «ЦАРКА» в комментарии к своему письму.

«Радиоточка» связалась с Сатиевым и выяснила, что до нас с программистом успели созвониться чиновники, а теперь в спешном порядке принимают меры.

Что за проблема поставила под сомнение жизнеспособность всей государственной IT-инфраструктуры, он не назвал – информация конфиденциальная, потому что касается безопасности. Но мы договорились, что о сути он расскажет. В итоге получилось, что мы затронули проблемы действительно масштабные.

— Мы являемся первым частным CERTом в Казахстане, то есть, службой экстренного реагирования на компьютерные инциденты. В каждой стране есть CERTы, они обмениваются информацией о кибератаках. Если кибератака производится на какой-то сервер в Казахстане из Польши, чтобы не взаимодействовать через МВД Польши, местный CERT отправляет запрос коллегам и те уже работают с органами.

— У нас объединение юридических лиц. Мы привлекли всех казахстанских хакеров, которые занимали призовые места на хакерских конференциях, и получилось так, что к нам стекает различная информация об уязвимостях, угрозах. Вы могли о нас слышать в прошлом году, когда была опубликована критическая статья об уязвимости e-gov. Данные граждан находятся в свободном доступе. После обнаружения факта, мы написали депутатам, был небольшой шум.

— Письмо, которое разместили в открытом доступе, каким адресатам вы его ещё отправили?

— В основные ведомства мы его направили. Долго не было ответа. Но вчера мы встретились с представителем министерства информации и коммуникаций. Тема сдвинулась. Такая ситуация: сейчас появилось новое министерство — обороны и аэрокосмической промышленности. При нём будет комитет по информационной безопасности.

— Вообще министерство информации и коммуникаций должно отвечать. У них есть государственно-техническая служба, есть свой, национальный, CERT. Но у этой службы проблема — они могут заниматься только мониторингом угроз. Например, «заражено» министерство или нет, а повлиять они на это не могут.

— Потому что они могут только сообщить: «Вот, ребята, сайт вашего министерства заражён». Но внести изменения они не могут. Если мы можем после обнаружения уязвимости закрыть её сами, они могут только отправить официальное уведомление. Но вы сами знаете, что наши министерства могут просто его проигнорировать.

— Когда вы обнаружили уязвимость сайтов госорганов и электронного правительства?

— Дней 10 назад мы получили информацию. Через день мы направили письмо. Но из-за бюрократической проволочки с новым министерством — когда все ждали, что ответственность перекинуть на него — вопрос встал.

— Вы изучали состояние наших госсайтов по собственной инициативе? Это проявление гражданской позиции или что?

— Мы мониторим Казнет, наши ребята сидят на разных закрытых форумах, где часто публикуют различные уязвимости, мы ситуацию знаем. Тем более, когда кто-то из казахстанских хакеров, программистов, администраторов обнаруживает такую информацию, они скидывают её нам.

— То, что мы обнаружили, это «детская» уязвимость. Мы не говорим о сложных атаках, это может сделать даже не команда, а любитель в одиночку.

— Сейчас у нас очень бурно развивается IT-инфраструктура, все завязано на IT-системах: таможня, выдача справок, регистрации…  Если главные сайты «полетят», у нас встанет везде работа.

— Я не думаю, что у нас все так печально. Скорее всего, данные резервируются. Но утечка может произойти. Как в Турции, где все данные граждан, включая президента, были выложены в сеть. Если у нас не уделять внимание информбезопасности, может произойти то же самое.

— Злоумышленники могут вам позвонить, представиться должностными лицами, указать ваши данные и попросить PIN-код банковской карточки. Вы не ответите, но из 100 человек кто-то ответит. Вообще на Западе существуют директивы, которые наказывают владельцев уязвимых систем в случае утёчки персональных данных. У нас, к сожалению, за утёчку персональных данных не наказывают. Мы с этим боремся, хотим, чтобы владельцы госсистем, которые теряют данные, наказывались — штрафами, чем-то еще. У нас этого пока что не понимают.

— Уязвимость не самих госресурсов, а инструментов управления этими госресурсами. Не нужно каждый из них взламывать, есть ошибка в системе управления.

— Да.

— Да, можно так сказать.

— Я сейчас не могу сказать — до исправления уязвимости.

— Да.

— Это потому, что бурный рост IT-индустрии у нас только начался. До этого мы даже хакерам были не интересны. Было малое количество пользователей карточек. Недавно мы общались с антивирусными компаниями, по их данным, уже идёт сбор данных жителей Казахстана — приблизительно с прошлого года. До этого хакерские группировки работали, например, по Европе — там уже занялись серьёзно защитой. Сейчас идёт бум взломов банков в России. Думаю, в скором времени займутся и Казахстаном.

— Российским, китайским. Случаи были, когда хакеры ИГИЛа взламывали наши сайты. В прошлом году сайт МИДа был заражён.

— Та же проблема: владельцы государственных интернет-ресурсов не теряют ничего при взломе. Кроме репутационных рисков.

Проблемный скрипт на сайте mfa.gov.kz, февраль 2016 года. Источник фото: profit.kz

— Да. Когда взломали тот же сайт МИДа, была тишина. Ну, взломали и взломали. Починили его только через неделю. Представьте, сайт министерства неделю был заражен — он мог заражать данные своих послов и так далее. Никто ответственности за это не понёс.

— Это так. Но есть возможность заражать посетителей сайтов. Зайдёт, например, наш посол со своего компьютера на сайт министерства. Он же доверяет этому сайту, правильно? А хакеры, допустим, взяли и заменили постановление министра на свой файл. Он скачал, заразился и всё.

— Да. В этом плане хакеры — более творческие личности.

— Именно эта проблема решается в течение одного дня.

— Возможно. Даже не так — скорее всего, они есть. В Казахстане большой пробел в информбезопасности вообще. У нас была задача быстро построить IT-инфраструктуру, а о вопросах безопасности никто не задумывался. Это проблема многих стран — Кыргызстана, например. Когда ты задаешься этими вопросами, процесс тормозится. А надо же быстрее всё запустить.

— Да, многие системы были построены без учёта вопроса и из-за этого у многих проблемы. И только сейчас начали об этом задумываться. Об этом говорит создание того же комитета в новом министерстве по инфобезопасности.

Источник информации: https://radiotochka.kz