Наследившие в Сети

На первой практической встрече DEFCON (дословно с англ. – готовность обороны) эксперты по информационной безопасности детально проанализировали все ахиллесовы пяты казахстанских ресурсов, провели хакерский эксперимент и вскрыли несколько баз данных, а после выдали рекомендации по защите от кибератак. Участники называют себя этичными хакерами – white hat (“белые шляпы”), поскольку заинтересованы в улучшении ситуации по информбезопасности страны.

– По данным КНБ, ежемесячно в стране происходит до 100 тысяч кибератак. Со своей стороны можем сказать: 90 процентов отечественных сайтов можно взломать, остальные 10 процентов просто не работают. При этом между бумажными специалистами по информбезопасности и практиками, между экспертами и госорганами пролегает большая пропасть. Наш Центр анализа и расследования кибератак пытается исправить ситуацию: мы находим уязвимости на ресурсах и сообщаем о них владельцам, однако реакция на них замедленная и не всегда адекватна угрозе, – рассказал “КАРАВАНУ” президент Центра анализа и расследования кибератак (ЦАРКА) Олжас САТИЕВ.

Гордость наших чиновников за “электронное правительство”, которое ООН разместила на 28-м месте в рейтинге аналогичных проектов, на самом деле неоправданна, говорит глава ЦАРКА.

– Несколько месяцев назад мы нашли уязвимости на портале e-gov: по прямой ссылке можно было скачать документ без авторизации. И все выдаваемые “электронным правительством” документы, независимо от точки обработки запроса – дома за компьютером, через мобильный телефон или ЦОН, были доступны третьим лицам. Проведенный нами анализ показал, что за недельный срок можно было скачать более 50 тысяч документов граждан РК – адресные справки, справки о наличии недвижимого имущества и другие документы. Мы сообщили об уязвимости в АО “НИТ” (разработчик e-gov), который устранил ее. Но вопрос о том, была ли утечка персональных данных казахстанцев, остается открытым, – отметил Олжас Сатиев.

После фишинг-атаки (интернет-мошенничество) на крупные банки страны эксперты ЦАРКА в течение 2 часов (!) нашли злоумышленников и передали в МВД их адреса и телефоны.

– Но прошло больше полугода – никаких вестей нет. В ходе аудита информационных систем одной из нацкомпаний мы выявили, что в ней 5 лет сидел троян (вредоносная программа. – Прим. ред.). Через него данные с почтовых и других серверов компании уходили за рубеж. “И что с того?!” – задастся вопросом обыватель. Ничего особенного, кроме того, что через Data Mining – глубинный анализ данных – вашу жизнь могут взять под контроль и влиять на нее! – предупреждает эксперт.

Например, система Palantir позволяет на основе сбора и анализа разрозненных данных – личных и профессиональных, которые вы оставляете на просторах Интернета, – создать ваш психотип и делать вбросы дезинформации.

– Сюжет знаменитой киноленты “Карточный домик” как раз об этом: как с помощью поисковой выдачи информации формировать мнение людей и решать за них, кому отдать свой голос. Если Google захочет, то сможет сделать так, чтобы проголосовали за “нужного” кандидата, о котором система будет выдавать исключительно хорошую информацию, а про конкурента – обратное. О пользователях Всемирной паутины постоянно собираются массивы данных, и искусственный интеллект, аналитики разрабатывают новые векторы информационных атак. И, возможно, кто-то собирает банк данных о казахстанцах, чтобы при случае использовать их, – не исключает Олжас Сатиев.

АСТАНА