Чем чреваты дыры в информационных системах Казахстана

Чем чреваты дыры в информационных системах и головах (без)ответственных лиц, “КАРАВАНУ” рассказал директор ОЮЛ “ЦАРКА” Арман АБДРАСИЛОВ.

У семи нянек…

На прошлой неделе специалисты ЦАРКА обнаружили в Сети одну из крупнейших утечек персональных данных – в Интернете были доступны сведения на 11 миллионов граждан Казахстана: ФИО, данные удостоверений личности и паспортов, адрес проживания.

– Любой желающий мог загрузить базу с полной информацией на всё совершеннолетнее население страны! Данные в базе свежие и актуализированы примерно полгода назад. Точный период нахождения информации в общем доступе пока неизвестен, однако всё ее содержимое уже успело проиндексироваться поисковыми системами “Google” и “Yandex”, – сообщил директор ЦАРКА.

В открытом доступе оказались и данные главного по цифровой безопасности в стране – министра цифрового развития, оборонной и аэрокосмической промышленности Аскара ЖУМАГАЛИЕВА. О том, что сведения “утекли”, он узнал именно от ЦАРКА и отреагировал постфактум:
– В Сети увидел информацию о распространении персональных данных граждан. Поручил выяснить источник и причины. Правоохранительные органы уже этим занимаются… Мы инициировали вопрос наделения нашего комитета (по информационной безопасности) функциями по защите персональных данных (сейчас уполномоченным органом в этой сфере является Генпрокуратура. – Прим. авт.) по аналогии с “Data Protection Agency” в Европе, который будет проводить проверки владельцев информационных систем, где обрабатываются персональные данные, в том числе по жалобам граждан. Также хотим ужесточить ответственность за непринятие мер по защите персональных данных.

Тем временем пользователи соцсетей сообщили, что сразу после инцидента в Интернете начали предлагать базу данных на казахстанцев. К слову, в Даркнете – на черном рынке Сети – такие базы продаются регулярно.

Откуда течь

Открыто озвучивать, какая именно система с данными более чем 11 миллионов казахстанцев оказалась доступной, киберэксперты не стали. Но путем нехитрого анализа читатели сами могут понять, из какого “решета” утекли ваши личные сведения.

– Утечку мы обнаружили, когда искали информацию на конкретного человека и обратили внимание, что один из результатов отправляет нас на какой-то файл. Он появлялся не в первых строках поиска, а где-то посередине. В формате базы данных хранил он информацию в отношении почти 12 миллионов граждан. И этот файл был доступен для скачивания, а для получения доступа к нему не нужно было ничего взламывать! – рассказывает руководитель ЦАРКА. Казахстан вошел в топ-50 стран в глобальном рейтинге Индекса киберготовности

Об инциденте сообщили в КНБ. В поисковой системе до сих пор можно найти этот файл, но скачать его уже не получится.

– На сайте e-gov, комитета госдоходов и многих других можно получить информацию в отношении человека: забиваете фамилию, ИИН, находите данные, но единой базы, куда вы можете зайти и отсортировать людей, скажем, по алфавитному порядку или проживающих по конкретной улице, нет. Чтобы собрать всё вместе, надо проводить манипуляции, дергать сведения по каждой персоне и собирать в кучу. Автоматизация такой работы не каждому под силу. А в случае с последней утечкой в Сеть слили готовую сформированную базу, из которой можно точечно фильтровать необходимую вам информацию, проводить с ней различные манипуляции, – отмечает эксперт.

И пациентов слили

Следом произошло второе ЧП – медицинская информация сотен тысяч пациентов сети клиник “Даму Мед” также попала в Сеть. Данные различных анализов клиентов со всего Казахстана свободно гуляли по просторам Интернета.

– Виной утечки стала элементарная ошибка – неавторизованный доступ к медицинским документам организации. Сама компания официально подтвердила факт. И снова ситуация экстраординарная, и снова требуется срочное вмешательство государства и аудит всех информсистем страны, – говорит директор ЦАРКА и напоминает выдержку из Кодекса РК “О здоровье народа и системе здравоохранения”, согласно которой сбор и обработка персональных данных для формирования электронных информационных ресурсов без разрешения пациентов не допускаются. Как не допускается подключение электронных информационных ресурсов, содержащих персональные данные пациентов, к сетям телекоммуникаций. А за незаконный сбор и обработку персональных данных должностные лица несут ответственность, предусмотренную законами РК.

Это ЧС!

Комментируя ситуацию с утечкой, вице-спикер мажилиса Владимир БОЖКО сказал, что не видит в этом большой угрозы:

– Хотя определенные сложности есть, связанные с тем, чтобы это не посягало на финансовые интересы наших граждан, чтобы это не послужило мерами по ограничению права выезжать. Если ушел массив про все силовые структуры и армию, – это плохо.
Но бывший министр по ЧС явно недооценивает последствия таких ЧС в сфере информационной безопасности, а они глобальны.

– Слитые в Сеть базы имеют ценность для компаний, которые занимаются рекламой, для мошенников, которые могут реализовывать преступные схемы благодаря доступу к данным удостоверений личности. Да и определить список работников силовых структур и Вооруженных сил совсем несложно – нужно просто отфильтровать жителей по адресу войсковой части или общежитий для них.

Также злоумышленники могут регистрироваться в онлайн-сервисах под вашим именем, пытаться получать кредиты либо оформлять поддельные документы. В связи с актуализацией темы митингов еще одна идея – организация их при помощи именных приглашений, – называет возможные сценарии использования утечки глава ЦАРКА. – Базы можно дополнять и обогащать, в Интернете много разной информации, которую можно “поженить” между собой, составив таким образом полное досье на каждого гражданина: ФИО, возраст, телефоны, место работы и проживания, аккаунты в Сети и многое другое. Такие полные базы могут позволить одному повысить продажи, а второму – формировать общественное мнение – вариантов их применения очень много.

В профиль и анфас

Арман Абдрасилов рассказал о личном опыте, наглядно демонстрирующем бардак в сфере защиты персональной информации:
– Полгода я посещал фитнес-клуб, пока в один из дней мне не заявили, что отныне правила входа в зал меняются. Администрация потребовала мои биометрические данные в виде 5–6 фотографий с разных ракурсов для автоматического распознавания и регистрации посещений. На вопрос, как будут они обрабатываться, я услышал стандартное в наших краях “не переживайте, зуб даем – всё защищено”. А когда начал изучать разрешение на обработку персональных данных, увидел пункт, разрешающий их трансграничную передачу!

Оказалось, что данные будут обрабатываться иностранной компанией, а все сведения – передаваться для обработки за рубеж. Альтернативных вариантов компания не предложила, и мне пришлось расторгнуть договор с клубом, – поведал нам свою историю собеседник.
Вспомнил Арман и о звонке из страховой компании, в которой он не обслуживался: “Мы знаем, что у вас истекает страховка в компании-конкуренте, предлагаем купить страховку на более выгодных условиях”.

Ну а навязчивая реклама всевозможных услуг и звонки на мобильные с персональным обращением и вовсе стали притчей во языцех.

Я рассказала эксперту о личном опыте – каждый раз при аккредитации на различные мероприятия у журналистов запрашивают номера телефонов, удостоверений личности, паспортов со сроком действия, серийный номер техники (подозревая, очевидно, что вместе со своими диктофонами и камерами мы вынесем из зданий чужую технику), а с некоторых пор – и адрес проживания! И эти сведения тоже гуляли по Сети!

Вопрос вызывает и то, зачем в бизнес-центрах записывают данные удостоверений личности посетителей. Скоро, наверное, отпечатки пальцев и радужную оболочку глаз начнут сканировать на входе и без того труднодоступных зданий госучреждений и БЦ. А уж украсть их или подделать, а потом обнаружить на месте преступления, к примеру, – тоже не проблема. Так, еще в 2014 году на одной хакерской конференции продемонстрировали отпечатки пальцев министра обороны Германии, воссозданные по официальным фотографиям высокого разрешения из открытых источников.

Цифровая нефть

– И если за рубежом утечка данных грозит крупными штрафами, то в Казахстане подобные меры – фантастика, – говорит директор ЦАРКА. – Правоприменительная практика за нарушение закона о защите персональных данных крайне мизерная. Один из последних примеров – штраф КСК на 180 тысяч тенге за распечатку списка должников в подъезде. Сегодня данные – такой же ценный ресурс, как и нефть, для тех, кто собирает информацию о вас: адреса, марка автомобиля, список контактов, интересов и предпочтений. Государству необходимо ужесточить правила оборота всех персональных данных – банковская тайна, кредитные бюро, ЦОНы, частные системы и другие. Нужны строгие правила, которым будут подчиняться все организации, независимо от формы собственности, дающие понимание о дальнейшей судьбе собранных сведений.

Государство как монополист персональных данных не в состоянии уберечь эту информацию от утечки.

– Взаимодействие государства и частных компаний в сфере обеспечения информационной безопасности (ИБ) не налажено. Запрет на тестирование IT-систем работает только для легальных специалистов, настоящему хакеру разрешение владельца не нужно. Таким образом, уязвимые системы могут жить годами без проверок, при этом спокойно отдавая данные реальным хакерам, – рассказывает Арман Абдрасилов. – Мы обсуждали вопрос с работниками отдела “К” (по расследованию киберпреступлений) МВД, полицейские признают рост инцидентов, но в то же время не привлекают к расследованию частных экспертов из-за различных ограничений. Одной из проблем, о которой мы говорили со специалистами отдела “К”, был запрет на пользование смартфонами и ограниченное использование Интернета (!) внутри зданий. Думаю, это сильно осложняет проведение расследований. Гарантий безопасности персональных данных казахстанцев нет

Компенсация за дуристику

Другая острая проблема – квалификация этих самых сотрудников.

– В МВД берут выпускников своих же академий, которых отбирают по другим признакам, нежели успех в математике или программировании. Талантливые IT-специалисты или победители математических олимпиад не станут поступать в высшую школу полиции и жить в казарме. Никогда компьютерный гений не станет шагать по плацу! – рассуждает директор ЦАРКА.

В то же время профессионал может согласиться на менее оплачиваемую работу в пользу интересного проекта.

– Госслужащие часто жалуются: “Мы не можем платить столько, сколько платите вы, именно поэтому у нас слабые специалисты”. Я всегда отвечаю – люди идут в IT и ИБ за проектами, интересной командой, руководителями, а все остальные вопросы, в том числе по зарплате, – второстепенны. Кандидаты на работу в ЦАРКА этот вопрос задают последним, – отмечает Арман. – А когда претендент приходит, условно, в акимат, он понимает, что будет заниматься дуристикой и ненужными отписками. Поэтому пытается понять уровень компенсации, которую он получит за неприятный процесс. В такой ситуации, естественно, первый вопрос: “За какую зарплату я должен всё это терпеть?”.
Собеседник приводит в пример Багдата Мусина, который пришел в комитет по правовой статистике и спецучетам Генпрокуратуры.
– С Багдатом пришла команда специалистов, несмотря на меньший уровень зарплат и условия труда. Фактор интересного проекта и команды оказался важнее. Возможность поработать с Big Data, большими объемами закрытых данных и аналитикой привлекла энтузиастов. Примерно то же самое сейчас пытаются делать цифровые заместители министров. К примеру, Рустем Бигари – замминистра образования по цифровизации, специалист по кибербезопасности или Руслан Енсенбаев – заместитель министра финансов, они оба занимаются важной и интересной задачей отцифровать и обуздать большие данные с целью повысить прозрачность и эффективность своих министерств. Может, пора и в МВД ввести должность заместителя по цифровизации? – задается вопросом глава ЦАРКА.

Недоотрасль Аа123456

Строительство киберщита также замедлилось, продолжает эксперт.

– Начали мы бурно, но сейчас процесс тормозится и, боюсь, вообще остановится. Отрасль кибербезопасности в стране полноценно не сформировалась – получилась какая-то недоотрасль. Нет полноценных компаний-лидеров, которые видят себя на этом рынке в долгосрочной перспективе – всё по-прежнему решает толстолобый чиновник. В итоге страна владеет множеством убыточных компаний, которые живут за счет дотаций и монополизации рынка. АО “НИТ” – яркий представитель, к которому законодательно прикреплены все крупные IT-разработки без необходимости конкурировать с рынком. Я уверен, что в честной конкуренции такие компании не выдержат борьбы. Частник сделает работу быстрее, качественнее и намного дешевле своего государственного аналога, – говорит директор ЦАРКА.

Ну а пока государство создает новые уязвимые системы, из которых, словно сквозь сито, утекают наши персональные данные, эксперты напоминают о простейших правилах кибергигиены: использовать лицензионное ПО (программное обеспечение), антивирус, двухфакторную авторизацию (SMS, сложные и разные пароли для входа в почту и системы) и не переходить по подозрительным (недоверенным) ссылкам.
И в то время как специалисты борются за информационную безопасность страны и ее граждан, где-то в ЦОНе очередной клиент вставляет флешку в зараженный компьютер и копирует свою ЭЦП со стандартным паролем Aa123456…

НУР-СУЛТАН