Эксперты о слабой информационной защищённости государственных систем и нынешних попытках всё исправить
Системная уязвимость
Фото с сайта kstnews.kz

В 2018 году в Казахстане начала действовать концепция «Киберщит». Её появлению предшествовало долгое отсутствие интереса к проблеме информационной безопасности, в особенности государственных информационных систем. Прежняя форма регулирования сектора создавала конфликт интересов и поддерживала бездействие правоохранительных органов. Эксперты рассказали Vласти о положении дел в секторе и объяснили почему «Киберщит», решив часть фундаментальных проблем, всё ещё вызывает некоторые вопросы.

В 2017 году, по данным научно-исследовательского института академии правоохранительных органов при Генеральной прокуратуре, в Казахстане было зарегистрировано свыше 1000 киберпреступлений. Их раскрываемость при этом составила не более 3%. По этой причине страна заняла 83 место из 165 в Глобальном индексе кибербезопасности, который составляет Международный союз электросвязи при ООН. Среди стран бывшего СССР позиции Казахстана существенно ниже России (10 место), Беларуси (39 место), Азербайджана (48 место) и Украины (59 место).

Попытки государства купировать эту проблему чаще всего оборачиваются ограничением права на свободу высказывания. Между тем остроту постепенно набирает другая её сторона - степень защищенности государственных информационных систем. По оценке Олжаса Сатиева, президента Центра анализа и расследований кибератак (ЦАРКА), проблемы с ней действительно есть и они довольно серьёзные. А их главная причина - дефицит специалистов. «Хороший специалист по информационной безопасности стоит около 500 тыс. тенге (в месяц - V). Мы понимаем, что зарплатная сетка госорганов зачастую не позволяет платить такие зарплаты, но расследования инцидентов требуют соответствующей квалификации, не ниже уровня хакера. На патриотизме тут далеко не уедешь», - констатирует эксперт.

Глава Казахстанской ассоциации информационной безопасности Виктор Покусов заметил, что последние 10 лет Казахстан оставался пассивным в решении кадрового вопроса: «Хотя у нас была концепция по обеспечению информационной безопасности до 2016 года, но, на мой взгляд, по ней ничего не было сделано. На бумаге всё выглядело супер хорошо, но по факту никаких перемен не случилось». Его слова подтверждает отчёт Международного союза электросвязи за 2015 год. Согласно нему, Казахстан не успел создать основу для реализации международных стандартов информационной безопасности, у страны нет государственной дорожной карты по кибербезопасности, нет стандартов оценки её развития и нет официально признанных программ для обмена опытом между государственным и частным сектором. Ситуацию, по мнению Покусова, облегчает лишь то, что регион остаётся не сильно интересным злоумышленникам, в сравнении с Европой и Россией.

К чему привела слабая защита государственных систем? Прежде всего, отмечает Сатиев, к широкому проникновению вирусов в компьютеры государственных органов. Потенциально это открывает хакерам доступ к большим массивам данных как о государстве, так и о населении. Они могут продаваться как в открытом доступе, так и на закрытых хакерских форумах: «Мы регулярно присутствуем на закрытых площадках, потому что иногда там всплывает информация по Казахстану. За этим действительно важно следить, потому что недавно на одном из них продавались данные министерства обороны Шриланки».

В Казахстане, по словам опрошенных Vластью экспертов, атакам подвергаются как отдельные чиновники, так и различные ведомства с национальными компаниями. Наиболее крупные структуры тоже подвержены им, но информация об этих инцидентах почти не попадает в публичное поле. В числе исключений - случай с сайтом министерства иностранных дел, когда он стал звеном вредоносного ботнета. Основную угрозу эта программа представляла для данных пользователей, но потенциально могла организовать и DDoS-атаку на сайт ведомства усилиями посетителей. Более того, с помощью неё злоумышленники могли получить доступ к серверу самого государственного органа.

Из-за атак подобного рода в продаже могут оказаться личная переписка, записи телефонных разговоров и данные о передвижении людей. В распоряжение хакеров также попадают бухгалтерские балансы, банковская информация, доступ к секретным документам и серверам с большим количеством сайтов. Эти комплекты данных могут использоваться для разного рода правонарушений - от воровства денежных средств и оформления кредитов на третьих лиц, до шантажа и вывода из строя какой-либо инфраструктуры.

ЦАРКА регулярно публикует отчёты о безопасности различных информационных систем и сайтов. Но одним из ярких примеров в практике центра стало обнаружение уязвимости на портале электронного правительства. За день она позволяла скачать с них порядка 40 тыс. документов, а за месяц - почти весь объёма адресных справок, пенсионных сведений и другой информации о пользователях. В центре обнаружили, что брешь действовала на протяжении двух лет, и пока случай не получил резонанс, её даже не пытались закрыть. «У кого-то за это время наверняка могла появиться база по казахстану, которая теперь ждёт своего часа», - полагает Сатиев.

Валерий Блонский, технический директор компании Пацифика - интегратора систем информационной безопасности, вспомнил также о случае взлома бухгалтерского портала Balans.kz. С него были похищены данные порядка 10 тысяч специалистов, которые оценивались по меньшей мере в $10 тыс. Вместе с этим произошла утечка данных из нескольких других государственных сайтов: «По всей видимости, они не представляли большой ценности, но зато сайты были взломаны».

По данным Генеральной прокуратуры, с начала 2017 года по июнь 2018-го в Едином реестре досудебного расследования было зарегистрировано 154 уголовных правонарушения в сфере информатизации и связи. Какая часть из них касалась государственных систем - неизвестно, детальной разбивки ведомство не предоставило. Тем не менее, почти половина из них связана с неправомерным доступом к информации, в информационную систему или инфо-коммуникационную сеть. Другая крупная часть преступлений приходится на неправомерное уничтожение и модификацию информации. Но вопросы о том, как расследуются эти инциденты и какой денежный ущерб они наносят в ведомстве оставили без внимания.

Впрочем, оценить реальный масштаб утечек и их ущерб не представляется возможным, уверен Блонский. «Организации и ведомства, как правило, не заинтересованы в публикации такой информации. Более того, они просто могут об этом не знать. Чтобы подтвердить это, нужно обнаружить утечку и купить данные у того, кто ими завладел. Но в норме этого никто не делает». Сложности здесь, уточнил эксперт, начинаются непосредственно с аудита безопасности, и связаны они с квалификацией и мотивацией специалистов. Довольно часто их работа ограничивается формальной проверкой по чек-листу, тогда как к ней необходимо привлекать хакеров, которые способны провести более глубокий анализ.

Как прежде регулировалась информационная безопасность?

До недавнего времени регулирование информационной безопасности было либо слишком дроблённым, либо слишком централизованным. Примером последнего Сатиев назвал локализацию этих функций наравне с функциями оператора IT в министерстве информации и коммуникаций. Это вылилось в конфликт интересов: Мининформации сам развивал электронное правительство и сам же, с помощью комитета информационной безопасности и Государственной технической службы (ГТС), обеспечивал безопасность систем.

Войти
У вас уже есть аккаунт? Войдите

Репортер интернет-журнала Vласть

Еще по теме:
Свежее из этой рубрики
Loading...