6793
19 февраля 2019
Текст: Данияр Молдабеков. Иллюстрации: Айгуль Нурбулатова

Евразийский киберсоюз

История о несамостоятельности Казахстана в области кибер-безопасности

Евразийский киберсоюз

В ноябре 2017 года, выступая на пленарном заседании мажилиса, министр информации и коммуникаций Казахстана Даурен Абаев говорил о контроле. «Самое главное в нашей работе – это контроль. Поэтому до конца следующего года мы внедрим автоматическую систему контроля, данная система будет контролировать весь Интернет, проводить обзор информации в Интернете. Конечно, для этого необходимо время, я уверен, что мы реализуем этот проект», - обещал министр.

В настоящее время информационная система «Автоматизированный мониторинг национального пространства (в ответе МИК на наш запрос ее также называют просто – Система)» принята в промышленную эксплуатацию.

Комитет информации МИК начал работу над этим проектом в 2017 году. Система стоила порядка 1,7 млрд тенге. Сообщалось, что она будет представлять собой единый программно-аппаратный комплекс, функционирующий на принципах обработки больших объемов данных.

Примечательно, что в Казахстане есть, по меньшей мере, три компании, которые уже не первый год предоставляют услуги систем автоматизированного мониторинга государственным органам и компаниям – это Alem Research (система называется Alem Media monitoring), iMAS.kz и Media System (система Brand Analytics). Их мониторинговые системы являются автоматизированными, представляют собой единый программно-аппаратный комплекс, функционирующий на принципах обработки больших объемов данных. То есть, характеристики уже существующих систем соответствуют тем характеристикам, которые, по информации СМИ, должны были быть у заказанной МИК системы.

Общая сумма, на которую эти компании продали государству свои мониторинговые системы за последние годы, составляет не менее 258 млн тенге. Среди заказчиков самые разные госорганы – МВД, управления внутренней политики акиматов, прокуратура.

CEO компании Alem Research Сергазы Нарынов в интервью Vласти, ссылаясь на свой опыт, заметил, что государство тратило еще большие деньги на такого рода системы. «Такие системы уже покупали. Миллиарды уже тратились. И не раз. Была такая информационная система Clara Bridge. Государство покупало ее тоже за миллиарды тенге. Но не использует. Она не заработала. Фактически ее сейчас списывают», - сказал Нарынов.

Мы обратились с письменным запросом в МИК, чтобы понять: зачем ведомство потратило большие деньги на разработку Системы, аналоги которой уже используют другие государственные органы? В министерстве, сообщив о поступлении Системы в эксплуатацию, заметили, что «одним из ключевых требований конкурсной документации была разработка компонентов Системы, обеспечивающих мониторинг и распознавание текстового и аудиовизуального контента на казахском языке». В связи с этим в ведомстве отметили, что на отечественном рынке лишь единичные компании имеют опыт соответствующих разработок.

«По итогам конкурса, - добавили в МИК, - в соответствии с требованиями законодательства Республики Казахстан о государственных закупках победителем была признана казахстанская компания ТОО Научно-исследовательская лаборатория (НИЛ) “Квант”. Учитывая, что конкурсная документация по проекту создания Системы имела ограничительную пометку “для служебного пользования”, конкурс проводился в закрытом формате только среди компаний, имеющих опыт работы в соответствующей сфере и доступ к документам ограниченного распространения».

Примечательно, что ранее, согласно данным с сайта goszakup.kz, НИЛ «Квант» удалось получить всего один заказ от государства – от министерства образования и науки в 2017-м.

c сайта goszakup.kz

На запрос Vласти, в котором мы интересовались как раз «опытом работы в соответствующей сфере», в НИЛ «Квант» не ответили. Телефон директора НИЛ «Квант» Даулета Андербаева, который указан на том же сайте госзакупок, был отключен.

Квантовое SASледование

В конце 2018 года русская служба BBC, ссылаясь на документы, опубликованные хакерской группой «Digital Revolution», сообщила, что на титульном листе технического проекта автоматизированной системы мониторинга национального информационного пространства Казахстана указано, будто ее разработали в Москве. «При обнаружении материалов, дискредитирующих государство либо содержащих критику в адрес государства (вне зависимости от того, актуальна тема или нет), а также других остроактуальных тем, находящихся на контроле, сотрудник предоставляет видеофрагмент (или ссылку на него в интернете) заинтересованным лицам», - цитировала русская служба BBC украденный хакерами документ.

В документе также сообщается, что генеральным подрядчиком в создании Системы выступила казахстанская НИЛ «Квант», а субподрядчиком – российское Федеральное государственное унитарное предприятие «Научно-исследовательский институт «Квант». Хакеры утверждали, что российский «Квант» отвечал за подсистему распознавания речи на русском и казахском языках (шифр работы, по данным хакеров, назывался «Ангиме», что в переводе с казахского языка значит «беседа» - V).

Другим субподрядчиком якобы выступило российское представительство американской компании SAS. Утверждалось, что они отвечали за разработку программного комплекса, который мог бы анализировать тексты на казахском языке.

В министерстве информации и коммуникаций отрицают какую-либо связь с российским «Квантом» и иностранными компаниями вообще. «Конкурс на разработку системы проводился только среди отечественных компаний и договор на создание этой информационной системы был заключен с ТОО «Научно-исследовательская лаборатория «Квант» (Казахстан – V). По факту возможного размещения технической документации на разработку этой системы на серверах российской компании в Министерстве ведется служебное расследование», - сообщили в МИК в конце декабря прошлого года. Недавно, отвечая на письменный запрос Vласти, в министерстве заявили, что служебное расследование не завершено.

Мы написали запрос в российское представительство компании SAS. Из их ответа следует, что служебное расследование МИК, начатое, судя по заявлениям представителей ведомства, в декабре, продвигается не очень стремительно. «Обращений и вопросов из министерства информации и коммуникаций Казахстана к нам не поступало», - сообщили Vласти в компании SAS девятого января этого года. Четырнадцатого февраля, более чем месяц спустя, в SAS также сообщили, что министерство информации и коммуникаций к ним не обращалось.

Кроме того, в российском представительстве SAS заявили, что в головном офисе компании в США начали проверку. В компании утверждают, что для них «было большим сюрпризом, когда мы появились в мониторингах в таком непривычном контексте».

«Что касается лаборатории «Квант», то поскольку в СМИ говорят, что мы были их субподрядчиком, службы PR и бизнес-этики при штаб-квартире SAS в Штатах инициировали проверку. С учетом рождественских каникул в США и новогодних каникул в России я рассчитываю получить от них статус не раньше пятницы», - сообщили Vласти в московском офисе SAS девятого января. С тех пор прошло больше месяца, но каких-либо данных о результатах проверки мы не получили.

Тем не менее, можно утверждать, что хотя в SAS и называют их упоминание в связи с НИЛ «Квант» «сюрпризом», эти две компании вовсе не так далеки друг от друга. Во всяком случае, на официальном сайте казахстанского «Кванта» компания SAS указана как один из всего пяти их партнеров. О совместных проектах двух компаний, включая возможную разработку программного комплекса анализа текстов на казахском языке, на сайте ожидаемо ничего не говорится.

В то же время в компании iMAS.kz сообщили Vласти, что «текстовый контент на казахском языке система (iMAS.kz – V) может распознавать». «Что до аудиовизуального [контента], мы сейчас над этим работаем», - сказал Vласти CEO компании iMAS.kz Бакытжан Четтикбаев, добавив, что они также работают над тем, чтобы система распознавала контент не просто на казахском языке, но на его латинском варианте.

«Мы бы делали аналогичную систему распознавания аудио-визуального контента максимум год», - сказал Vласти CEO Alem Research Сергазы Нарынов, подчеркнув, что их компанию до конкурса МИК не допустили.

«Я слышал про конкурс МИКа. Он был закрытый, участвовать в нем можно было только по приглашению. Нас не приглашали. Даже не дали вручить документ. Я к ним обращался, к МИКу. Много-много лет назад и практически каждый год я обращаюсь к ним с конкретным запросом – насколько вам интересно то, что мы делаем? Они всегда говорили, что им это неинтересно, что они будут все делать вручную (заниматься мониторингом информационного пространства – V). Подобные вещи у нас делаются вручную, нам такая информационная система не нужна, - так они говорили. А когда случился этот конкурс, нас не пригласили», - подчеркнул Нарынов.

Шпионские системы, санкции и отрицание

Информация об интересе казахстанского правительства к сомнительным программам сомнительного происхождения появлялась и ранее. В феврале 2014 года, пять лет назад, исследовательская лаборатория Citizen Lab при университете Торонто опубликовала исследование, в котором утверждалось, что правительства разных стран использовали шпионскую программу Remote Control System (RCS) итальянской компании Hacking Team. Сообщалось, что RCS способна отслеживать действия на зараженных устройствах, а именно: делать снимки с экрана, подключаться к веб-камере и микрофону, перехватывать переписку и пароли. Исследователи из Citizen Lab отследили конечную точку RCS в Казахстане. По их данным это: «SC Kazakhtelecom Slyzhebnyi: 89.218.88.xxx».

«Мы подозреваем, что двадцать одно правительство использует шпионское программное обеспечение (ПО) RCS от Hacking Team. Если не указано иное, мы определили эти страны на основе отслеживания конечных точек цепочек прокси-серверов Hacking Team: Азербайджан, Колумбия, Египет, Эфиопия, Венгрия, Италия, Казахстан, Корея, Малайзия, Мексика, Марокко, Нигерия, Оман, Панама, Польша, Саудовская Аравия, Судан, Таиланд, Турция, Объединенные Арабские Эмираты и Узбекистан», - заявляли исследователи.

В 2016 году британский новостной сайт The Register, специализирующийся на материалах на технологическую тему, ссылаясь на итальянское издание l Fatto Quotidiano, сообщил, что правительство Италии запретило Hacking Team экспортировать свои шпионские программы.

По данным издания, существовала лицензия, позволявшая Hacking Team продавать RCS за рубеж, и она действовала до 2018 года. Среди покупателей RCS издание называет и Казахстан.

В АО «Казахтелеком» не стали ни подтверждать, ни отрицать связь с Hacking Team. «Согласно внутренним регламентам АО «Казахтелеком», сведения о заказчиках, подрядчиках и поставщиках, клиентах и потребителях, покупателях услуг, посредниках и других партнерах по деловым отношениям, являются коммерческой тайной. В этой связи предоставить информацию на Ваш запрос не представляется возможным», - ответили в компании на запрос Vласти.

изображение с сайта citizenlab.ca

Примечательно, что в связи с Hacking Team и их шпионским продуктом RCS упоминался некий KVANT; об этом свидетельствуют данные, оказавшиеся в открытом доступе, благодаря утечке в WikiLeaks. По данным источников российской версии журнала Forbes, «шпионское ПО скорее всего покупали в интересах ФГУП НИИ «Квант», подконтрольного ФСБ» — то есть, вероятно, того же НИИ, которое якобы выступило в качестве субподрядчика казахстанского НИЛ «Квант» в разработке автоматизированной системы информационного пространства страны.

Из информации того же российского Forbes следует, что «Квант» покупал шпионское оборудование не сам, а через компанию «ИнфоТекс» — крупного российского вендора, который специализируюется на разработках и продвижении средств защиты информации.

Компания «ИнфоТекс» подтвердила Forbes, что они заключили контракт с HackingTeam. «ИнфоТеКС, являясь разработчиком средств защиты информации в т.ч. и для мобильных платформ iOS, Android, серьезно озабочена отрицательными последствиями применения систем, подобных RCS, против интересов своих заказчиков, среди которых множество российских государственных организаций и структур. Приобретение RCS и изучение принципов функционирования этого решения способствовало повышению уровня экспертизы компании в области практической информационной безопасности и увеличению уровня защищенности собственных продуктов», - утверждали в «ИнфоТекс» в 2015 году.

Годы спустя, осенью 2018-го, «ИнфоТекс» вновь появилась в информационном пространстве по не самому веселому поводу: министерство торговли США ввело против этой и еще двенадцати российских компаний санкции. Американцы обвиняют «ИнфоТекс» в злонамеренной деятельности в киберпространстве.

Компания отрицает обвинения: «Руководство Компании ОАО «ИнфоТеКС» заявляет, что никаких действий, направленных на прямую или косвенную поддержку киберпреступников любой национальности, компания никогда не осуществляла, не осуществляет и не планирует делать этого в дальнейшем. Компания ОАО «ИнфоТеКС» производит продукцию, направленную на борьбу с криминальной, деструктивной, незаконной деятельностью киберпреступников, и в дальнейшем планирует развивать и распространять свои продукты, обеспечивая информационную безопасность каждого потребителя».

Распространять свои продукты «ИнфоТекс» берется, в том числе, в Казахстане. В 2014-м году «ИнфоТекс» и казахстанская компания Ak Kamal Security презентовали, судя по всему, совместную разработку. «Казахстанский разработчик средств криптографической защиты информации компания Ak Kamal Security и российская компания ИнфоТеКС, приняли участие в форуме Samsung Business Summit, представив решение под названием ViPNet Client for Android. Данный продукт, который является одной из составляющих комплекса ViPNet KZ, предназначен для обеспечения безопасности мобильных устройств под управлением операционной системы Android, а также обеспечения защищенного удаленного доступа к корпоративным ресурсам при использовании смартфонов и планшетов», - сообщается на сайте Ak Kamal Security.

Собеседник из Ak Kamal Security в телефонном разговоре с Vластью подтвердил, что компании являются партнерами, подчеркнув при этом, что «это не единственная компания, с которой мы сотрудничаем».

ОАО «ИнфоТекс» также, скорее всего, знакомо не только частному казахстанскому бизнесу, но и государству. В Казахстане существует межгосударственный стандарт (ГОСТ), обозначенный как СТ РК ГОСТ Р 34.11-2015 «Информационная технология. Криптографическая защита информации. Функция хэширования».

В комитете технического регулирования и метрологии (министерство по инвестициям и развитию) в ответе на запрос Vласти подтвердили, что этот стандарт «идентичен национальному стандарту Российской Федерации ГОСТ Р 34.11 – 2015 Информационная технология. Криптографическая защита информации. Функция хэширования».

Примечательно, что на сайте единого государственного фонда нормативных технических документов, на котором выложены некоторые страницы ГОСТа, в качестве стандарта, идентичного СТ РК ГОСТ Р 34.11-2015 называется другой стандарт – ГОСТ Р 34.11 – 2012 (а не 2015, как сказано в ответе на запрос Vласти). Информационная технология. Криптографическая защита информации. Функция хэширования».

На сайте standartGOST.ru есть этот документ. В нем сказано, что российский ГОСТ, которому идентичен казахстанский ГОСТ, разработан центром защиты информации и специальной связи ФСБ России с участием ОАО «ИнфоТекс».

В комитете техрегулирования и метрологии в ответ на запрос Vласти, сообщили, что заявителями этого стандарта являются АО Национальный инфокоммуникационный холдинг «Зерде» и РГП «Государственная техническая служба» Комитета национальной безопасности (КНБ) Казахстана.

Упомянутые компании и госорганы не единственные, которые в той или иной форме имели связь с иностранными компаниями, возможно, участвовавшими в киберпротивостоянии между США и Россией. В июне министерство финансов США ввело новые санкции против российских юридических и физических лиц. Среди юрлиц, против которых американцы ввели санкции, были названы три организации – уже знакомый нам НИИ «Квант», ООО «Дайвтехносервис» и консалтинговая компания в области информационной безопасности Digital Security.

«Как заявил министр финансов США Стивен Мнучин, эти компании «подрывают безопасность Вашингтона и его союзников». В качестве примера он привел кибератаку вируса NotPetya (этот вирус, помимо прочего, навредил датскому гиганту A.P. Møller-Maersk, контролирующему пятую часть морских перевозок – V) к которой, по мнению американских властей, причастна Москва», - сообщили в июне 2018 года «Ведомости».

Судя по информации в разделе «клиенты» на сайте Digital Security, эта компания в основном работает с российскими и постсоветскими организациями. Среди них есть как частные, так и государственные.

Например, среди клиентов Digital Security, которая могла подрывать безопасность самих США и их союзников, числится нацкомпания АО «КазТрансОйл» и АО «Kcell», 75% акций которого недавно купила другая нацкомпания – «Казахтелеком».

В АО «КазТрансОйл», отвечая на запрос Vласти, сообщили, что «консалтинговая компания Digital Security оказывала услуги АО «КазТрансОйл» в области информационной безопасности в 2006 году». На наш вопрос по поводу того, проверяли ли в компании свои информационные системы, учитывая возможное участие Digital Security в международных кибервойнах, в «Казтрансойл» ответили: «Информационные системы АО «КазТрансОйл» проверяются на соответствие требованиям информационной безопасности на регулярной основе не менее одного раза в год как внутренними ресурсами АО «КазТрансОйл», так и консалтинговыми агентствами BigFour. По их результатам опасность информационных угроз не выявлена».

На аналогичный вопрос в АО «Kcell» ответили, что компания «пользовалась услугами компании Digital Security один раз в 2015 году, еще до внесения этой компании в санкционный список министерства финансов США, в рамках разового контракта, который закончился в мае 2015 года и больше никогда не возобновлялся».

«В будущем целью стоит как раз импортозамещение»

Некоторое время назад у меня состоялось интервью с директором Центра анализа и расследования кибератак (ЦАРКА) Арманом Абдрасиловым. ЦАРКА принимала активное участие в разработке концепции собственной системы кибербезопасности Казахстана «Киберщит». В ходе интервью с Абдрасиловым у нас, среди прочего, произошел следующий диалог:

- Можем ли мы построить кибербезопасность страны своими силами?

- Без российского участия?

- Без чьего угодно.

- Сегодня – конечно, нет. В будущем целью стоит как раз импортозамещение. По мере возможности мы будем заменять [иностранные] решения на казахстанские. На эти вещи будет выделен определенный бюджет. Это позволит развиваться местным специалистам и компаниям.

ФОТО с сайта profit.kz

В министерстве оборонной и аэрокосмической промышленности (МОАП) в ответ на запрос Vласти сообщили, что в реализации «Киберщита» принимают участие зарубежные компании. Там также добавили, что контакты с этими компаниями «составляют коммерческую тайну и не могут быть переданы в средства массовой информации без их согласия». В ведомстве утверждают, что в области кибербезопасности Казахстан взаимодействует, в том числе, и со странами дальнего зарубежья – с Малайзией, США, Бангладеш, Австралией и т.д.

Любопытно, что в концепции «Киберщита» говорилось о том, что «обеспечение кибербезопасности в конечном итоге зависит от уровня развития отечественной IT-отрасли и электронной промышленности». Для этого в 2018 году в Казахстане, как сообщили Vласти в МОАП, был создан Реестр доверенной продукции электронной промышленности и программного обеспечения.

«Да, реестр поставщиков есть, но пока там только один продукт – система документооборота «Фаворит». Почему с такой ситуацией столкнулись? Задумка правильная, хорошая – реестр отечественных поставщиков, которых можно будет рекомендовать национальным компаниям. Но пока этот механизм не заработал. Понятно, что бизнесмены не будут тратить деньги на процедуры, которые надо пройти. Пока все присматриваются к процессу. Представители компании «Фаворит», попавшей в реестр, говорят, что пока не ощутили на себе какие-либо преимущества», - сообщил Vласти Абдрасилов.

По его словам для попадания в реестр необходимо «показать исходные коды своего продукта». «Это позволяет пользователю, государству понять, что продукт останется работоспособным, не станет частью кибероружия. Чем больше мы пользуемся иностранными решениями… К примеру, система GPS, которой мы пользуемся. Мы знаем, что в странах, у которых были какие-либо конфликты с США, система GPS просто отключалась. Это одна из причин, по которой Россия запустила собственную систему ГЛОНАСС», - добавил Абдрасилов.

ФОТО с сайта 3dnews.ru

***

По данным МОАП, «в настоящее время казахстанское цифровое пространство постоянно подвергается атакам из зарубежного сегмента интернета». «Интернет-пространство так устроено, что бывает сложно определить, от кого исходят атаки. Данные атаки характерны как для государств, так и для преступных сообществ», - сообщили в ведомстве.

Согласно первой редакции глобального индекса кибербезопасности Международного союза электросвязи, на который ссылается МОАП, в 2015 году Казахстан занимал 103 место. В 2017 году страна поднялась в рейтинге, заняв 82 место. Среди постсоветских стран Казахстан занял седьмое место, уступив России, Грузии, Беларуси, Азербайджану, Украине и Молдове.

В МОАП мы также обратились с вопросом о том, может ли Казахстан обеспечивать свою кибербезопасность самостоятельно. В министерстве ответили, что «концепция кибербезопасностия («Киберщит Казахстана») представляет собой комплекс мер, реализация которых осуществляется казахстанскими специалистами с привлечением иностранных компаний. В качестве обязательного требования к внедряемым технологическим решениям, вводится обучение казахстанских специалистов в сфере информационной безопасности».

По данным МОАП в 2018 году курсы повышения квалификации в сфере информационной безопасности прошли около 700 государственных служащих. Министерство образования и науки выделило 675 грантов по специальности «системы информационной безопасности». Еще порядка тысячи специалистов, по данным МОАП, изучили курс «Кибербезопасность», в том числе, в сетевой академии CISCO.

Кроме того, по нашим данным, определенной популярностью у казахстанцев пользуется и российская Академия информационных систем (АИС) – судя по публикациям на сайте, весьма дружественная ФСБ России.

«Да, у нас учатся регулярно казахстанцы, - сказала в разговоре с Vластью начальник учебно-методического отдела АИС Татьяна Халявина. - Большая часть удаленно, но буквально в декабре проходило выездное мероприятие. Наши преподаватели выезжали как раз в Казахстан с курсом «хакерские атаки».

По ее словам, курсы в Академии проходят «примерно два-три человека (граждан Казахстана – V) раз в два месяца».

Халявина сообщила, что количество белорусов и казахстанцев, обучающихся в АИС, примерно одинаковое. «Но в последние два месяца, до Нового года интерес казахстанцев увеличивается. Мы это даже на совещании обсуждали – не открыть ли нам филиал в Казахстане?».

АИС также является «другом» форума Positive Hack Days, который организует российская компания Positive Technologies. С ней осенью 2018-го техническая служба КНБ подписала меморандум о сотрудничестве. В ведомстве сообщили Vласти, что сотрудничество с компанией в первую очередь направленно на обмен знаниями. Договорных отношений в части поставок товаров, услуг и работ между ведомством и компанией, как утверждают в технической службе КНБ, нет.

В Positive technologies, тем временем, делятся весьма серьезными планами. «Для региона характерна достаточная зрелость в области ИТ и понимание важности информационной безопасности (особенно среди организаций государственного сектора и финансовой отрасли).На протяжении нескольких лет мы видим рост востребованности высокотехнологичных продуктов в области ИБ, в частности интерес к нашим собственным разработкам растет в последние три года на 25-30%. Все это в совокупности — высокая концентрация организаций, имеющих потребность в информационной безопасности, зрелость рынка в области ИБ, интерес к нашим разработкам — позволяют нам оценивать общую конкурентную среду благоприятной для Positive Technologies», - сообщил Vласти , директор ТОО «Позитивные технологии» (бренд Positive Technologies) Дмитрий Степанюк.

Среди технологий компании, представленный на казахстанском рынке, есть также две мониторинговые системы: система мониторинга информационной безопасности (MaxPatrol SIEM) и система непрерывного мониторинга защищенности сети АСУ ТП (PT Industrial Security Incident Manager). В компании утверждают, что они «предназначены для работы в рамках инфраструктуры организаций, то есть, не предназначены для мониторинга информационного пространства в глобальном смысле».

На вопрос о том, кто был инициатором меморандума – они или техслужба КНБ – в Positive Technologies отвечать не стали.

Отметим, что по данным МОАП также существует соглашение о сотрудничестве государств-членов Организации договора о коллективной безопасности (ОДКБ) в области обеспечения информационной безопасности. В МОАП сообщили, что соглашение предусматривает добровольный характер с сохранением права выхода из него.

Рекомендовано для вас