[:ru]
Кто стоит за хакерскими взломами, насколько казахстанское законодательство, а также электронные госуслуги соответствуют реалиям времени и ушёл ли в прошлое знаменитый «троян», рассказал глава ЦАРКА Олжас Сатиев
Ежедневно огромное количество персональных данных граждан передается на хранение в различные информационные системы: интернет-банкинг, электронное правительство, различные социальные сети и мессенджеры являются лакомым кусочком для хакеров и мошенников. При этом уровень защиты тех или иных ресурсов не всегда соответствует необходимым критериям. Для примера, в июле 2019 Центр анализа и расследования кибератак (ЦАРКА) сообщил, что в сеть утекли данные 11 млн казахстанцев. В разное время ЦАРКА также сообщал о несовершенной защищенности крупных национальных ресурсов, в том числе государственных, и даже демонстрировал как можно получить нелегальный доступ на тот или иной портал, на котором хранится колоссальное количество информации. Forbes.kz поговорил о кибербезопасности с главой Центра Олжасом Сатиевым.
F: Олжас, как сегодня государство защищает персональные данные граждан?
— Этим направлением занимается сразу несколько ведомств. Министерство цифрового развития, инноваций и аэрокосмической промышленности РК, выступающее регулятором данной сферы, занималось разработкой концепции «Киберщит». При Государственной технической службе КНБ РК есть подразделение, которое называется Служба реагирования на компьютерные инциденты. Задача этой структуры — мониторинг государственных информационных систем и правительственных ресурсов на уязвимости и утечки данных. Также в Казахстане есть 7 частных организаций — оперативных центров информационной безопасности (ОЦИБ): ЦАРКА, «Транстелеком», «НИТ», «Тенгри Секьюрити» и так далее.
F: Какова суть концепции «Киберщит»?
— Каждый ОЦИБ обслуживает своих клиентов: государственные структуры, национальные и частные компании. В случае, если в подотчетной организации произошел взлом, оперативный центр должен немедленно сообщить об этом в Национальный координационный центр информационной безопасности (НКЦИБ) при ГТС КНБ РК. Это сделано для того, чтобы шел обмен информацией и была единая база данных по инцидентам. Пока еще это не до конца отрегулировано и налажено, есть много вопросов к работе самого ГТС, но запланировано именно так.
F: Есть ли успехи в борьбе с киберпреступностью?
— Есть, и на это повлияла деятельность именно частных cybersecurity-компаний в Казахстане, которые сообщают о различных утечках, оповещая при этом и владельцев систем. Мы практически каждую неделю публикуем информацию о подобных инцидентах. Государственные органы, к сожалению, не могут работать также эффективно. Раньше полноценным анализом защищенности Казнета, поиском утечек и мониторингом хакерских форумов никто не занимался, и было неясно, защищены наши граждане или нет.
Информационная безопасность – неосязаемая вещь. Пока кто-то не взломает систему, не известно — надежно ли защищен объект и эффективно ли была работа ответственного органа. Исходя из нашего опыта, можно сказать, что безопасность была на очень низком уровне. Сейчас происходит существенный сдвиг. Есть такое понятие как мировой индекс киберготовности. Мы добились, чтобы его стандарты внедрили в концепцию «Киберщита», и министерство нас поддержало. Если несколько лет назад мы были на 108-м месте в этом рейтинге, то сейчас мы поднялись на 40-е место в мире. Я считаю, что это в том числе и заслуга ЦАРКА. Мы планируем войти в десятку стран по этому показателю в течение ближайших 5 лет.
F: Насколько компетентны специалисты в сфере кибербезопасности, работающие в госструктурах?
— Ситуация довольно печальная, но это происходит не только в Казахстане. Специалист с опытом не менее трех лет в этой области может получить на рынке как минимум 500 тыс. тенге. При этом существуют ряд других факторов: условия труда, график работы и так далее. Поэтому мы видим некоторые проблемы в борьбе с хакерами. Чтобы с ними успешно бороться, нужно быть хотя бы на том же уровне (мы не рассматриваем обычных интернет-хулиганов, которые взламывают страницы в социальных сетях, мы говорим о противостоянии серьезным хакерским группировкам).
В ряде стран, в том числе и в России, есть Group IB, которые на платной основе занимаются расследованиями различных инцидентов. Я считаю, что и нам также стоит пойти по этому пути и отдавать рынок в частные руки. К сожалению, сейчас информационная безопасность слабо развивается и страдает в Казахстане как раз из-за того, что многие услуги монополизированы государственными органами. Во всем мире стандартной практикой является взращивание частных компаний и передача заказов в их руки, так как это стимулирует развитие отрасли. Не менее важно, что частные компании с этим продуктом могут выйти и на другие рынки. Да и качество продуктов у частных компаний намного выше, чем у государственных.
В США даже разработку кибероружия отдают на аутсорс, а работники спецслужб уже выступают в роли кураторов. Тот же Эдвард Сноуден, пусть это и не самый правильный пример, не был кадровым разведчиком — он был из частной компании, которая выполняла контракт государства. Если возвращаться к Сноудену, то предателем может оказаться и кристально чистый на первый взгляд офицер.
F: В нашем законодательстве оговорены вопросы защиты персональных и баз данных?
— У нас есть свои нормативы и правила — тот же закон о персональных данных и их защите, согласно которому виновник утечки личных данных штрафуется на 300 МРП. Однако в Казахстане еще не было прецедента, чтобы кто-то понес ответственность за подобное нарушение. И я считаю, что нужно ужесточать наказания. Ну что такое штраф? Нам нужен четко проработанный закон, который бы реально работал.
F: Кто чаще всего взламывает казахстанские базы: иностранные хакеры или отечественные?
— По-разному. Совсем недавно была массовая атака на один из банков. Как мы установили, это были турецкие киберпреступники, они одновременно атаковали и грузинские банки. Часто наши ресурсы атакуют иранские хакеры, палестинские. Российским хакерам мы также интересны, потому что у нас общий язык и им легче разбираться в наших реалиях. Местные хакеры тоже этим занимаются. Особенно много взломов от них мы обнаруживаем в образовательной сфере: подмена оценок, взлом систем тестирования.
F: Это группы или одиночки?
— Есть и группы, правда, они пока не такие крупные, как зарубежные.
F: ЦАРКА является разработчиком системы WebTotem. Что это за программа?
— WebTotem — это сервис мониторинга и защиты веб-ресурсов. Мы совместно с министерством цифрового развития мониторим весь сегмент, расположенный в зоне домена .kz на угрозы, взломы, утечки — это порядка 140 000 доменных имен. Когда мы фиксируем подобные вещи, сразу об этом официально сообщаем. Благодаря совместной работе с министерством мы снизили время реагирования на киберинциденты с одного месяца до одного дня. В прошлом году снизилось количество взломанных ресурсов с 638 до 10 вебсайтов.
Мы закончили первый этап пилотирования с министерством и переходим с нового года во вторую фазу: займемся внедрением модулей защиты WebTotem в государственные веб-ресурсы не только для мониторинга, но и для уже активной защиты. Это позволит нам уже через год составить полную карту кибератак на Казахстан и предсказывать заранее более 90% планируемых атак. На базе полученных больших данных будет строиться модель обучения системы, которая позволит в ближайшем будущем использовать искусственный интеллект для защиты наших информационных границ.
F: Во сколько вам обошлась разработка этой программы?
— Мы вложили в нее более 100 млн тенге инвестиций как наших собственных, так и заемных. Как видите, у нас нет государственных денег и грантов. Мы потратили на создание WebTotem около 3 лет. Сейчас я как раз нахожусь в США и в пятницу, 22 ноября, буду выступать со своим проектом перед чиновниками в Вашингтоне. Наш проект был отобран правительством США как один из перспективных проектов в развивающихся странах. В общей сложности они отобрали 30 проектов со всего мира.
F: Меняются ли сегодня методы взлома ресурсов по сравнению с инцидентами 20-летней давности, когда были популярны различные вирусы вроде «троянов»?
— Нет. Появляются новые языки программирования, но если в целом брать картину, то все атаки сводятся к тому же, что было тогда. Программы для атак усовершенствуются, инструменты для взлома обновляются. Все сводится к классическому противостоянию брони и снаряда.
F: Можете ли вспомнить самые крупные хакерские взломы в Казахстане?
— Этим летом мы говорили о утечке в сеть 11 млн данных граждан. В прошлом году мы сообщали про критические уязвимости в системе документооборота (этой системой пользовались практически все госструктуры). Возник вопрос национальной безопасности, ведь любой менеджер поддержки мог получить доступ к любым данным. Также можно вспомнить атаку на главный форум бухгалтеров – BalansKz, о которой также мы сообщили.
Не все инциденты мы доводим до общественности, но обязательно сообщаем тем компаниям, которые были взломаны. Утечек происходит много, и даже мы не всегда знаем об этом — пока сам не проверишь данный ресурс, либо информация о взломе не появится на хакерских форумах. Зачастую мы не успеваем обрабатывать всю поступающую к нам информацию. У нас самый большой IT-чат в telegram, и благодаря нашему активному коммьюнити мы получаем большой поток информации о безопасности практически всех информационных систем в Казахстане. Не хватает рук все это отрабатывать, так как эту работу мы проделываем бесплатно. В бюджет государства пока не заложена финансовая поддержка частных CERT (служб реагирования на компьютерные инциденты).
F: Вы не раз упоминали про хакерские форумы. Они находятся в даркнете? Или их можно найти в открытом доступе?
— Есть и в даркнете. Существуют telegram-чаты, куда можно зайти по приглашению. Имеются закрытые хакерские форумы, на которые можно попасть, заплатив определенную сумму. Иногда требуется только поручительство нескольких уже зарегистрированных хакеров. На этих площадках публикуются объявления о покупке и продаже персональных данных. Там можно даже приобрести паспорт. Этот рынок существует давно. Форумы постсоветского пространства считаются одними из наиболее крупных. Идет бурный рост китайских площадок, ну, и, конечно, есть свои площадки в Европе, США, Латинской Америке.
Нужно понимать, что хакерская группировка – это не обязательно банда из нескольких ботаников в очках. Зачастую это ОПГ, в которых находятся по 100 человек и которые уже делятся на технический отдел программистов, которые занимаются написанием вирусов, троянов и так далее. Есть отдел, который занимается вербовкой сотрудников банка. Есть те, кто занимается финансовыми вопросами и следят за очистку денег. Специализаций там много. На черном рынке крутятся большие деньги, поэтому желающих атаковать тот или иной ресурс, особенно если он плохо защищен, будет предостаточно.
[:]
