Проходной двор: Насколько защищены данные украинцев в интернете?

FavoriteLoadingзакладки →

Впервые о внешних киберугрозах в Украине заговорили после Революции достоинства, обозначив новый фронт гибридной войны с российским агрессором. После очень убыточного для экономики вируса Petya власти перешли к более активным действиям: в законодательстве появились понятия кибербезопасности и киберинцидента, а также учредили новые структуры, которые должны обеспечивать работоспособность и защищенность критической инфраструктуры страны. Однако независимые эксперты в сфере информационной безопасности до сих пор находят уязвимости чуть ли не в каждом государственном интернет-ресурсе, последствия которых никто не решается спрогнозировать: это может быть как аварийная ситуация на атомной станции, так и слив скан-копий паспортов граждан Украины, на которые кто-то оформит кредит. По словам экспертов, особую пикантность ситуации придает то, что вся эта информация и так лежит в открытом доступе — взламывать ничего не нужно. В то время, пока СБУ и Киберполиция отчитываются о поимке очередного цифрового преступника, информационная безопасность украинских ресурсов остается в плачевном состоянии, — и злоумышленникам грех этим не воспользоваться. Чиновники от этого прикрываются нормами законодательства: мол, оно пока что недостаточно регламентирует зоны ответственности, чтобы обязать внимательнее относиться к кибербезопасности.

Полная картина при этом до сих пор скрыта от глаз: для этого нужно провести аудит информационной безопасности объектов критической инфраструктуры, но это делают единицы.

Серфить в интернете – любимое занятие для тех, кому бывает нечем заняться дома. Кто-то сутками напролет общается в соцсетях, кто-то смотрит стримы геймеров в «Дота», а кто-то просто рыщет в поисках анекдотов и кулинарных рецептов. Однако, имея минимальные знания по разработке сайтов, в увлекательном путешествии по всемирной паутине можно найти гораздо больше информации (не говоря уже о Darknet, где можно найти магазины оружия, рабов, наркотиков и купить адреса электронных почт, номера кредиток и вредоносные программы): например, открытые пароли администратора сайта МВД или паспорта чиновников на сайте Национального агентства по вопросам государственной службы. Такие «открытые в мир» данные регулярно находит волонтерская инициатива «Украинский киберальянс», начавшая свою деятельность с начала войны. В эту группу входят специалисты по информационной безопасности, которые в свободное от работы время находят на сайтах объектов критической инфраструктуры Украины уязвимости и информируют об этом их владельцев. Такой подход «этичных хакеров» вписывается в политику ответственного разглашения (responsible disclosure policy), чтобы администраторы веб-ресурсов могли успеть закрыть уязвимость прежде, чем ею воспользуются злоумышленники. Однако чиновники такие сообщения волонтеров игнорировали или даже реагировали на них с агрессией: мол, не лезьте, куда не просят, а у нас все хорошо. Активисты утверждают, что их работу никак нельзя назвать «несанкционированным вмешательством»: то же самое может сделать любой пользователь, просто «шарясь» вечером в интернете.

«Наиболее распространенной ошибкой оказались не слабые пароли или антивирусная защита — их мы не проверяли — а то, что важная информация лежит онлайн на FTP (протокол передачи файлов по сети) или общем сетевом диске без пароля», — заявил в спикер «Украинского киберальянса» в 2017 году, скрываясь под ником Шон Таунсенд (Андрей Баранович). После такой безответной любви к защите цифровых данных активисты начали рассказывать о выявленных уязвимостях в соцсетях, чтобы пристыдить чиновников и заставить их активнее реагировать в публичной плоскости: такие записи в Facebook делались с хештегом «f*ck responsible disclosure». Флешмоб волонтеров раскрыл глаза на то, как хранятся данные украинцев и к чему это может привести. «В число найденных ресурсов попало управление Национальной полиции в Киеве, Академия МВД — на открытом диске лежала база данных сайтов и база офицеров, НАПК, «Энергоатом», включая отдел ядерной безопасности Запорожской АЭС — у них в открытом доступе лежало все, начиная от чертежей реактора 1984 года и до последних отчетов», — сообщали тогда волонтеры.

За несколько лет они выявили сотни уязвимых ресурсов, начиная от районного ЖЭКа в Днепре и заканчивая «Укрзализныцей». Из недавнего: в январе активисты обнаружили, что на сайте НАГС (укр. НАДС, Національне агентство з питань державної служби) в открытом доступе лежат сканы паспортов и резюме чиновников, а QR-код на квитанции за коммунальные услуги ГИВЦ (укр. КП «ГІОЦ» КМДА) позволял узнать место прописки любого киевлянина.

По словам экспертов в сфере ИБ, государственные органы воспринимают информацию о найденных уязвимостях чаще всего недоброжелательно и не спешат их устранять, в отличие от частных структур, где за это поблагодарят и дадут денежное вознаграждение – так называемое Bug Bounty.

В феврале волонтеры заявили о прекращении своей деятельности, которая была направлена на помощь государству в защите своих информационных ресурсов. Но на этот шаг их подтолкнули не сложности взаимопонимания с чиновниками: у членов альянса сотрудники киберполиции провели обыски, подозревая в организации прошлогодней хакерской атаки на одесский аэропорт.

При этом за неделю до того, как на информационных табло вместо логотипов авиакомпаний высветилась фотография Греты Тунберг, один из волонтеров сообщал об уязвимости и в СБУ, и в руководство самого аэропорта с просьбой «пофиксить баги».

Члены «Украинского киберальянса» воздерживаются от высказываний по поводу того, чем они так не угодили правоохранителям, которым неоднократно помогали по служебным вопросам «по дружбе», в частном порядке. Адвокаты утверждают, что произошедший инцидент никак нельзя квалифицировать как уголовное преступление: сторона обвинения не знает, кем конкретно и какими методами было произведено «несанкционированное вмешательство», которое к тому же не повлекло за собой значительный ущерб и не было совершено повторно, как того требует соответствующая статья ККУ.

А у независимых наблюдателей свое мнение на происходящее: государственные структуры не имеют ни опыта, ни желания серьезно заниматься темой информационной безопасности.

«Имитировать деятельность нужно всегда, чтобы показать, что идет борьба со злоумышленниками и что существование всех этих структур оправдано. На мой взгляд, эти ребята были лучшими в стране в сфере информационной безопасности, и их, наоборот, можно было бы привлечь к следствию в качестве экспертов. Однако очень часто все эти обыски, причем со спецназом и камерами, — ничто иное, как способ получить контроль и выгоду с доходного IT-бизнеса: по моим наблюдениям, с 2005 произошло около двухсот обысков в айти-компаниях, и ни один еще не закончился тем, чтобы кого-то посадили. Зато дорогостоящую технику забирают и арестовывают. У ребят забрали даже мониторы и роутеры — какая на них может быть информация? Для этого достаточно сделать посекторную копию с жесткого диска, что и предусмотрено законом, но на практике у компаний часто забирают всю технику и возвращают ее через несколько лет, когда она уже никому не нужна, либо вообще не возвращают», — рассказывает главный редактор профильного издания InternetUA Дмитрий Сизов.

Кибербюрократия

Поиском уязвимостей в украинском киберпространстве волонтеры занимаются не целенаправленно и сталкиваются с ними часто по случайности, в качестве побочного продукта от своей основной занятости – аудита информационной безопасности различных компаний. Впрочем, этим на регулярной основе должна заниматься Команда реагирования на компьютерные чрезвычайные события Украины (CERT-UA), которая официально начала работать при Госспецсвязи в 2014 году. К тому моменту в службе на общественных началах уже трудились 10 человек, но штат остается недоукомплектованным по сей день (хотя студентов подведомственного института в КПИ регулярно приглашают на прохождение практики).

Задачи по защите информации госорганов власти начали ставить еще 20 лет назад вместе с вступлением в силу закона «О защите информации в информационно-телекоммуникационных системах». Пока интернет-покрытие постепенно расширялось по всей стране, заманивая «юзеров» удобством онлайн-общения и всевозможными развлечениями, об опасностях, которые таит в себе киберпространство, никто серьезно не задумывался. Новый вектор развития ситуация обрела после Революции достоинства, когда заговорили о гибридной войне. Хакерские атаки на украинские госструктуры производились и до этого, однако самой показательной стала DDoS-атака на систему «Выборы» в ЦИК: за 12 минут до закрытия избирательных участков система дала сбой, а на российском «Первом канале» продемонстрировали скриншот сайта с результатами, согласно которым лидер партии «Правый сектор» существенно опережал Порошенко (позже его стали называть «картинкой а»).

В последующие годы хакерские атаки направлялись не только на сознание граждан, но и на их физические и материальные условия жизни: в 2015-м вирус BlackEnergy заблокировал работу «Прикарпатьеоблэнерго», обесточив 230 тыс. жителей на 1-6 часов; в 2016-м — задержка бюджетных выплат из-за атаки на Госказначейство, Пенсионный фонд и Минфин; в 2017-м —  вирус Petya, который, по разным оценкам, нанес экономике Украины ущерб от 10 до 14 млрд грн, распространившись и на сети международных компаний (источником заражения оказалась программа отечественной разработки по работе с бухгалтерской отчетностью M.E.Doc).
После всех этих памятных для каждого специалиста по ИБ событий правительство постепенно начало создавать новые законы и органы, отвечающие за кибербезопасность.
Так, с тех пор НПУ расширилась новым Департаментом киберполиции, в СБУ появился Ситуационный центр обеспечения кибербезопасности (на базе Департамента контрразведывательной защиты интересов государства в сфере информационной безопасности), в СНБО — Национальный координационный центр кибербезопасности, а Минцифра работает над открытием Офиса реформ в сфере кибербезопасности. Помимо всего прочего, в каждом государственном органе — даже если он находится в сельской глубинке — обязательно иметь по штату специалиста в сфере информационной безопасности.
Однако законодательная база, регламентирующая деятельность всего и каждого в этих структурах, остается недоработанной, чем и прикрываются чиновники в ответ на обвинения в некомпетентности.

Так, принятый в 2018-м закон «Об основах обеспечения кибербезопасности Украины» обозначил, что объектами критической инфраструктуры являются предприятия и учреждения любой формы собственности, от которых зависит стабильность промышленности, экономики и безопасности страны, и их выход из строя может привести к значительным человеческим жертвам и финансовым убыткам. К списку таких объектов можно отнести большинство предприятий– от облводоканала и провайдера сотовой связи до гиганта пищевой промышленности и атомной станции. На руководство этих объектов возлагается обязанность защищать свои информационно-сетевые системы от потенциальных киберугроз, однако норма эта – декларативна: мера ответственности за ее несоблюдение не прописана и не персонализирована, да и обязать дирекцию частных компаний тратить деньги на проведение аудита информационной безопасности проблематично.

Кроме того, конкретный перечень объектов критической инфраструктуры, требования к их киберзащите и проведению аудита ИБ Кабмин до сих пор не утвердил. Точно так же в правительственных кабинетах застряли проекты стратегий по кибербезопасности на 2019 и 2020 год, хотя в профильном комитете ВРУ взялись уже за разработку новой пятилетней стратегии на 2020-2025 годы. «Этот закон установил также перечень основных субъектов национальной системы кибербезопасности, которые тоже должны в обязательном порядке проводить аудит информационной безопасности своих систем. Это Госспецсвязи, НПУ, СБУ, Минобороны и Генштаб ВСУ, разведывательные органы и Нацбанк. Однако, по моей информации, об этом на сегодняшний день позаботились только в Нацбанке», — рассказывает глава Интернет-ассоциации Украины и нардеп Александр Федиенко.

В мире дикого интернета

С недавних пор начали действовать еще одни требования: госорганы должны подключаться только к тем интернет-провайдерам, которые имеют защищенные узлы доступа к глобальной сети и подтверждающий это аттестат КСЗИ (комплексная система защиты информации). Однако эксперты считают, что в большинстве своем это «филькина грамота», которая на практике ни от каких уязвимостей не спасает: формально госорганы сотрудничают только с теми операторами, у которых есть КСЗИ, однако в целях экономии выбирают стандартный тарифный план, не предусматривающий такую систему защиты. «Кроме того, даже этих мер недостаточно, чтобы спастись от внешней кибератаки. КСЗИ должен обеспечиваться не только со стороны провайдера, но и со стороны реестров, операторов информации. Все узлы информационной и сетевой системы должны быть защищены», — объясняет Александр Федиенко.

Рейтинг кибербезопасности стран (Global Cybersecurity Index, составляет Международный союз электросвязи при ООН)

Кроме провайдеров для госорганов, требование иметь КСЗИ теперь распространяется на все-все объекты критической инфраструктуры страны: согласно постановлению КМУ, этим и обеспечивается их киберзащита. При этом отдельные эксперты в сфере информационной безопасности считают, что стандарты, по которым проходит аттестация КСЗИ, откровенно устарели: каждый день технологии двигаются вперед семимильными шагами, и за ними порой не успевают даже сами айти-специалисты, не говоря уже о бумажных регламентах, которые безнадежно устаревают на столах различных комитетов, комиссий и канцелярий.

«Сейчас складывается такая ситуация, что КСЗИ – это документ о виртуальной защите от виртуальных угроз. Компания, которая собирается получить аттестат, чаще всего сама прописывает в документах нужное по своему профилю техническое задание, концепцию, рабочий процесс, методику тестирования, а потом по этим же документам в Госспецсвязи и происходит сверка», — поясняет специалист в сфере информационной безопасности и  руководитель проекта Get PCI Дмитрий Петращук.

С тем, как происходит процесс получения соответствующего аттестата в Госспецсвязи, соглашается и Дмитрий Сизов: «Там буквально сидят люди предпенсионного и пенсионного возраста и проверяют, как поставлены запятые в пояснительной записке. Там смотрят на то, чтобы все совпадало с описанным регламентом и стандартами. А как написан сам код, как реализована сетевая безопасность на практике – этого никто не проверяет. И пентестинг (практическое испытание на проникновение) никто не проводит».
«Общие требования к киберзащите критической инфраструктуры», утвержденные постановлением КМУ в прошлом году, ярко контрастируют на фоне реального состояния украинского киберпространства. Например, несколько лет назад волонтеры «Украинского киберальянса» обнаружили пароль от почтового ящика CERT-UA в открытом доступе из-за ошибки на их сайте, хотя эта служба в Украине и должна заниматься реагированием на компьютерные угрозы, а в прошлом году они выявили в открытом доступе базу данных Национальной полиции Украины (с паролями и логинами, доступом к внутренним сервисам, локальной розыскной базой данных и камерами наблюдения). И это не говоря уже о случае, когда в 2017 году дважды был взломан сайт Министерства образования, на котором рассерженный хакер оставил обнаженные фотографии некой Севастьяновой с подписями вроде «Что с тобой не так, мразь?»

****
Пока специалисты в сфере информационной безопасности и сисадмины «корчатся в муках», видя пароли типа admin и mvd123, которые при этом еще и находятся в открытом доступе, для среднестатистического украинца такой образ жизни в киберпространстве остается нормой.

Некоторые бабушки, которые уже стали вписываться в определенный узнаваемый образ, до сих пор не умеют пользоваться телефоном и с негодованием восклицают: «Не нужОн нам ваш интернет!» Другие с легкостью доверяются телефонному мошеннику, называя ему номер и пин-код банковской карты или с удовольствием спешат получить денежный выигрыш, став миллионным посетителем сайта. Именно такие люди в подавляющем большинстве обращаются с заявлениями в Киберполицию, сотрудники которой быстро находят неопытного в цифровых технологиях преступника: таким мошенничеством часто занимаются бывшие заключенные и подростки.

«Бороться с крупными целенаправленными кибератаками у нас в стране пока никто не может. Тем более, что абсолютно любую систему можно взломать. Работа спецслужб в этом направлении будет проделана так, что не оставит и следа. Нас спасает только одно: все те данные, которые могут находиться в открытом доступе или попасть в руки к злоумышленникам, настоящим врагам не интересны, а мелких воришек у нас сажают и так», — считает Дмитрий Сизов.

«В отличие от европейских стран, уровень диджитализации у нас в стране не такой уж и высокий. Так что в каком-то роде и защищать приходится меньше: многие предприятия, в том числе объекты критической инфраструктуры, все еще используют устаревшие информационно-телекоммуникационные сети, которые не связаны с внешней глобальной сетью. И такой консерватизм может в какой-то момент сыграть на руку», — заключает Дмитрий Петращук.

Ксения Цивирко