Дырка от сервиса

В середине февраля Центр анализа и расследования кибератак (ЦАРКА) объявил об утечке данных в электронных сервисах надзорного органа страны. Причем информация, оказавшаяся практически в свободном доступе, касалась граждан, когда-либо привлекавшихся к административной ответственности. Какие меры госорганы предприняли после выявления уязвимости? Об этом корреспондент “Времени” поговорил с руководителем ЦАРКА Арманом АБДРАСИЛОВЫМ.

- В ноябре 2019 года мы обнаружили уязвимость, позволяющую получить доступ к данным, размещенным на одном из порталов, относящихся к Генеральной прокуратуре, - начинает разговор Арман. - Сразу же поставили в известность сотрудника надзорного органа, поскольку у нас имеется договоренность о направлении подобной информации в рабочем порядке. Это делается для того, чтобы ошибки могли быть исправлены до их огласки. Мы передали информацию ответственному сотруднику, который вскоре сообщил об исправлении ошибки. Однако после перепроверки выяснилось, что все осталось, как прежде.

Эта история повторилась несколько раз. А в феврале этого года мы обнаружили признаки утечки, это вынудило нас принять срочные меры и сделать соответствующее заявление. Публикация значительно ускорила процесс. Насколько нам известно, создана внутренняя комиссия и начата проверка со стороны Министерства цифровизации, инноваций и аэрокосмического развития с привлечением в качестве экспертов специалистов РГП “Государственная техническая служба”. Нас пригласили на встречу с руководящим составом комитета по правовой статистике и специальным учетам, в чьем ведении находятся обсуждаемые сервисы. Руководство комитета заверило нас в том, что будут приняты все меры для решения проблемы.

- Очень интересно. В тот же день, когда ЦАРКА сообщил об утечке, на сайте комитета по правовой статистике и спец­учетам появилось сообщение, что на самом деле данные по административным нарушениям не доступны в сети интернет и вход в систему без специальной идентификации невозможен, выявлены лишь отдельные риски, которые не влияют на уязвимость систем. Объясните: уязвимость есть или нет?

- Сервисы действительно имеют систему авторизации, но она недостаточна для защиты данных и ее легко можно было обойти. Для понимания отмечу, что данные не находятся в открытом доступе, но получить к ним доступ не так уж сложно. К ним не сможет получить доступ, например, моя мама, но человек с IT-образованием или среднестатистический работник IT-компании сделает это без особых проблем. К слову, в Казах­стане таких людей десятки тысяч. Это похоже на то, что металлическая дверь в помещение закрыта на обычный крючок и несложно ее вскрыть, если сильнее дернуть за ручку.

- Раньше комитет по правовой статистике возглавлял Багдат МУСИН, известный специалист в IT-среде. Как вы оцениваете компетентность нынешнего руководителя органа Кайрата ЖАКИПБАЕВА как раз с точки зрения высоких технологий?

- За техническую работу комитета отвечает заместитель его руководителя Баглан БЕКБАУОВ. Я знаю его как высококвалифицированного специалиста и профессио­нала в своей области.

- То есть я хочу понять: у вас после этих встреч появилась уверенность, что собранные в комитете данные о каждом гражданине Казахстана находятся под надежной защитой?

- У комитета действительно много сведений, в том числе о судимостях, адмнарушениях и так далее. Ответ на ваш вопрос, наверное, даст уполномоченный орган после проверки. Пока мы можем только делать предположения, что подобная ошибка может быть допущена и в других сервисах.

- Давайте конкретизируем: информация уже сейчас достаточно защищена или ее начнут защищать после вашего случая?

- Руководство комитета согласилось с мнением о необходимости поиска системного решения на уровне государства. Конечно, можно наказать кого-то из сотрудников за выявленную уязвимость, но нет гарантий, что в дальнейшем проблема не повторится. Нужно разобраться в причинах и найти корень проблемы. Подчеркну: мы не жаждем крови и не требуем наказания или увольнения. Наша задача - защитить данные и недопустить повторения нежелательного сценария. Уголовное дело по факту утечки, если оно, допустим, будет возбуждено, не даст результатов, так как цифровые следы приведут нас к иностранным анонимным серверам и на этом следствие закончится. Почти невозможно выяснить, кто использовал этот сервер.

- Так же, как невозможно вычислить владельцев анонимных телеграм-каналов?

- Сложность задачи примерно одинаковая. Задача решается через развитие международного сотрудничества в области обмена данными. Одним словом, нужен системный подход.

- А в чем ваша мотивация? С какой целью ЦАРКА ищет ошибки в работе электронных сервисов госорганов?

- Таким образом мы проявляем свою активную гражданскую позицию. Мы находим уязвимости и сообщаем о них, чтобы госорганы принимали меры, и эта работа дает свои результаты.

Михаил КОЗАЧКОВ, фото со страницы Армана АБДРАСИЛОВА в Facebook, Алматы