В начале текущей недели эксперты Центра анализа и расследования кибератак ЦАРКА показали уязвимость сайта Верховного суда РК. Недостаток в системе защиты портала позволял при помощи нехитрых манипуляций узнавать место жительства любого гражданина страны. Об этом сообщается на официальной странице ЦАРКА в Facebook.
Надо напомнить, что всего месяц назад ЦАРКА опубликовал результаты взлома умной системы документооборота Documentolog.kz, клиентами которой являются целый ряд крупных компаний, включая «Казатомпром», «Байтерек», «Самрук-Казыну».
Что заставляет ЦАРКА настойчиво провоцировать скандал за скандалом — и кто в очереди на взлом в этой бескомпромиссной игре? На эти и другие вопросы корреспонденту «Капитал.kz» ответил Олжас Сатиев, президент ОЮЛ ЦАРКА.
— Вы провели два взлома — последуют ли новые акции?
— Да, и мы не собираемся это скрывать.
— Вы объявили информационный крестовый поход?
— Можно и так сказать.
— Вы действуете по какому-то плану? Кто следующая цель?
— Следующая цель — портал электронного правительства. На днях узнаете. Дело в том, что 7 августа прошлого года мы выпустили отчет об уязвимости на портале электронного правительства: можно было получить права администратора. Прошел ровно год, недавно мы позвонили в министерство информации и коммуникаций, в Зерде, и напомнили, что уязвимость и по сей день не устранена. Как еще можно разговаривать? Если мы не публикуем отчеты, то никто и не исправляет ошибки. Мы специально это делаем, чтобы показать: иначе эффективно работать не получается.
— В чем была слабость сайта Верховного суда?
— Там была допущена ошибка, которой несколько лет пользовались, например, коллекторы, частные детективы. Достаточно было проделать ряд манипуляций, чтобы найти место жительства любого гражданина страны.
— Публикация помогла решить проблему?
— Да, причем на исправление потребовалось несколько минут. Понятно, что не сам Верховный суд разрабатывал сайт, для этого привлекают подрядчиков. Но есть и некоторая проблема отсутствия контроля. Внутри это выглядит так: после нашей публикации ответственный работник Верховного суда позвонил подрядчику и высказал недовольство. Подрядчик сразу это починил. Хотя этой ошибке уже несколько лет и ее не пытались исправлять. Надеюсь, теперь и судебная система будет к таким вещам внимательна, и сам подрядчик. То есть мы не ставим задачу очернить суд или нанести ущерб имиджу государства, в чем обвиняют нас некоторые чиновники. Просто иначе это не работает, только такие неприятные вещи двигают нашу отрасль вперед.
— Со стороны ваши акции выглядят как самопиар. Особенно ситуация с Документологом.
— Такой оценки никак не избежать. Но в большей степени оценка рынка была для нас негативной, многие не поленились сообщить, что не будут в будущем иметь с нами дела. У нас рынок избалован и выстроен так, что защищает разработчиков ПО. Важно понять, что до прихода ЦАРКА рынка информационной безопасности как такового в стране не существовало вообще. Процессы построены так, что безопасностью заниматься не выгодно. Так что этот пиар направлен не на нас, мы пиарим вопросы информационной безопасности, пытаемся придать этой теме нужную важность. Даже когда компании говорят, что будут заниматься безопасностью, но не с нами — мы рассматриваем это как нашу победу. Если рынок заработает — мы своего добились. Три года назад мы даже в бизнес-плане записали, что направление безопасности информации будет для нас убыточным, но темой заниматься надо. Потраченные деньги мы, условно говоря, списываем на стоимость бренда. И свою эффективность мы измеряем не только в заработанных деньгах, но и в количестве экспертов, которых привлекаем на этот рынок.
— Если вернуться к ситуации с Документологом — какой достигнут промежуточный итог? Вот компания с серьезными клиентами оказалась подвержена риску взлома. Как это поможет формированию системной работы?
— Одна из наших задач — показать яркий кейс. Мы показали успешную компанию без дефицита бюджета, нехватки кадров или опыта. Но она относится к безопасности, как мелкая компания. Это системная проблема, которую мы вскрыли и показали.
— Вашим следующим шагом стало обращение в Совет безопасности страны. Почему отношениям между частными компаниями вы придаете такую весомость?
— Это не просто отношения между двумя частными компаниями. Это затрагивает интересы целого ряда крупных компаний, в том числе относящихся к критически важным объектам информационной инфраструктуры страны. Получается так, что эта уязвимость позволила получить доступ к внутренней документации всех клиентов этой компании. Среди них Казатомпром, энергокомпании, Байтерек, Самрук со всеми своим «дочками». Все они пользуются Документологом, и получается, вся их документация была подвержена риску. И тем самым, по нашему мнению, уже был нанесен урон национальной безопасности в целом.
Дело в том, что на рынке много уязвимостей, которые людям известны, но путей легализации для них нет. К примеру, ситуация по сайту Верховного суда: его несколько лет используют коллекторы, частные детективы, люди, которым надо «пробить» чужой адрес. Законодательство таково, что для проверки системы нужно разрешение владельца. Но владелец системы не заинтересован в таком процессе, он эту процедуру проходит формально. Дыры в системе электронного правительства давно секрет Полишинеля, но написаны целые тома отчетов внутренних специалистов и дружественных компаний с положительными оценками. А когда кто-то говорит, что есть проблемы, владелец грозит судом. В итоге инфраструктура и сами процессы выстроены так, что проще эти уязвимости использовать самим или продать на черном рынке. Мы хотим эту ситуацию переломить и получить возможность сообщать об уязвимостях, а разработчиков заставляли исправлять.
— Прошел месяц, каковы итоги?
— Насколько я понимаю, Совбез — единственная организация, чьи поручения обязательны к исполнению. Мы добились своего: Совбез написал документы в КНБ И МОАП на исполнение. Теперь как поручение Совета безопасности этот документ может быть использован для проверки госорганов. Мы надеемся, что будет проведен не только аудит безопасности, но также будет проверена нормативная база, отстроенность процессов информационной безопасности. В ходе такой проверки могли бы быть выявлены пласты проблем, которые можно было бы решить. Надеюсь, проблему не спустят на тормозах.
— Рынок всегда воспринимает информационную безопасность как некую абстракцию, которую и измерить то нечем.
— Согласен, это так. Именно поэтому мы настояли на том, чтобы в концепцию киберщита Казахстана как отражение уровня развития информационной безопасности страны было вписано место, которое стране отведено в ежегодном отчете Международного союза электросвязи. Когда предлагали брать за оценку какие-то внутренние рейтинги, мы были категорически против. Это конфликт интересов, нам важно ориентироваться на международную оценку. В мире этот рейтинг широко признан, а значит, есть система измерения. Казахстан занимал место в конце списка — думаю, что в очередном отчете мы войдем в первую сотню.
