Как хакеры выстраивают систему кибербезопасности Казахстана

Насколько Казахстан далек от Беларуси территориально, настолько же близок нам в специфике взаимодействия между государством, бизнесом, НПО и обществом. За два года эта страна сделала большой рывок, поднявшись в Глобальном индексе киберготовности на 26 строчек (со 109 места на 83), идет строительство национального “Киберщита”. Но интересный факт в другом. В том, как отдельным специалистам по безопасности пришлось найти уязвимости в десятках государственных веб-ресурсах, написать тонну писем в профильные министерства и даже Президенту, взять на себя функции некоммерческой организации, создать собственную службу реагирования на компьютерные инциденты (ЦАРКА) и выступить главным разоблачителем “дыр” в информационной безопасности, чтобы наконец обратить внимание государства на эту проблему.

В преддверии Форума по управлению интернетом Belarus IGF в Минске с публичной лекцией выступил Арман Абдрасилов из ЦАРКА, который рассказал историю «хакеров с белым флагом». Это история о том, как заниматься кибербезопасностью там, где это пока никому не нужно.

Лишь 0,1% штата занимается информационной безопасностью компаний

И это у крупных казахстанских операторов связи. У львиной доли компаний этим вообще никто не занимается. При этом количество инцидентов с приставкой “кибер” растет примерно в 5 раз ежегодно. Если в 2016 году их в Казахстане было зафиксировано около 20 тысяч (по данным национального CERTа), то в 2017 — уже 100 тысяч, а к концу 2018 года их будет около полумиллиона.

Ситуация действительно драматичная, особенно с учетом факта, что компьютерные инциденты никак не регистрируются в МВД. Из-за отсутствия как экспертов, так и правовой практики. Иногда же кибератаки превращаются в обыкновенное мошенничество, кражи и растворяются в потоке нераскрытых дел. Из почти 18 тысяч преступлений в январе 2018 года лишь 12 были классифицированы как уголовные в сфере информационной безопасности.

“У вас дыра в электронном правительстве, почините, пожалуйста”

Еще до появления ЦАРКА его специалисты работали в IT-компаниях и занимались кибербезопасностью. Появление сайта электронного правительства Казахстана, предусматривающего, разумеется, крупный бюджет, не могло пройти мимо них. Довольно быстро “белые хакеры” нашли несколько критических уязвимостей и написали об этом владельцу ресурса — в Министерство информации и коммуникации. Заодно предложили проверить всю систему на наличие других проблем.

Ответ не заставил себя долго ждать — есть профильный отдел, который занимается своей работой, спасибо за бдительность. Доступа к системе, разумеется, также никто не дал. Впрочем, по прошествии нескольких месяцев, все проблемы на сайте остались, а данные пользователей уже вовсю ходили в даркнете.

Последовала переписка с Министерством и национальным оператором связи, канцелярией Премьер министра, администрацией Президента и, наконец, письмо Президенту. Результат предсказуемый. Вернее, его отсутствие. Лишь обещания запланировать бюджет и со временем поменять платформу. В итоге, поскольку победить бюрократию в ее родной стихии не получилось, было принято решение просто опубликовать данные об утечках.

“Звонил министр и говорил: “Зачем вы это делаете?”

После публикации о проблеме с сайтом электронного правительства в Facebook-группе “дыра”, через которую просачивались данные пользователей, была закрыта за 30 минут.

“На пустую переписку ушло 3 месяца. При этом, чтобы реально устранить проблему, потребовалось всего полчаса работы инженера. При том что большую часть времени он потратил просто на то, чтобы добраться до сервера, — вспоминает Арман Абдрасилов. — Не понадобилось никаких бюджетов, новых платформ и пересмотра логики системы. Не скрою, нам это понравилось. Хоть и последовал звонок министра с вопросом: “Зачем вы это делаете?”, но весь вся переписка за 3 месяца у нас была на руках. И мы решили не останавливаться”.

Далее последовал портал, через который утекли данные более 10 000 бухгалтеров, потом операторы связи, министерство обороны, мэрия Астаны, домен gov.kz с открытой панелью, позволяющий управлять сайтами государственных органов. Досталось и мобильным операторам: у кого-то была проблема все с теми же личными данными пользователей, а у кого-то и экзотика. Так, один из технических специалистов ЦАРКА смог установить себе баланс в минус 2 млрд. тенге, во что мобильный оператор долго не мог поверить. Впрочем, ситуацию заметили только после явки с повинной. В компании просто не заметили “сверхприбыли” за этот день.

Схема была одна и та же: о проблеме сообщалось владельцу ресурса, и если она не решалась — кейс расходился по СМИ. Причем в ЦАРКА подчеркивают, что не пытаются во что бы то ни стало взломать защищенные системы. Разыскиваются явные “дыры”, которые не составит труда найти злоумышленникам не самой высокой квалификации.

“Затем нам самим пришлось стать СМИ”

Следующий шаг со стороны государства оказался предсказуемым. Поскольку и кибербезопасность, и средства массовой информации находятся в Казахстане в ведомстве одного и того же министерства, то СМИ просто пришло устное указание не публиковать материалы о проблемах с информационной безопасностью государственных ресурсов.

Публикации прекратились, зато Facebook-сообщество ЦАРКА и чат в Telegram стали быстро расти и сейчас там представлен практически весь IT-рынок страны. Впрочем, после того как данные о новых уязвимостях стали расходиться в соцсетях еще быстрее, запрет со СМИ был снят.

Арман Абдрасилов подчеркивает, что команда работает из патриотических соображений. ЦАРКА — планово-убыточная организация, которая финансируется несколькими IT-компаниями. При этом большое внимание уделяется повышению квалификации и сертификации специалистов, команда регулярно занимает первые места на профильных соревнованиях, участвует в конференциях с мировым именем и уже основана свою собственную — Kaz Hack Stan.

“Сработала тактика принятия решения “сверху вниз”

Диалог между “белыми хакерами” и государством все же состоялся.

“Когда мы все же договорились с госрегулятором о том, что необходимо на самом высоком уровне выстраивать кибербезопасность страны и создавать соответствующее законодательство, было два варианта развития событий, — продолжает Арман. — Вариант “снизу вверх” с постепенным выходом с инициативой на ассоциации IT-компаний, министерство и выше. Этот путь занял бы несколько лет. Нам удалось заручиться поддержкой в представителей Министерства информации и коммуникации, которые смогли отстоять внесение темы кибербезопасности в ближайший документ верхнего уровня. Им стало ежегодное Послание Президента народу Казахстана. Таким образом, сработала тактика “сверху вниз”.

В итоге получилось внести хоть и размытую, но очень ценную формулировку о поручении принятия мер по построению системы “Киберщит Казахстана”. На ее основе был сформирован список задач и дело сдвинулось с мертвой точки. Правда из-за сжатых сроков (4 месяца) большая часть нормативно-правовой базы была сделана по образцу России.

Для ЦАРКА работа на этом не закончилась. Его представителей пригласили в Общественный совет в составе министерства, так как профильных специалистов просто не оказалось. Так вчерашние “антигерои” для правительства стали техническим ядром по подготовке Киберщита. Одним из главных достижений в составе Общественного совета Арман Абдрасилов назвал включение такого целевого индикатора как независимый Глобальный индекс кибербезопасности.

В итоге, несмотря на множество проблем, в Казахстане начинает появляться новый рынок информационной безопасности вместе с новыми игроками. В ЦАРКА признаются, что после волны их разоблачительных публикаций далеко не все компании как частные, так и государственные, хотят с ними работать. Однако, намного лучше быть одним из игроков на растущем рынке, чем монополистом на пустом. И это большая победа.

Что у нас?

В Беларуси ситуация во многом схожая. Да, мы существенно выше Казахстана в Глобальном индексе киберготовности — 39 место. Однако, по оценкам Александра Сушко из Group-IB у 50-60% предприятий отсутствуют специалисты по кибербезопасности. Много вопросов и к нормативно-правовой базе. Однако, есть и положительные примеры, как выстраивание финансового CERTа Нацбанком РБ.

Организаторы Belarus IGF приглашают всех желающих обсудить тему кибербезопасности на Форуме по управлению интернетом, который пройдет 3 октября в Minsk Marriott Hotel. Вот лишь часть вопросов, которые будут затронуты на секции:

— угрозы для государства и простых интернет-пользователей;

— “ландшафт” угроз в байнете и профилактика правонарушений;

— Цифровое доверие: утопия или движение всех заинтересованных сторон?

— Стратегия информационной безопасности в Беларуси: быть или не быть?

— Социальные сети: зло или добро?

— Контроль виртуальных границ в Интернете и многое другое.

“Мы убеждены, что развитие интернета должно быть общим делом. Сейчас мы во многом повторяем путь коллег из Казахстана, когда представители бизнеса должны брать на себя и нагрузку некоммерческих организаций, и популяризаторов, и, отчасти, медиа, чтобы развитие интернета шло в ногу со временем, — говорит генеральный директор компании hoster.by, которая выступает неизменным организатором Belarus IGF. — Поэтому мы приглашаем всех желающих бесплатно принять участие в Форуме и окунуться в темы не только кибербезопасности, но и открытых данных, IoT, гражданской активности. Кроме нас с вами никто не сделает белорусский интернет лучше”.