АСТАНА, 30 янв — Sputnik, Сергей Ким. Хакеры взломали на минувших выходных сайты 21 государственного ресурса. Министерство информации и коммуникаций заявило, что это стало возможными из-за того, что владельцы интернет-ресурсов не следили за обеспечением защиты сайтов, своевременным обнаружением попыток взлома, а также заключали договора на сопровождение интернет-ресурсов с недобросовестными поставщиками.
Sputnik Казахстан поговорил по поводу случившегося с главой Центра анализа и расследования кибератак (ЦАРКА) Олжасом Сатиевым. Он рассказал, что ответственность за массовый взлом может лежать и на государственной технической службе (ГТС) министерства информации и коммуникаций.
– Государственная техническая служба должна, по идее, заниматься обеспечением кибербезопасности в стране?
— Я сейчас на их ресурс зашел, чтобы уточнить: "Осуществляет сбор, хранение, обработку статистических данных, связанных с распространением вредоносных программ и сетевых атак на территории РК". Там уже идет перечень: атаки на узлы, несанкционированный доступ. То, что произошло на выходных, тоже относится к их компетенции.
– Но в итоге "крайними" стали сами владельцы этих госресурсов.
– Я думаю, они не могут повлиять на владельцев ресурсов. Они могут уведомить его о взломе и где-то там помочь. Но, когда разрабатываются сайты, порталы, они не принимают участия.
– Вообще государственные сайты проверяют сканером уязвимости. Я не знаю, они отправляли какое-либо уведомление владельцам данных ресурсов, что они уязвимы или нет. Вообще у нас редко проверяются государственные сайты после запуска. Каждый год меняются сайты министерств, правительственных органов, но проверку на уязвимость, я не думаю, что подряд проводят. Возможно, только если крупные порталы – вроде (сайтов – прим. ред.) Акорды, министерства, но областные акиматы намного реже, наверное, если вообще проверяют.
– Почему так получилось, что все они расположены на одном сервере и у них одинаковые уязвимости? У них что, был один и тот же разработчик, получается?
– Нет, не обязательно один разработчик. Возможно, одна компания предоставляла хостинг, которая не делала правильного разграничения, то есть чтобы с одного сайта не было доступа к другому сайту. У них написано – 21 сайт. По нашим данным, было взломано 323 сайта. А, извиняюсь, если государственных, может 21 и будет. А вообще на этом сервере было взломано 323 сайта, включая государственные.
– Допустим, сайты частных компаний нас сейчас интересуют в меньшей мере, хотя тоже интересуют. Но еще один вопрос – вот есть государственный орган, у него есть сайт. Как представители этого государственного органа могут понять, добросовестный у них поставщик-разработчик сайта или нет? Сделки же заключаются через систему госзакупок?
– Много ли таких аудиторских компаний, которые занимаются именно безопасностью сайтов?
– Нет, их совсем мало. У нас специалистов тяжело найти. Мы еле как со всего Казахстана по одному находим, обучаем.
– То есть технически это было невозможно сделать – 21 государственный сайт, они должны были в своих регионах искать специалистов, которых в этих регионах нет, так получается?
– Смотрите, еще в чем проблема. Проводится государственный тендер на разработку сайта за 2-3 миллиона (тенге – прим.ред.). Его компания может выиграть и за 400, за 500 тысяч. Вы представляете: компания выигрывает сопровождение сайта за 400-500 тысяч, а ей еще надо проводить аудит безопасности. У нее просто нет на это денег.
– А правильная у меня догадка, что это ГТС и должна заниматься тем, чем занимаются эти аудиторы безопасности сайтов?
– Они должны заниматься мониторингом государственных ресурсов. Проверять их на уязвимость и так далее. То есть я не знаю, проблема, может быть, в том, что они проверили и отправили им какой-то отчет об уязвимости, которую те должны были исправить. Но те просто не исправили. А ГТС не может на них никак повлиять. Им сообщить могут, а как-то повлиять на это не могут.
– Возможно, и не проверяли.
- Вы в какой-то из наших предыдущих бесед говорили о том, что за рубежом за взлом сайтов отвечает полностью владелец сайта, даже государственный. Но у нас реалии другие…
– Да, у нас проблема с кадрами.
– Но, на ваш взгляд, справедливо ли наши госорганы наказывать за такие инциденты?
– Если рассматривать государственные сайты, я думаю, должна быть независимая проверка от другого государственного органа – того же ГТС, например. А так, чтобы министерство разработало сайты и сами себя проверили – это будет неэффективно, я считаю.
– Почему неэффективно?
– Мы во многих статьях упоминали, что "электронное правительство" проверяет само себя. Это тоже неправильно. Итоги мы увидели – мы опубликовали много статей об уязвимости "электронного правительства". Здесь конфликт интересов получается. Они же не будут говорить: "У нас здесь все дырявое". Они отчитаются, что у них все хорошо, пока их не взломают.
— Ну, кто-то должен ответственность нести, я считаю. Но у нас если никто даже за утечку персональных данных не несет ответственности, то я не знаю, будут ли у нас за это наказывать или нет.
– К вам обращались из того же министерства информации за помощью, за консультацией?
– Нет. Взломы были в пятницу-субботу. В субботу мы уже аналитику опубликовали в Facebook. Пока никто не обращался.
