15:09 02 Апреля 2020
Прямой эфир
  • USD448.52
  • EUR490.32
  • RUB5.69
Аналитика
Получить короткую ссылку
169020

Корреспондент Sputnik Казахстан попытался выяснить, почему стал возможен взлом интернет-сайтов различных ведомств Казахстана, и кто несет за это ответственность

АСТАНА, 30 янв — Sputnik, Сергей Ким. Хакеры взломали на минувших выходных сайты 21 государственного ресурса. Министерство информации и коммуникаций заявило, что это стало возможными из-за того, что владельцы интернет-ресурсов не следили за обеспечением защиты сайтов, своевременным обнаружением попыток взлома, а также заключали договора на сопровождение интернет-ресурсов с недобросовестными поставщиками. 

Олжас Сатиев
© Photo : личный аккаунт Олжаса Сатиева в Facebook
Большинство подвергшихся атаке интернет-ресурсов расположены на одном сервере и имеют одинаковые уязвимости. По всем инцидентам владельцам ресурсов направлены уведомления для устранения последствий взлома. 

Sputnik Казахстан поговорил по поводу случившегося с главой Центра анализа и расследования кибератак (ЦАРКА) Олжасом Сатиевым. Он рассказал, что ответственность за массовый взлом может лежать и на государственной технической службе (ГТС) министерства информации и коммуникаций.

– Государственная техническая служба должна, по идее, заниматься обеспечением кибербезопасности в стране?

— Я сейчас на их ресурс зашел, чтобы уточнить: "Осуществляет сбор, хранение, обработку статистических данных, связанных с распространением вредоносных программ и сетевых атак на территории РК". Там уже идет перечень: атаки на узлы, несанкционированный доступ. То, что произошло на выходных, тоже относится к их компетенции.

– Но в итоге "крайними" стали сами владельцы этих госресурсов.

– Я думаю, они не могут повлиять на владельцев ресурсов. Они могут уведомить его о взломе и где-то там помочь. Но, когда разрабатываются сайты, порталы, они не принимают участия.

 Но они могут принимать участие и принимают ли они участие в проверке новых сайтов?

– Вообще государственные сайты проверяют сканером уязвимости. Я не знаю, они отправляли какое-либо уведомление владельцам данных ресурсов, что они уязвимы или нет. Вообще у нас редко проверяются государственные сайты после запуска. Каждый год меняются сайты министерств, правительственных органов, но проверку на уязвимость, я не думаю, что подряд проводят. Возможно, только если крупные порталы – вроде (сайтов – прим. ред.) Акорды, министерства, но областные акиматы намного реже, наверное, если вообще проверяют.

– Почему так получилось, что все они расположены на одном сервере и у них одинаковые уязвимости? У них что, был один и тот же разработчик, получается?

– Нет, не обязательно один разработчик. Возможно, одна компания предоставляла хостинг, которая не делала правильного разграничения, то есть чтобы с одного сайта не было доступа к другому сайту. У них написано – 21 сайт. По нашим данным, было взломано 323 сайта. А, извиняюсь, если государственных, может 21 и будет. А вообще на этом сервере было взломано 323 сайта, включая государственные.

– Допустим, сайты частных компаний нас сейчас интересуют в меньшей мере, хотя тоже интересуют. Но еще один вопрос – вот есть государственный орган, у него есть сайт. Как представители этого государственного органа могут понять, добросовестный у них поставщик-разработчик сайта или нет? Сделки же заключаются через систему госзакупок?

– Не обязательно разработчик сайта должен проверять сайт. Получается, он проверяет сам себя. Я считаю, что это должны быть независимые аудиторы. У нас очень много компаний, которые занимаются разработкой сайтов, маленькие кампании, крупные организации. Не каждый может позволить аудиторов безопасности. Они и стоят немало, и не каждый может найти работу для него.

– Много ли таких аудиторских компаний, которые занимаются именно безопасностью сайтов?

– Нет, их совсем мало. У нас специалистов тяжело найти. Мы еле как со всего Казахстана по одному находим, обучаем.

– То есть технически это было невозможно сделать – 21 государственный сайт, они должны были в своих регионах искать специалистов, которых в этих регионах нет, так получается?

– Смотрите, еще в чем проблема. Проводится государственный тендер на разработку сайта за 2-3 миллиона (тенге – прим.ред.). Его компания может выиграть и за 400, за 500 тысяч. Вы представляете: компания выигрывает сопровождение сайта за 400-500 тысяч, а ей еще надо проводить аудит безопасности. У нее просто нет на это денег.

– А правильная у меня догадка, что это ГТС и должна заниматься тем, чем занимаются эти аудиторы безопасности сайтов?

– Они должны заниматься мониторингом государственных ресурсов. Проверять их на уязвимость и так далее. То есть я не знаю, проблема, может быть, в том, что они проверили и отправили им какой-то отчет об уязвимости, которую те должны были исправить. Но те просто не исправили. А ГТС не может на них никак повлиять. Им сообщить могут, а как-то повлиять на это не могут.

 А, возможно, и не проверяли? Такое тоже возможно?

– Возможно, и не проверяли.

- Вы в какой-то из наших предыдущих бесед говорили о том, что за рубежом за взлом сайтов отвечает полностью владелец сайта, даже государственный. Но у нас реалии другие…

– Да, у нас проблема с кадрами.

– Но, на ваш взгляд, справедливо ли наши госорганы наказывать за такие инциденты?

– Если рассматривать государственные сайты, я думаю, должна быть независимая проверка от другого государственного органа – того же ГТС, например. А так, чтобы министерство разработало сайты и сами себя проверили – это будет неэффективно, я считаю.

– Почему неэффективно?

– Мы во многих статьях упоминали, что "электронное правительство" проверяет само себя. Это тоже неправильно. Итоги мы увидели – мы опубликовали много статей об уязвимости "электронного правительства". Здесь конфликт интересов получается. Они же не будут говорить: "У нас здесь все дырявое". Они отчитаются, что у них все хорошо, пока их не взломают.

 Все-таки должны ли наказывать эти государственные органы, владеющие официальными сайтами, за такие "события"?

— Ну, кто-то должен ответственность нести, я считаю. Но у нас если никто даже за утечку персональных данных не несет ответственности, то я не знаю, будут ли у нас за это наказывать или нет.

– К вам обращались из того же министерства информации за помощью, за консультацией?

– Нет. Взломы были в пятницу-субботу. В субботу мы уже аналитику опубликовали в Facebook. Пока никто не обращался.

Загрузка...

Главные темы

Орбита Sputnik