Беззащитные терабайты: как иностранные кибершпионы украли личные данные казахстанцев
Китайские хакеры два года воровали данные из казахстанских информационных сетей. Об этом стало известно из документов, опубликованных на сайте GitHub.
Orda.kz рассказывает, как иностранные кибершпионы украли терабайты информации о гражданах РК, и почему экспертов по информационной безопасности это ничуть не удивило.
То ли партнёры, то ли шпионы
Масштабная утечка данных, собранных китайской компанией iSoon, произошла в феврале. Десятки файлов появились в открытом доступе на сайте GitHub. Целью китайских кибершпионов стали силовые и официальные ведомства по всему миру — вплоть до НАТО. География кибератаки оказалась очень широкой, от Кыргызстана до Франции.
В руки китайских хакеров попали данные о казахстанских абонентах Telecom.kz, Beeline, Kcell, Tele2. В отдельных случаях кибершпионы могли получить полный контроль над файловыми и антивирусными серверами казахстанских компаний. Среди ключевых целей атаки были сотрудники силовых структур. Центр анализа и расследования кибератак (ЦАРКА) сообщал, что в слитых документах были упоминания ЕНПФ (в пенсионном фонде поспешили заверить, что информация о вкладчиках в руки хакеров не попала).
Сведения о силовиках по всему миру, включая Казахстан, iSoon определённо собирала по заказу разведки. И делала это как минимум два года.
Когда об утечке стало известно, МЦРИАП рапортовало, что вместе с КНБ анализирует слитые в Сеть материалы. Силовые структуры начали внеплановые проверки. Комитет по информационной безопасности МЦРИАП провёл брифинг, на котором деликатно отказался обвинять в кибератаке Китай. Председатель комитета Руслан Абдикаликов подчеркнул, что КНР — «стратегический партнёр» Казахстана. Правда, не стал пояснять, как стратегическое партнёрство сочетается со шпионажем: западные эксперты, в отличие от казахстанских, прямо говорят, что за хакерами из iSoon стоят спецслужбы Китая. Гражданам посоветовали жить с мыслью о том, что их личные данные, вероятно, уже скомпрометированы.
Похищенные данные обратно не вернуть — поэтому поздно спрашивать, кому выгодно. Уместнее задать другой вопрос: как массовая кража информации о казахстанцах, в том числе о сотрудниках правоохранительных органов, вообще стала возможной?
Безопасность на костылях
Утечка данных из iSoon показала, насколько беззащитна информационная инфраструктура Казахстана перед кибератаками. Уязвимости и угрозы есть как на уровне программного обеспечения, так и на уровне «железа» — оборудования, которое используют в казахстанских госструктурах и корпорациях. Например, серверов или плат. Значительную их часть Казахстан закупает в Китае. Хакеры из КНР, безусловно, хорошо знакомы со слабыми местами родного оборудования.
«Есть два уровня в программировании — верхний и нижний. Нижний — как раз на уровне "железа". Когда компьютер даже без операционной системы как-то действует — это нижний уровень. И если оборудование приходит к нам уже с китайской начинкой, то хакеры могли бы эксплуатировать те уязвимости, о которых уже заранее знали», — отмечает IT-эксперт Сергей Ахметов, президент Казахстанской ассоциации Big Data и аналитики.
В ЦАРКА отрицают, что в этом конкретном случае взлом был как-то связан с уязвимостями на уровне «железа». Но это не значит, что такой проблемы нет.
«Да, в китайском оборудовании бывают уязвимости, как и в других продуктах. Но прямых доказательств, что китайские компании, которые поставляют оборудование и программное обеспечение, сливают эти уязвимости силовым органам, чтобы те нас взламывали, — нет. Мы такого подтвердить не можем», подчеркнул президент ОЮЛ «ЦАРКА» Олжас Сатиев.
IT-эксперт Сергей Ахметов считает, что причина массовой утечки данных — системные проблемы с цифровой инфраструктурой страны. Рынок информационной безопасности в РК очень узок — тендеры разыгрывают между тремя-четырьмя компаниями, большинство закупок проводят в закрытом режиме. Это касается как «железа», так и программного обеспечения. А вложения в развитие инфраструктуры невелики.
«Экономят на всём, что возможно. По крайней мере, те проекты, с которыми я сталкивался — там был самый дешёвый файрвол, самое дешёвое "железо" из Китая. Тендеры разыгрывают между узким кругом компаний. Когда тендеры объявляют, со специалистами по информационной безопасности не советуются. Нашим безопасникам всё уже отдают по факту: вот, мы купили такой-то сервер. А он, например, уже не соответствует требованиям безопасности. Например, проект Damumed — я точно знаю, что его отдали безопасникам уже по факту, когда всё написали и сделали», говорит Сергей Ахметов.
Эксперт советует обратить внимание на опыт Евросоюза, России или Китая, где при разработке новых сервисов и закупке оборудования все вопросы сразу прорабатывают со специалистами по информационной безопасности. А заодно перестать ставить разработчикам нереалистичные дедлайны.
«У нас любят очень сильно ускоряться по срокам: министр выходит, на брифинге объявляет какие-то с потолка взятые цифры, потом находятся ребята, которые всё это дело пилят... Можно делать либо быстро, либо хорошо, это несовместимые вещи».
Сергей Ахметов подчёркивает, что казахстанская информационная инфраструктура до сих пор во многом держится на «костылях». Так IT-специалисты называют временные решения, к которым приходится прибегать для срочного устранения проблем. Обычно «костыли» потом заменяют чем-то более надёжным. Но в случае с казахстанской информационной безопасностью нет ничего более постоянного, чем временное.
«Система всегда падает на уровне архитектуры: если она плохо спроектирована, то её в дальнейшем защищать очень тяжело. Грубо говоря, без вашего участия построили дом, а потом вас зовут как эксперта и спрашивают: как думаете, девять баллов выдержит? А там на уровне строительства масса нарушений. Со многими IT-проектами тоже так. У нас вся архитектура старая. Каждый цифровал как мог — я сейчас про государственные сервисы говорю, даже не про "Казахтелеком", где всё ещё хуже. Поэтому единого решения быть не может — слишком много разных проектов. Один из вариантов — больше работать с безопасниками, отдавать решение проблем на рынок, который проще контролировать», заключает Сергей Ахметов.
Антивирус — не панацея
Есть соблазн предположить, что казахстанские госорганы просто экономили на антивирусной защите. Но программы, которые использовали китайские хакеры, были способны обойти 95 % современных антивирусов. К таким атакам информационная инфраструктура страны просто не готова.
Олжас Сатиев из ЦАРКА указывает, что личные и корпоративные данные казахстанцев украла группировка профессионалов, которая чётко представляла себе, какую информацию хочет добыть. IT-эксперты называют такие группы APT — от английского Advanced Persistent Threat, «постоянная серьёзная угроза». Для них обойти антивирусы не составляет труда.
«Антивирус — не панацея. Любой антивирус можно обойти. Если ты знаешь, что какая-то компания использует определённый антивирус, то пишешь специализированный вирус или троян, который обходит именно этот антивирус. То есть антивирус — это защита скорее от массовых атак», — объясняет Олжас Сатиев.
По словам IT-эксперта Сергея Ахметова, антивирус обеспечивает базовый уровень защиты. Он поможет распознать заражённую трояном флэшку и предупредит о небезопасном сайте, но не спасёт от целевой атаки. То, что китайские хакеры без труда взломали сети казахстанских телеком-операторов, свидетельствует, что эти компании экономили не на антивирусах, а на более сложных элементах защиты.
«Выше антивируса должен стоять файрвол, который должен был хотя бы предупредить, что в системе что-то есть постороннее, и оно передаёт куда-то данные. И вся система должна была быть закрытой. Это говорит о низкой квалификации в целом самого МЦРИАП — там, мне кажется, до конца не понимают масштаба проблемы. Это прецедент на уровне страны, после которого надо провести аудит всех сервисов, даже тех, которые только пишутся», объяснил Сергей Ахметов.
Управляющий директор «Лаборатории Касперского» в Казахстане, Центральной Азии и Монголии Валерий Зубанов также отмечает, что одних лишь антивирусов для защиты данных недостаточно.
«Антивирусное решение — это один из последних рубежей защиты. Чтобы злоумышленник не добрался до конечной точки, необходима серьёзная периметровая защита — к примеру, защита веб-шлюза, корпоративной почты, а также глубокий анализ всех подозрительных (и не только) событий и инструментарий, способный оперативно реагировать на обнаруженные сложные угрозы. Также огромное значение имеет кибергигиена — распространение знаний о кибербезопасности среди сотрудников организации», — говорит Валерий Зубанов.
При корректной настройке антивируса риск, что хакерская атака окажется успешной, серьёзно снижается. Но технологии, которые используют злоумышленники, постоянно совершенствуются. Поэтому для защиты от сложных и целенаправленных атак мало поставить хорошие антивирусы во всех госучреждениях: понадобится целый комплекс мер и решений.
Четверо в поле не воины
После скандала с утечкой данных, собранных хакерами из iSoon, депутат Мажилиса Екатерина Смышляева решила проверить, сколько сотрудников у комитета информационной безопасности МЦРИАП. И выяснила, что за сохранность личных данных 20 млн казахстанцев формально отвечают всего четыре человека.
В штате комитета числятся руководитель, эксперт и два главных эксперта. Вряд ли эти четыре героя остановят сильную хакерскую группировку, состоящую из десятков кибершпионов с мощным оборудованием и дорогостоящим ПО. Даже поддержка «белых хакеров», которые помогают искать и закрывать бреши в защите, не решит проблему. Казахстанский рынок услуг по информационной безопасности слишком мал, каждый специалист — на вес золота.
«Назрела необходимость в создании отдельного агентства по кибербезопасности. Да, у нас есть регулятор в лице комитета информационной безопасности при МЦРИАП. Но он не сможет защитить всю страну. Поэтому нужно отдельное агентство, которое подчиняется напрямую президенту или Совету безопасности, у которого есть полномочия проверять любую государственную информационную систему на какие-то проблемы, утечки, уязвимости. У нас есть Антикор, есть АФМ — должно быть и агентство по кибербезопасности», считает президент ОЮЛ «ЦАРКА» Олжас Сатиев.
Было бы несправедливо говорить, что комитет по информационной безопасности при МЦРИАП бесполезен. Но решения, которые он планирует принять для защиты персональных данных казахстанцев, скорее направлены против внутренних угроз. Например, комитет хочет законодательно закрепить понятие «суперадминистратор» — так будут называть технического специалиста, имеющего доступ ко всем системам и базам данных. Сейчас работу таких специалистов практически никто не контролирует.
«Мы понимаем, что утечки персональных данных могут происходить в том числе из-за вседозволенности суперадминистраторов, и приняли решение этот пробел ликвидировать. Для этого нужно чётко прописать, кто такой суперадминистратор, какие требования к нему предъявляют, какие технические аспекты позволят контролировать его работу», — рассказал руководитель комитета информационной безопасности МЦРИАП Руслан Абдикаликов.
В комитете пояснили, что всю информацию о действиях суперадминистраторов планируют собирать в отдельной базе данных на блокчейне. Оттуда данные будут поступать в Государственную техническую службу. Это предотвратит случаи, когда администраторы стирают информацию о своих действиях в системе. Такие нововведения помогут бороться с утечками на корпоративном уровне, но никак не защитят данные казахстанцев от целенаправленных хакерских атак из-за рубежа.
Сергей Ахметов считает, что если оценивать защищённость информационной инфраструктуры Казахстана в процентном соотношении, то этот показатель составит всего 30–35 %. Но его реально увеличить до 70–80 %. Эксперт предлагает обратить внимание на опыт банковского сектора. Ведь сравнительно молодые казахстанские банки сумели грамотно выстроить инфраструктуру информационной безопасности и защитить данные клиентов.
По словам Олжаса Сатиева, Казахстану пора создавать собственную «киберармию» хакеров, которая стояла бы на страже цифровых границ страны. С каждым днём это всё более важная задача. Уже ясно, что кибератаки могут грозить Казахстану откуда угодно — в том числе со стороны государств, которые считаются дружественными.
Могут повторить
Эксперты по кибербезопасности предупреждают: утечка из iSoon — только вершина айсберга. Опубликованные в Сети документы дают самое общее представление о том, насколько глубоко китайские хакеры проникли в информационные сети Казахстана. Олжас Сатиев отмечает, что украденных данных может быть намного больше.
«То, что выложили на GitHub, — только малая часть информации. Весь масштаб ситуации, к сожалению, мы не видим. Возможно, будут последующие утечки от этой же хакерской группировки, которые покажут, сколько они данных слили. Но мы видим, что была целая хакерская группировка, которая работала со спецслужбами одной из стран, которая внедрялась в структуры телеком-провайдеров и других организаций в Казахстане, сидела там два года, точечно вытаскивала информацию об интересующих её людях, в том числе о представителях силовых органов», говорит Олжас Сатиев.
Хакеры из iSoon просто собирали информацию. В отличие, например, от кибершпионов Северной Кореи, они не заражали компьютеры программами-вымогателями и не пытались «уронить» сайты госорганов. Но The Guardian со ссылкой на британских и американских IT-экспертов указывает, что такой массовый сбор данных может служить фундаментом для злонамеренных действий в будущем. И сейчас Казахстан практически не защищён от новых атак кибершпионов.
«Мне кажется, вероятность повторной такой атаки — где-то 90 %. Честно и объективно говоря, если китайцы захотят какую-то информацию у нас вытащить, они вытащат. Я посмотрел на GitHub — там достаточно серьёзные данные. И это только то, что утекло», — говорит Сергей Ахметов.
Риск новых утечек действительно велик. И в первую очередь, по словам экспертов, ему подвергаются частные компании, которые экономят на информационной безопасности.
«Классические риски для организаций — это потеря персональных и других критически важных данных, остановка бизнес-процессов, хищение денежных средств и, как следствие, серьёзный урон репутации. При успешной атаке на производственные предприятия последствия могут быть не менее серьёзными, начиная с остановки технологических процессов и заканчивая техногенными катастрофами», предупреждает Валерий Зубанов.
Китайские хакеры два года незаметно орудовали в информационной инфраструктуре РК. Чтобы закрыть использованные ими лазейки, понадобился ещё год. Возможно, новая хакерская атака уже идёт, и личные данные казахстанских сотрудников спецслужб утекают за рубеж прямо сейчас.
«Сколько ещё таких группировок, работающих на спецслужбы зарубежных стран, которые занимаются кибершпионажем, вымогательством денег и так далее, мы не знаем. Возможно, все они тоже сидят в нашей инфраструктуре — в системах банков, других телеком-операторов, госорганов. К сожалению, мы на базе этого кейса должны принимать тот факт, что у нас сидят эти группировки, собирают и продают данные, занимаются кибершпионажем», резюмирует Олжас Сатиев.
Хакеры, и не только китайские, могут ещё раз взломать критическую информационную инфраструктуру Казахстана так, что никто в МЦРИАП ничего не заметит. И ни Багдат Мусин, регулярно рапортующий о баснословных масштабах цифровизации, ни четверо героев из комитета информационной безопасности не смогут объяснить казахстанцам, почему личные данные граждан совершенно не защищены от зарубежных кибершпионов.