Накануне стало известно, что у нескольких казахстанских бухгалтерских сайтов, таких как balans.kz, kodeks.kz, urist.kz, были обнаружены признаки взлома. Выяснилось, что на сайтах присутствовала программа-майнер, которая помогала злоумышленникам зарабатывать деньги с помощью компьютеров пользователей. Позже выяснилось, что хакерам удалось ещё и украсть около 10 тысяч бухгалтерских учетных данных.
Данный случай вызвал большой общественный резонанс, ведь опасности подверглись не только бухгалтера, но и те компании, в которых они работают. Стоит отметить, что это далеко не единственный взлом, который вызвал столь широкий интерес общественности.
Например, в октябре 2016 года на скамье подсудимых оказались алматинские хакеры, которые рассылали вирус от имени генпрокуратуры, налогового комитета, минфина и комитета госдоходов и воровали деньги у госпредприятий.
В январе 2017 года хакерами были взломаны сразу 20 сайтов государственных органов Казахстана, а уже летом злоумышленникам с помощью вирусных программ удалось получить доступ к информационным системам трех казахстанских банков второго уровня.
Корреспондент медиа-портала Caravan.kz, как и многие другие казахстанцы, задался вопросом, почему подобные взломы становятся все более частыми явлениями для нашей страны, а разобраться ему в этом помог директор Центра анализа и расследования кибератак (ЦАРКА) Арман АБДРАСИЛОВ.
- Если коротко, что произошло и насколько этот взлом опасен?
- Начнем с того, что у нас в ЦАРКА (Центр анализа и расследования кибератак. – Прим. ред.) одним из проектов является система мониторинга всего Казнета. В казахстанском сегменте Сети около 130 тысяч сайтов, и наша система ежедневно эти сайты мониторит и уведомляет нас об инцидентах, которые могут с этими сайтами произойти, например, случился взлом и т. д. и т. п.
В один из "прекрасных" дней система уведомила нас о том, что на портале balans.kz обнаружен «майнер». Как в Казахстане упростили жизнь хакерам
- Можно подробнее раскрыть понятие «майнер»?
- «Майнер» - это программа, которая позволяет использовать вычислительные ресурсы компьютеров пользователей, заходящих на сайт, чтобы вырабатывать те или иные криптовалюты. В данном случае это была криптовалюта «Манэра».
Получается, что злоумышленники использовали вычислительную мощность компьютеров посетителей сайта, чтобы зарабатывать себе деньги.
Чтобы разместить на портале этот «майнер», нужны права администратора, то есть вы, я или кто-то посторонний не сможет разместить эту программу. Для того чтобы ее разместить, нужно получить права привилегированного пользователя. Тут есть два варианта: либо это сделали сами владельцы сайта, чтобы получать дополнительную прибыль, либо сайт был взломан злоумышленниками, которые получили полные права над ресурсом, соответственно могли скопировать все данные, которые на этом сайте лежали.
- Почему этот взлом вызвал такой большой резонанс?
- Портал balans.kz является основным центром сбора для бухгалтеров. Среди хакеров информация о бухгалтерах является одной из самых ценных, потому что бухгалтера имеют доступ к банковским счетам, знают о всех внутренних делах компаний: кто работает, кто не работает, кто сколько получает. Все понимают, что это самая закрытая информация о компаниях, особенно если учитывать данные о черной или белой бухгалтерии.
Именно на это мы и обратили внимание. Мы сообщили администрации сайта balans.kz о том, что этот "майнер" был размещен, скорее всего, методом взлома и что, возможно, были украдены все данные.
После нашей публикации начались довольно активные общественные обсуждения. Часть людей нас поддержала, понимая, что размещение "майнера" требует прав администратора. Многие поняли, что пользователи этого сайта попали в зону риска и что игнорирование проблемы недопустимо. Другие же заявили о том, что все это ерунда и простое сгущение красок.
Возникли споры, хотя обычно в таких ситуациях споров быть не должно, ведь, как говорится, «лучше перебдеть, чем недобдеть». Администрации сайта куда проще было сообщить пользователям, чтобы они поменяли пароли и избежали всех проблем. Такая практика распространена за рубежом, если была вероятность взлома, то порталы сообщают своим пользователям о том, что они должны сменить пароли, дабы обезопасить свои данные.
- Как я понимаю, в данном случае этого не произошло?
- Да, возникла обратная ситуация. Администрация сайта начала опровергать информацию о взломе (уже после проведения интервью администрация сайта balans.kz все-таки признала факт взлома и дала соотвествующие рекомендации своим пользователям - прим.) То же самое сейчас происходит и с Казгидрометом. Они пытаются всячески обелить себя, вместо того чтобы заняться исправлением ситуации.
Чтобы разобраться в ситуации и доказать факт взлома, специалисты ЦАРКА занялись мониторингом черных рынков информации. Обычно, если воруется какая-то база данных, хакеры либо пытаются сами её взломать, либо выставляют на продажу на различных закрытых форумах.
Мы к этим форумам имеем доступ, периодически проводим их мониторинг и уведомляем о своих находках. Бывает, продаются данные госорганов или же каких-либо иностранных ведомств. Всё это такая большая свалка, где можно найти украденную информацию, находящуюся в продаже.
На одном из форумов мы нашли ту самую базу бухгалтерских аккаунтов с сайта balans.kz, анонимный пользователь указывал, что в базе около 10 тысяч профилей.
Таким образом, мы провели первичную оценку. Если было украдено около 10 тысяч учетных записей, а, как мы знаем, каждый из бухгалтеров работает в одной или нескольких организациях, то это говорит о риске не только для этих 10 тысяч бухгалтеров, но и примерно для 30 тысяч организаций, в которых они работают.
- Какие последствия могут ожидать администрацию сайта за бездействие в данной ситуации?
- Так как масштаб взлома и его последствия показались нам довольно большими, мы посчитали нужным вмешательство регулятора со стороны государства – это министерство информации и коммуникаций РК, министерство оборонной и аэрокосмической промышленности РК, МВД и прокуратура, если потребуется, чтобы они повлияли на ситуацию с уведомлением пользователей ресурса о том, что взлом действительно был, попросили их поменять пароли и начали хоть какое-то разбирательство.
В Административном кодексе у нас имеется статья, которая предусматривает ответственность для владельцев ресурсов, не применивших соответствующие меры для сохранения персональных данных пользователей.
- Ранее эта статья хоть как-то применялась?
- На самом деле это прецедент. Впервые в истории Казахстана, я надеюсь, будет начато административное делопроизводство за утрату персональных данных пользователей и виновные понесут за это наказание.
- Если говорить об информационной безопасности в Казахстане в целом, например, за 2017 год было несколько случаев взлома сайтов государственных органов…
- Таких случаев было не несколько – их сотни.
- …также в прошлом году взламывались системы казахстанских банков, смотря на всё это, можно подумать, что такого понятия, как информационная безопасность, в Казахстане вовсе не существует, так ли это на самом деле?
- Нужно сказать, что безопасность – это процесс беспрерывный. Как только мы начинаем заниматься информационными технологиями, например, мы реализуем программу «Цифровой Казахстан», сообщаем о том, что вошли в 30 лучших стран с "электронным правительством", всё это неразрывно тянет за собой и развитие киберпреступности.
Если мы посмотрим статистику Киргизии, Афганистана, где нет "электронного правительства", то, естественно, и киберпреступности там нет – им нечего бояться. Если смотреть на последствия вируса «Петя», то видно, что от него меньше всего пострадали страны Африки, но не потому, что там развита информационная безопасность, а потому, что там просто нет компьютеров.
Как только мы начинаем выбиваться в лидеры среди стран, развивающих информационные технологии и электронную инфраструктуру, те же "электронное правительство", "электронную таможню", можно паспорта получить, да и вообще все что угодно сделать, не выходя из дома, то у хакеров сразу же возникает соблазн атаковать всю эту инфраструктуру и получить доступ к банковским счетам, документам и персональным данным.
Естественно, Казахстан был не готов к подобным атакам. В Казахстане ускорят создание системы "Киберщит"
- Но по каким причинам?
- Дело в том, что показательной для госорганов и министерств является не та невидимая работа с информационной безопасностью, а видимая часть айсберга – это получение новых услуг, например, нам могут сообщать, что в "электронном правительстве" получилось 200 новых услуг, 10 миллионов человек воспользовались сервисом и так далее.
Но опять же, если вы пойдете в ЦОН и сядете за общий компьютер, зайдете в свою электронную почту, электронный кабинет, то вы подвергнете свои данные большой опасности, ведь на этих компьютерах стоят пиратские операционные системы, все они заражены вирусами, пароли на этих компьютерах сохраняются. Любой разбирающийся в этом специалист может сесть за этот компьютер и вытащить данные всех пользователей, которые сидели там до него, и ими воспользоваться. К сожалению, к решению подобных проблем Казахстан ещё не готов, и специалистов у нас очень мало.
- Как можно решить проблему с информационной безопасностью в Казахстане?
- Чтобы ответить на этот вопрос, нужно опять же вернуться к концепции «Киберщита». Все наши крики и критика, а мы считаем, что ЦАРКА отчасти смог поспособствовать этому, повлияли на разрешение этой проблемы.
В концепции «Киберщита» заложены такие вещи, как обучение специалистов, мониторинг подобных ситуаций, а также ещё много интересных вещей, к реализации которых мы сейчас идем. В первом-втором квартале этого года планируется выделение бюджета и начало работы этой программы.
В том числе там предусмотрено увеличение квот на обучение специалистов по информационной безопасности.
Наш основной оператор «Казахтелеком», у которого около 90 процентов всех пользователей, также планирует введение системы мониторинга. И это на самом деле очень серьезный шаг к решению проблемы.
А инцидент с сайтом balans.kz станет очень полезной административной практикой для того же МИКа, МВД и прокуратуры, которая в будущем поможет решать проблемы с утратой персональных данных пользователей.
КСТАТИ
Почти сразу после интервью специалисты из ЦАРКА сообшили об ещё одном факте взлома, но на этот раз досталось одному из порталов генеральной прокуратуры. На сайте онлайн-сервиса для отправки электронных обращений в органы прокуратуры РК (www.115.kz) был обнаружен очередной "майнер".
В данный момент этот сайт недоступен.