К разбирательствам подключились руководство надзорного органа и Комитет по информационной безопасности

В середине февраля казахстанцев огорошили новостью о возможной утечке персональной информации. Под угрозой находились личные данные каждого, кто хоть раз привлекался к административной ответственности. Например, нарушал ПДД. Тревожное сообщение распространил Центр анализа и расследования кибератак (ЦАРКА).

Для справки: ЦАРКА — анализ и предотвращение кибератак, компьютерных преступлений, экстренное реагирование на инциденты информационной безопасности, и развитие института цифровой гигиены и защищенности граждан и организаций Казахстана внутри информационного социума. Центр тесно сотрудничает с государственными органами и частными организациями в сфере защиты информации, оказывает услуги аудита информационной безопасности. Особая стратегия Центра – тесное сотрудничество с ВУЗами в сфере подготовки квалифицированных специалистов в области ИБ и развитие научно-исследовательской и опытно-конструкторской работы в данной сфере.

Специалисты Центра указывали, что имеются факты активного сбора данных злоумышленниками: «…с целью коммерциализации и иной передачи третьим лицам». В организации при этом выразили надежду на возбуждение уголовного дела.

«Прямо сейчас система передает в Интернет все данные о штрафах, предупреждениях, адресах проживания, фотографии нарушителей, номера автомобилей, данные из техпаспортов автомобилей, данные владельцев различного имущества (движимое и недвижимое) и род занятий человека (данные из адмпротокола), номера телефонов, список нарушителей правил въезда и выезда через границу (среди них много иностранцев), данные из удостоверения личности и многое другое. Доступ также позволяет редактировать данные в системе, удалять дела или наоборот, возбуждать фиктивные», — говорилось в сообщении ЦАРКА.

В Комитете по правовой статистике и специальным учетам отреагировали на эту новость проверкой. Официальный вердикт по её итогам звучал следующим образом: «Установлено, что данные по административным правонарушениям не доступны в сети Интернет в открытом виде. Без специальной идентификации вход в систему невозможен».

«Вместе с тем совместно с ЦАРКА выявлены отдельные риски, которые не влияют на уязвимость систем и не несут опасности для защиты хранящихся сведений. В настоящее время они устранены», — заверили в Комитете Генпрокуратуры.

С тех пор прошло почти две недели. И вот накануне стало известно о том, что к разбирательствам подключился Комитет по информационной безопасности.

Сохраняется ли угроза утечки персональных данных? Об этом корреспондент Azattyq Rýhy поговорил с директором ЦАРКА Арманом Абдрасиловым.

- У нас была встреча с ними, с Генеральной прокуратурой. В Генпрокуратуре создана группа, которая занимается проверкой фактов, они разбираются. То есть, встретились, мы дали свои рекомендации, консультации, дальше они занимаются самостоятельно. Насколько я знаю, они привлекают ГТС – Государственную техническую службу (структура КНБ, обеспечивающая безопасность информационного пространства и инфраструктуры связи — Azattyq Rýhy). Эта как раз сфера ответственности ГТС, так как интеграция идёт с государственными базами данных.

- Расскажите для начала, какую именно уязвимость вы вскрыли на сайте?

- Это не сайта уязвимость, а сервиса. Это сервис, который позволяет интегрировать, то есть, упрощает процедуру уплаты штрафов – можно уплатить штраф, а затем проверить, что его сняли. Этот же сервис позволяет интегрироваться с банками, потому что в банках вы тоже можете уплатить штраф, погашать задолженность, вам не нужно идти с этой квитанцией обратно в полицию. Либо полицейские, которые выписывают штраф с планшета. Сейчас во многих городах используются планшеты, не выписываются бумажные протоколы. Все данные, внесенные в планшет, сразу попадают в базу. Соответственно, все это работает через сервисы Комитета по правовой статистике и специальным учетам Генеральной прокуратуры. И вот как раз там была уязвимость, которая позволяла получить доступ к этим данным постороннему человеку.

- Речь идёт о паспортных данных, виде нарушения, адреса проживания, верно?

- Да, вы ведь знаете, что в протоколе указывается. Речь идёт об этой информации.

- Известно ли вам, что кто-то уже воспользовался данной уязвимостью? Может где всплыли данные казахстанцев?

- По нашим данным утечка была, и эту информацию как раз Генпрокуратура и проверяет сейчас.

- А кто воспользовался этими данными?

- Я пока не могу сказать этого. Я надеюсь, что в ходе расследования все выяснится – и IP-адреса, и блоги, сервисные системы.

- Но это частные лица? То есть, физлица, которые обладают этими данными сейчас?

- Да. Это в любом случае неавторизованный пользователь. Даже если данные запрашивает другой госорган, все равно это должно блокироваться, должно получаться какое-то разрешение. Мы ведь не можем бесхозно передавать информацию от одной организации другой.

- Вы уже отметили, что была встреча с представителями Генпрокуратуры. Как вам показалось, там с пониманием отнеслись к этой ситуации и готовностью исправить?

- Да, они очень озабочены проблемой на самом деле. Во-первых, получила огласку эта история. Во-вторых, руководство Генеральной прокуратуры поручило разобраться. Это дело стоит на контроле. Более того, подключилось Министерство – Комитет по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности. Так что, надеюсь, это не спустят на тормозах.

- Обозначены ли какие-то сроки – сколько будет длиться проверка?

- Мне как специалисту кажется, что по объёму работы — это недельки две-три. Этого достаточно чтобы разобраться.

Минфин под огнем: кто и как раскрыл коррупционную схему госзакупок

Напоследок Арман Абдрасилов коротко рассказал о другом резонансном «киберделе». Ранее ЦАРКА прямо обвинил единого оператора в сфере государственных закупок АО «Центр электронных финансов», дочернюю организацию Министерства финансов РК, в организации коррупционной схемы. Если коротко, то эксперты указали на то, что на портале госзакупок используется маркетинговый инструмент Яндекс.Метрика, который позволяет «следить» за любыми действиями пользователей. Это, в свою очередь, могло привести к вмешательству в процесс госзакупок. «Да, они могли подыгрывать другим участникам. То есть, есть конкурс, за который вы все боритесь, и если вы знаете, что один участник поставил условно 100 млн, то вы можете поставить 99 млн 999 тыс. и вы выигрываете!», — говорил в середине декабря Арман Абдрасилов.

Сначала в «Центре электронных финансов» открестились от обвинений в нечистой игре. Более того, намеревались привлечь к ответственности ЦАРКА «за распространение заведомо ложных сведений». Затем, видимо, передумали, и все же начали масштабную проверку.

«Если мы говорим про метрику, то её убрали в тот же день, по-моему. А в целом, там началось внутреннее разбирательство, принят целый план мероприятий по данному вопросу – корректирующих и т.д. То есть меры принимаются, они отреагировали, можно сказать. Мы отслеживаем и эту ситуацию тоже», — пояснил директор ЦАРКА.

Матвей ЗУЕВ