Не латаете дыры — тогда мы идём в СМИ. Как «белые шляпы» строят кибербезопасность в Казахстане
Четыре года назад группа энтузиастов из Казахстана основала первую в стране частную службу реагирования на киберинциденты. 30 «хакеров в белых шляпах» ищут уязвимости в государственных веб-ресурсах, проводят показательные «атаки», пишут письма в профильные министерства и ведомства, чтобы обратить внимание чиновников на дыры в информационной безопасности страны.
Они не только «создают всем неудобства», но и «толкают в спину» страну: за два года Казахстан поднялся в Глобальном рейтинге киберготовности на 26 строчек: со 109 на 83 место (Беларусь в прошлом году заняла 39-е место). В следующем году, уверен директор Центра анализа и расследования кибератак Арман Абдрасилов, казахи могут оказаться в полусотне лидеров.
Рассказывая о ЦАРКА, Арман Абдрасилов подчёркивает, что это первый и пока единственный в Казахстане частный CERT (служба реагирования на киберинциденты, computer emergency response team).
— Мы занимаемся анализом и предотвращением кибератак, а также компьютерных преступлений, реагируем на инциденты и, безусловно, способствуем развитию института цифровой гигиены в Казахстане. Мы тесно сотрудничаем с государственными органами, нередко критикуем государственный CERT — РГП ГТС, просим их пересмотреть какие-то подходы, а также отдать некоторые вещи «рынку».
ЦАРКА была создана почти одновременно с появлением сайта электронного правительства Казахстана: «белые хакеры» нашли несколько критических уязвимостей и написали письмо в Министерство информации и коммуникации, которое курировало запуск egov.kz.
— В ответ пришло: «Спасибо за бдительность!». И уточнение, что есть профильный отдел, который занимается своей работой.
«Ударил по голове компьютером, душил кабелем от мыши»
И тем не менее, «прошло несколько месяцев, а бреши на сайте оставались незакрытыми, данные пользователей «гуляли в даркнете». Переписка в течение нескольких месяцев с министерствами и ведомствами, и даже с администрацией президента, — результатов не дала. В итоге «этичные хакеры» махнули рукой на чиновников и просто опубликовали данные об утечках в Facebook.
— И результат впечатлил: «дыра», сквозь которую просачивались данные пользователей, была закрыта всего за 30 минут.
Специалисты ЦАРКА и в последующем не раз прибегали к этому методу решения проблем: если владелец ресурса, которому сообщалось о проблеме, не решал её — кейс расходился по СМИ.
Так «белые хакеры» показали всем, что «взломать» домен gov.kz и получить доступ к управлению сайтами государственных органов — дело 10 минут. Нашли и продемонстрировали «бреши» на сайтах Министерства обороны, мэрии Астаны и сотовых операторов.
«Уголовный кодекс работает на хакеров, а не экспертов по кибербезопасности»
Арман Абдрасилов отмечает, что «официально в Казахстане нет киберпреступлений».
— Из-за низкой квалификации МВД в области расследования киберпреступлений возник серьёзный кризис доверия: жертвы атак не пишут заявлений.
В прошлом году РГП ГТС зафиксировало около 100 тысяч инцидентов, из которых в МВД было передано только несколько дел, остальное — в стол. МВД такие преступления не нужны, так как это стопроцентные «висяки», которые портят без того плохую статистику раскрываемости, и поэтому даже не включаются в официальную статистику.
По данным прокуратуры, в год в Казахстане регистрируется всего около 100 заявлений в сфере информатизации, большая часть из которых — из разряда: «ударил по голове компьютером» или «душил кабелем от мыши». Но, вращаясь в этой среде, мы знаем, что в банках периодически происходят инциденты, — просто их руководство никуда не передаёт информацию о них.
Арман Абдрасилов приводит данные от Group-IB: по их информации, в Казахстане около 60 тысяч заражённых смартфонов, а компьютеров и других устройств — в несколько раз больше.
— Пользователи, естественно, даже не знают об этом. А если «нет тела — нет и дела», как любят говорить в полиции: к сожалению, для начала процессуальных действий нужно заявление от пострадавшего.
По словам Армана, не так давно специалисты ЦАРКА обнаружили в Казахстане более тысячи заражённых маршрутизаторов MikroTik. Они передали передали информацию с их ip-адресами в РГП ГТС.
— Пришёл ответ, что только 10 из этих устройств принадлежат государственным органам. Оставшиеся 990 — то есть 99% «не представляют для нас интереса». Национальный CERT дал нам понять, что это не входит в задачи госслужбы реагирования на инциденты, — и пусть сами пользователи решают свои проблемы.
«Когда становится понятно, что хакер — гражданин другой страны, расследование захлёбывается в бюрократических процедурах»
Специалисты ЦАРКА обратились в Генеральную прокуратуру за разъяснениями, в чью зону ответственности должен входить контроль за остальными заражёнными маршрутизаторами MikroTik. Так по мнению Армана Абдрасилова, эту работу мог бы взять на себя оператор — отслеживать и отключать абонентов от сети до устранения проблем. Однако нужно, чтобы это вменили в обязанность операторам.
— Это «неудобный» для всех прецедент, но с его помощью мы создаём правоприменительную практику: ведь именно так в последующем будут решаться остальные подобные вопросы.
Директор ЦАРКА надеется, что этот случай также позволит со временем прописать в уголовном кодексе возможность возбуждать дело и начинать процессуальные действия по заявлению третьей стороны или даже анонимному сообщению.
— Сейчас, если мы сообщаем об уязвимости, то у МВД возникают вопросы к нам самим о том, как мы об этом узнали. Они даже могут вменить нам статью за неправомерный доступ: в данном случае уголовный кодекс работает на хакеров, а не экспертов по кибербезопасности.
«У хакеров есть своя «карма»
— Как вы отвечаете на вопрос, каким образом узнаёте об угрозах и атаках?
— Какие-то вещи находим в даркнете: люди делятся информацией на хакерских форумах, а также продают за деньги. Кроме того мы обязательно отслеживаем все публикации об уязвимостях — и сканируем сети по свежим сигнатурам.
— Как часто специалистов ЦАРКА нанимают для расследования киберпреступлений в Казахстане?
— Крайне редко: дело в том, что в обычных компаниях мало кто понимает, что дальше делать с результатами такого расследования: сделать выводы из своих ошибок, закрыть «бреши» и попытаться не наступить на те же грабли снова. Как правило, все банки проводят расследования собственными силами. У них в штате есть специалисты с соответствующей квалификацией. К нам время от времени обращаются финтех-компании.
— Бывали ли случаи, когда вам так и не удавалось понять, откуда возникла проблема?
— Да, хакеры нередко неплохо заметают «следы», применяют ТОРы, используют зарубежные сервера. В таком случае всегда возникает вопрос честного взаимодействия с соответствующими иностранными службами.
— Расскажите, что происходит, когда вы находите источник атаки: заводится ли дело, передаётся ли в суд?
— Нет, у нас такого опыта не было. Когда становится понятно, что хакер — гражданин другой страны, расследование захлёбывается в бюрократических процедурах, и дело буксует. Обычно расследование показывает, каким путём проникли в сеть злоумышленники, и как были украдены те или иные данные. Имея логи и журнал событий, мы можем воспроизвести все действия злоумышленников, и закрыть линию атаки, но узнать, куда ведут «следы», — лишь в редких случаях.
— Вы с кем-нибудь кооперируетесь в борьбе за кибербезопасность?
— В основном мы всё делаем своими силами. И я объясню почему: мы занимаем очень активную гражданскую позицию — всё время пытаемся предавать огласке проблемные вопросы, выносим их на публику, и мы боимся, если мы объединимся с какими-то компаниями, нас обвинят в лоббировании их интересов.
— Мы оказываем услуги: проводим аудит информационных ресурсов и инфраструктуры компаний, чтобы выявить и предотвратить потенциальные угрозы и снизить риски для бизнес-процессов. Также у нас есть подразделение, которое разрабатывает наше собственное ПО для мониторинга безопасности сайтов.
Мы приняли для себя стратегию с убыточностью на несколько лет, в течение которых будем развиваться, наращивать «мускулы» — и в то же время помогать «созреть» рынку. Это не совсем стандартный путь, но мы видим потенциал, и бьём и бьём в одну точку — со временем мы создадим новую отрасль.
— Когда вы планируете выйти на самоокупаемость?
— У нас есть запас «прочности» ещё на год, а дальше команда должна зарабатывать, — мы же не можем вечно работать себе в убыток.
За сертифицированными экспертами ЦАРКА наблюдают, в том числе иностранные компании: за несколько лет работы стоимость нашей команды возросла многократно. И если мы не сможем работать в Казахстане, будем рассматривать вариант с релокейтом — нам поступали выгодные предложения, в том числе из Беларуси.
— Расскажите о своей команде: есть ли среди ваших экспертов хакеры в прошлом?
— Нет, мы не доверяем и не хотим иметь ничего с ними общего, по большому счёту, — это обычные преступники. Мы из тех, кто называет себя «белыми шляпами», — хакеры-исследователи: они сообщают разработчикам об обнаруженных уязвимостях, публикуют статьи в средствах массовой информации, и тем самым продвигают индустрию кибербезопасности.
— Как вы проверяете «скелеты» в шкафу своих сотрудников?
— А мир не так так велик, как кажется. Специалисты по кибербезопасности знают друг друга напрямую или как минимум заочно. У хакеров есть своя «карма», определённое место в рейтингах на специализированных форумах — и это сложно скрыть.
— В этом году Казахстан занял 83 место из 165 в глобальном рейтинге кибербезопасности. В этом есть и заслуга специалистов ЦАРКА?
— Есть, и мы надеемся, что с следующем году Казахстан попадёт в ТОП-50 или даже ТОП-30 стран — мы очень много сделали для этого. В частности мы отстояли перед чиновниками необходимость принимать всерьёз и сам рейтинг, и требования, которые выдвигает Международный союз электросвязи.
Постепенно совместными усилиями мы закрываем пункты из списка Международного союза электросвязи, выполняем их условия, и страна поднимается выше и выше в рейтинге: ещё два года назад она не входила и в первую сотню.
Руководитель минского офиса российской частной компании по расследованию киберпреступлений Group-IB Александр Сушко:
— Насколько мне известно, частных служб реагирования на киберинциденты, подобных ЦАРКА, в Беларуси нет. В настоящее время частный бизнес в нашей стране в основном зарабатывает деньги, и не думает о том, чтобы обеспечивать информационную безопасность страны — госпрорталов, госорганов, граждан. По моему убеждению, такие организации могут рождаться лишь внутри страны. И поэтому релокейт ЦАРКА или полный перенос их технологий сюда вряд ли возможен: казахские специалисты знают свои особенности, а в Беларуси нужны те, кто знал бы местные особенности.
Выражаем благодарность Human Constanta и hoster.by, организаторам публичной лекции, преивента к Форуму по управлению интернетом, за помощь в подготовке материала.
10 классных ИТ-курсов из сферы, которой не грозят увольнения (июнь 2023)
Собрали для вас интересные курсы по информационной безопасности на различных популярных платформах. В подборке как программы для новичков, так профессиональные сертификации для опытных айтишников, которым требуется прокачать Cyber Security более глубоко или освежить знания.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.