Премьер-министр Казахстана Олжас Бектенов провел очередное заседание межведомственной комиссии по профилактике правонарушений. На нем первым вопросом рассмотрели меры по борьбе с интернет-мошенничеством и профилактике возникновения финансовых пирамид.
Официальная позиция
О ситуации в этой сфере доложил Министр внутренних дел Ержан Саденов. По его словам, «Киберпол» раскрыл в виртуальном пространстве более 2,5 тысячи преступлений. Благодаря этому задержаны 914 злоумышленников, а потерпевшим возмещено более 960 миллионов тенге ущерба. Заблокировано 58 миллионов звонков с подменных номеров.
В пяти городах страны изъято 19 SIМ-боксов и более шести тысяч незарегистрированных SIМ-карт. Антифрод-центр заблокировал 400 миллионов тенге на стадии вывода за рубеж. Для усиления мер киберзащиты прорабатывается ряд законодательных поправок для добровольного отказа от выдачи кредитов, а также списания тех из них, которые оформлены без участия потерпевшего.
Председатель Агентства РК по финансовому мониторингу Дмитрий Малахов рассказал, что в текущем году в интернете выявлены 43 финансовые пирамиды и закрыты 266 чатов в месседжерах. Предотвращены возможные финансовые потери почти двух миллионов граждан. С помощью системы «Кибернадзор» заблокировано свыше восьми тысяч мошеннических сайтов. Запущен телеграм-бот, позволяющий гражданам самостоятельно проверять компании и их интернет-ресурсы на наличие признаков финпирамид. К настоящему времени рассмотрено свыше девяти тысяч таких заявок.
По линии Министерства культуры и информации для выявления интернет-мошенничества, онлайн-казино и рекламы финансовых пирамид с начала года ограничен доступ к 12 тысячам материалов с противоправным контентом. В результате принятых мер по развитию кибербезопасности уровень осведомленности населения об исходящих из виртуала угрозах увеличился до 80,4 процента.
Комментируя обнародованную информацию, Олжас Бектенов отметил, что мошеннические схемы постоянно совершенствуются с использованием современных хакерских программ, позволяющих получать все необходимые данные. В этой связи Премьер поручил усилить работу по ряду направлений. В частности, он потребовал сократить время регистрации уголовных дел данной категории, для чего выработать и утвердить четкий механизм определения признаков финансовых пирамид.
«Глава государства поручил усилить меры противодействия интернет-преступлениям с упором на раннее их выявление и пресечение, — сказал Олжас Бектенов. — Большинство интернет-мошенничеств, связанных с оформлением онлайн-кредитов и хищением банковских накоплений, совершаются из-за рубежа. Похищенные деньги обналичивают с помощью так называемых дропперов — это в основном неработающие граждане, желающие быстро заработать легкие деньги. В отношении дропперов сейчас законодательством не предусмотрено никакой ответственности. Более того, никак не наказываются люди, которые сливают базы данных в сеть или мошенникам. Поэтому необходимо проработать вопрос введения ответственности за умышленную передачу посторонним лицам чужих банковских аккаунтов, счетов, карт, данных удостоверений личности, баз телефонных номеров».
Кроме того, для предотвращения выдачи займа мошенникам требуются меры по усилению систем информационной безопасности при оформлении онлайн-кредитов. В этой связи глава Правительства поручил пересмотреть процедуры идентификации личности при оформлении онлайн-кредита. Агентству по регулированию и развитию финансовых рынков предстоит также рассмотреть механизм страхования оформляемых онлайн-кредитов от мошеннического посягательства.
Остается лишь гадать
Приведенные факты и цифры почерпнуты из официального сообщения на электронном портале Правительства. К сожалению, из сообщения неясно, затрагивалась ли на заседании ответственность владельцев персональных данных казахстанцев и коммерческих тайн (государственных органов и организаций, операторов мобильной связи и других предприятий) за утечку конфиденциальной информации. В том числе без установленного участия внешних хакеров и внутренних злоумышленников. То есть из-за непрофессионализма и безалаберности.
Из официального сообщения также неясно отношение Правительства к провалившейся в глазах общественности инициативе исполнительной власти сделать условием получения гражданами телекоммуникационных услуг предоставление личной биометрии операторам мобильной связи. Проект соответствующего документа с 26 августа по 10 сентября находился для обсуждения на сайте «Открытые нормативно-правовые акты» (ОНПА), набрал более двух тысяч просмотров и вызвал практически единодушный протест комментаторов. Причина проста: повторяющиеся в Казахстане из года в год утечки, составляющие миллионы единиц конфиденциальных сведений, в том числе из информационных баз мобильных операторов.
Официальная информация о заседании комиссии также не дает ответа намерена ли власть для усиления защиты персональных данных (Big Data) ввести за их массовую утечку так называемые оборотные штрафы в размере от 2 до 10 процентов годового денежного оборота виновника. То есть последовать уже распространенному международному опыту, что также уже не первый год предлагают сделать отечественные специалисты.
Отсутствие внятной позиции официальной Астаны по перечисленным вопросам — свидетельство забывчивости или упрямства власти перед старой аксиомой «Воруют чаще то, что плохо лежит».
Это вам не мелочь по карманам тырить
На следующий день после заседания Межведомственной комиссии по профилактике правонарушений на известном среди айтишников сайте «Хабр» (habr.com) за подписью sadshade вышла статья под красноречивым заголовком «ЭЦП в Казахстане — общее благо или находка для хакера?». Публикация изобилует терминологией, цифрами, скриншотами, понятными лишь квалифицированным специалистам. Но кое-что понятно и дилетанту.
«Я занимаюсь тестированием на проникновение (несанкционированное. – Прим. ред.) и сетевой безопасностью в Казахстане, — начинает разговор автор. — В свободное время занимаюсь поиском уязвимостей, а также публикую небольшие статьи... В данной статье хочу рассказать об исследовании безопасности, касающемся использования электронной цифровой подписи (ЭЦП) на казахстанских ресурсах. В ней вы узнаете о последствиях некорректной проверки ЭЦП в информационных системах в масштабах страны».
Далее sadshade сообщает, что нашел более 90 авторизованных казахстанских информационных систем (ИС), пользование которыми требует ЭЦП. Автору удалось проверить 80 из них, остальные не работали или требовали закрытой регистрации. По словам sadshade, 52 из 80 проверенных ИС оказались уязвимы и позволяли обойти механизм аутентификации из-за отсутствия проверки сертификата пользователя. «А значит, — приходит к выводу автор, — я мог изменять любые значения в сертификате, в том числе ИИН пользователя».
Большинство уязвимых ИС принадлежит государственным и квазигосударственным организациям либо создано для них, часть — коммерческим предприятиям, уточняет sadshade. «Например, были найдены четыре системы документооборота, с которыми работают крупнейшие организации страны, в том числе государственные органы (от 5 до 100 тысяч организаций, по данным официальных сайтов), — сообщает автор. — Данные системы предоставляли доступ к платформе SaaS/PaaS, что позволяло (в теории) получить доступ к личным кабинетам клиентов, а в некоторых случаях — и к административной части систем».
Одна из проверенных автором статьи инфосистем принадлежала банку, другие связаны со здравоохранением, образованием и социальными услугами для населения. «На одном из таких порталов, — пишет sadshade, — мне удалось войти от имени пользователя с «очень большими» привилегиями и доступом к персональным данным родителей и их детей общим количеством более миллиона записей… Ну и, конечно же, портал с электронными петициями, где также используется ЭЦП, а из-за отсутствия нормальной проверки можно накрутить голоса». А разработчики одной страховой компании, сообщает автор, совсем уж не стали заморачиваться с криптографией и решили использовать только ИИН открытым текстом без пароля и каких-либо проверок.
Подробности обнаруженных уязвимостей автор отправил по соответствующим адресам, в том числе Центру анализа и расследования кибератак (ЦАРКА, первый в Казахстане и Центральной Азии частный центр по борьбе с киберугрозами). «И тут надо сказать спасибо команде ЦАРКА за их труд, ибо общение с владельцами информационных систем — это совершенно неблагодарное занятие», — сообщает sadshade. По его словам, некоторым ИС он отправлял свои предупреждения еще в феврале 2024 года, но лишь единицы прорех в кибербезопасности были устранены, и даже МЦРИАП (Министерство цифрового развития, инноваций и аэрокосмической промышленности) ничего не может с этим поделать.
Приведенные факты и цифры — малая толика содержания статьи «ЭЦП в Казахстане — общее благо или находка для хакера?» от 12 сентября 2024 года на сайте «Хабр». Повторяем, полностью она будет понятна лишь айтишникам и специалистам в области кибербезопасности. Но и небольшая толика позволяет сделать вполне определенные выводы даже дилетанту.
Информационные системы и ЭЦП в Казахстане в большинстве случаев уязвимы и небезопасны. Это большинство затрагивает как государственный и квазигосударственный, так и частный сектор. За редким исключением (ЦАРКА) в республике царит пренебрежительное отношение к предупреждениям о киберугрозах, которые сделал, например, sadshade, которого можно отнести к «белым» хакерам. Иногда нарушаются даже самые элементарные принципы инфобезопасности (пример страховой компании). Как все это вместе сказывается на доверии между государством, бизнесом и гражданами, очевидно без комментариев.