По версии сайта «Лаборатория Касперского» Казахстан на незавидное 24-е место в мире в числе стран, чьи интернет-ресурсы подвергаются несанкционированным вмешательствам чаще всего. При этом в отчетности государственных органов уровень киберпреступности в стране настолько низок, что говорить о необходимости усиления безопасности в этой сфере не приходится. Кардинальное различие взглядов Kursiv.kz прокомментировал директор Центра анализа и расследования кибератак (ЦАРКА) Арман Абдрасилов, по словам которого, компьютерные инциденты уже стали для Казахстана обыденной реальностью, которую власти просто не хотят замечать.
Динамика роста компьютерных инцидентов признается всеми: согласно данным официальной статистики, если в 2011 году в Казахстане было зафиксировано 20 тыс. инцидентов, то в период с 2011 по 2016 годы было зафиксировано уже 60 тыс. инцидентов в год, а в 2017 году – уже более 100 тыс. инцидентов. При этом резкий рост в 2017 году объяснялся тем, что в это время в Астане проходила всемирная специализированная выставка ЭКСПО, и рост количества инцидентов связывался как с интересом хакеров к ресурсам этого события, так и с тем, что фиксация инцидентов в этот период велась особенно тщательно.
Последнее обстоятельство наводит на мысль о том, что при работе служб защиты интернет-пространства в «режиме ЭКСПО» среднегодовое количество выявленных инцидентов и в период 2011–16 годов превышало бы озвучиваемые 60 тыс. Особенно в свете того, что независимые эксперты «Лаборатории Касперского» включают Казахстан в топ-25 самых атакуемых стран в мире. Казалось бы, при таком обилии инцидентов должно быть и обилие расследований, однако, по данным комитета правовой статистики, в январе 2018 года в Казахстане при общем количестве зарегистрированных преступлений на уровне порядка 18 тыс. к сфере информатизации и связи относилось всего 12 уголовных правонарушений. При том, что при уровне инцидентов 2017 года (100 тыс.) их ежемесячное количество приближается к 10 тыс.
Понятно, что далеко не все компьютерные инциденты относятся к сфере киберрасследований, но, тем не менее, разница слишком велика для того, чтобы не задаться вопросом: куда деваются эти инциденты, регистрируемые вендерами, но исчезающими из поля зрения ответственных за соблюдение закона органов? Ответ прост: большинство из них просто замалчивается как из-за нежелания обладателей уязвимых систем выносить сор из избы, так и из-за несовершенства законодательства.
«Нет тела – нет дела»
«Если задать вопрос, проводятся ли киберрасследования в Казахстане вообще, то ответ будет утвердительный: они проводятся, правда, не так часто, как хотелось бы, но другой вопрос, что они проводятся не для дальнейшей передачи в суд, а внутри компаний для внутреннего учета, для внутреннего разбирательства, чтобы понять, какого именно рода атака произошла и как не попасться на подобную атаку в будущем», – говорит директор ЦАРКА Арман Абдрасилов.
По его словам, у экспертов ЦАРКА был опыт обнаружения фишинговой атаки (попытки несанкционированного получения доступа к конфиденциальным данным пользователей – логинам и паролям) на ресурс одного из казахстанских банков. Специалистами центра был определен IP-адрес, с которого пришла фишинговая рассылка и дислокация компьютера с этим адресом в Северо-Казахстанской области. Для дальнейшего разбирательства необходимо было выехать на место для работы непосредственно с этим процессором – и специалисты ЦАРКА готовы были сделать это за свой счет, о чем известили Министерство внутренних дел и сам банк.
«Ответ МВД был однозначный: нам объяснили, что, поскольку пострадавших лиц нет – по крайней мере, нет заявлений, то, как у нас говорят, «нет тела – нет дела», то есть никто санкционировать дальнейшее разбирательство не будет, – говорит Абдрасилов. – Так что в МВД нам сказали, что надо дождаться, когда появятся пострадавшие, дождаться, чтобы у кого-нибудь украли деньги, более того, надо дождаться, чтобы пострадавшее лицо написало заявление в полицию, и, естественно, связать эти эпизоды. В результате процесс и ныне там: возможно, пострадавшие есть, но они, скорее всего, об этом не знают», – добавляет он.
Реклама казино – всего лишь техошибка?
Примерно так же ведут себя и госорганы, когда выясняется, что кто-то взломал их сайт – интернет-ресурс одного из казахстанских министерств долгое время украшала реклама казино, расположенного в Китае, которая время от времени перенаправляла пользователей на этот китайский ресурс для накрутки его счетчика. Ситуация с банковской рассылкой повторилась: ЦАРКА известила хозяев сайта об обнаруженном казино-«прилипале», хозяева ресурса отказались заявлять об инциденте в МВД, а сам инцидент был классифицирован как «ошибка в работе».
«Якобы ссылка на этот сайт случайным образом осталась в памяти у человека, который верстал министерский ресурс, и случайно попала на министерский ресурс. При этом никто не хотел относить это к разряду хакерской атаки, но мы трактовали ситуацию как несанкционированное изменение кода и задали вопрос одному из руководителей – давал ли он санкцию внести в код ссылку на некий сторонний ресурс? – говорит Абдрасилов. – Ответ был однозначный: санкции не давалось, соответственно, изменение было несанкционированным и его нужно классифицировать как кибератаку. Но компания-подрядчик быстро исправила ошибку и сделала вид, что никакого инцидента не было, а предоставленный нами скрин-шот – это якобы работа в фотошопе», – констатирует он.
При этом инциденты, касающиеся ресурсов госорганов, хоть кто-то пытается исправить, а вот атаки на ресурсы частных компаний и уязвимости соответствующих систем в Казахстане вообще остаются вне поля зрения властей. Так, по сведениям специалистов ЦАРКА, уязвимость маршрутизаторов Microtik, позволяющая хакеру получать список пользователей и взломать систему, после своего обнаружения в апреле этого года становится весьма актуальной для нашей страны.
«Около 100 тыс. устройств по всему миру заражены и используются как прокси-серверы, около 1 тыс. устройств из них находятся в Казахстане, – утверждает глава ЦАРКА. – Мы направили эту информацию в регулятор, и выяснилось, что 10 IP-адресов принадлежат госорганам, и эти адреса взяты в разработку, по ним ведется работа. Результаты пока нам неизвестны, надеюсь, ошибка была исправлена. Что с остальными 990 устройствами? Нам сказали, что это не входит в зону ответственности госоргана и по ним надо разбираться отдельно», – добавляет он.
И это является большой проблемой, поскольку мало найти владельца такого устройства, необходимо еще и уговорить его написать заявление для того, чтобы продолжать расследование и установить, кто и как воспользовался уязвимостью этого оборудования.
Майните сколько влезет
Но если перспектива распространения хакерских атак благодаря уязвимости той или иной системы, по словам Абдрасилова, воспринимается казахстанскими силовиками как реальная угроза и по проблеме охвата уязвимостей оборудования и ресурсов частников и физлиц прокуратура уже созрела для проработки какого-то алгоритма совместных действий с ЦАРКА, то такой деликатный момент, как майнинг криптовалют на казенном оборудовании, со стороны госслужащих по-прежнему остается вне правового поля.
«В Астане мы находили несколько организаций, в которых майнили криптовалюту, писали об этом руководству этих организаций, писали в силовые структуры, но в ответ задавался очень простой вопрос: «а в чем ущерб?» – говорит руководитель центра. – Нас спрашивали: «а какой ущерб мы вменим нашим администраторам, которые майнили криптовалюту? – Растрату электроэнергии?». То есть это деяние трудно доказуемое, и стоит ли оно того? – никто не пострадал, со счетов организации денег украдено не было, это очень сложно оценимые потери, поэтому чаще всего в таких случаях просто вызывают администратора и просят убрать этот майнинг, не вынося даже выговора или предупреждения», – отмечает он.
В результате в стране складывается парадоксальная ситуация: кибератаки (и следовательно, киберпреступность) есть, их масштабы извне оцениваются достаточно высоко (24-е место в мире по привлекательности для хакеров), но изнутри статистика выглядит благопристойно, поскольку ни правоохранительные органы, ни сами пострадавшие от атак предпочитают сор из избы не выносить. Между тем, по утверждению Абдрасилова, та же ЦАРКА может завалить МВД сведениями об инцидентах – но расследоваться будут только единицы из них.
«Надо развивать культуру обращений в правоохранительные органы, писать заявления, добиваться того, чтобы эти преступления регистрировались, попадали в статистику, и тем самым заставлять этот механизм работать, – говорит Абдрасилов. – На бумаге у нас все отлично, но стоит зайти в сеть, как мы видим, что данные продаются, продаются доступы в локальные сети; одновременно донести эту информацию до владельца системы нельзя, потому что в данном случае наш Уголовный кодекс работает в обратную сторону: мы, как сторона, не являющаяся владельцем системы, не можем сообщать о взломе какого-либо ресурса. Потому что по отношению к нам самим возникает вопрос: каким образом мы эту информацию получили, к нам предъявляются обвинения в кибертатаках и прочих несанкционированных действиях. Сейчас нормативка работает в пользу атакующих, такая вот интересная ситуация», – резюмирует он.