От взлома клерки пытались защититься паролем «admin admin»
Казнет продолжают сотрясать киберскандалы. Вслед за скандальными высказываниями бизнесмена Рамиля Мухоряпова в Сеть слили данные сотрудников chocofamily.kz. В открытый доступ попали ФИО, номер телефона, почта и другие сведения работников. Но это далеко не единственная база данных, которую могут запросто явить мошенникам и интересующимся хакеры. golos-naroda.kz решил подробнее поговорить о цифровой гигиене казахстанцев и выяснил массу интересного.
Пока никто из сторон ситуации не прокомментировал произошедшее с chocofamily.kz. А эксперты по кибербезопасности тем временем продолжают говорить о необходимости кибергигиены и даже предлагают создать в Казахстане отдельное агентство по кибербезопасности, напрямую подотчетное главе государства.
Об этом они вновь заявили на прошедшей в Астане Международной конференции Kazakhstan Security Systems 2022. Профильный рынок согласен на эту инициативу, сообщил президент Центра анализа и расследования кибератак (ЦАРКА) Олжас Сатиев. А пока такое ведомство не создано, участники рынка помогают государству предотвращать утечку персональных данных.
- Благодаря разработанной нами системе WebTotem мы мониторим 150 тысяч сайтов РК для Комитета по информационной безопасности (КИБ) министерства цифрового развития, инноваций и аэрокосмической промышленности (МЦРИАП). Удалось снизить количество инфицированных ресурсов с 638 до не более 20. Сократили и время реагирования на факты взломов сайтов - с 30 дней до 1 дня. Мы хотим помочь государству провести полную инвентаризацию в вопросе кибербезопасности, - рассказал Сатиев.
Совместно с КИБ ЦАРКА запустил платформу, через которую независимые исследователи получили возможность легально взламывать Казнет, сообщать об уязвимостях и получать вознаграждение.
- Мы думали, что откликнется 20-30 хакеров, а в результате получили 1,5 тысячи отчетов от коллег со всего СНГ, Индии, ОАЭ, Сингапура. Один из кейсов – когда участник платформы получил доступ к системе водоснабжения Астаны и мог отключить подачу воды в столице. Пароль к системе был «admin admin». А когда мы сообщили о уязвимости, владельцы просто перенесли сервис на другой порт. «Гениальное» решение! – поделился историей киберэксперт.
Также специалисты зафиксировали 80 уязвимостей электронного правительства, которое предоставляет порядка 400 сервисов.
- Каждая уязвимость – это доступ к персональным данным граждан Казахстана. В нашей практике были даже военные объекты. С учётом ситуации у соседей, когда совершаются атаки на военную инфраструктуру, это очень опасно. Мы взломали один из военных объектов с паролем «admin admin» и получили доступ к нескольким тысячам ФИО. Я не знаю, чьи данные это были, - курсантов или кого-то еще, - но, используя их, можно было внести свое изображение, чтобы пройти на КПП военного объекта. Мы отправили информацию соответствующим органам, - рассказал президент ЦАРКА.
Другой кейс – когда привлечённый ЦАРКА исследователь сдал ПЦР-тест и получил ссылку на результат. Немного изменив исходники ссылки, он получил доступ к 7 миллионам медицинских данных.
- Это были данные анализа крови и даже анализы на ЗППП (заболевания, передающиеся половым путем). Если бы мошенники скачали эти сведения, казахстанцы могли получить письма счастья: «Я знаю, чем ты болел прошлым летом, Виктор. Заплати - и я не сообщу твоей жене»…, - привел возможный сценарий развития событий с утечкой данных Сатиев.
Также была предотвращена атака на один из крупнейших банков второго уровня. Кстати, по словам президента ЦАРКА, банковские сотрудники нередко регистрируются на форумах и сайтах знакомств под данными корпоративной почты либо с теми же паролями. Причем грешат этим не только клерки, но и топ-менеджмент.
- Мы провели социотехнический пентест (анализ системы на наличие уязвимостей) в одном из финансовых институтов и разослали 4 тысячам сотрудников письма о якобы грядущем увольнении. Письма открыло 8 сотрудников, 5 - перешло и только 1 оставил данные. А вот другое письмо с сообщением о выходе новой уязвимости и просьбой обновиться, иначе работник лишится доступа к рабочему месту, открыло уже 135 банковских сотрудников. 74 пользователя ввели данные. Так был зафиксирован вектор проникновения во «внутрянку» - внутреннюю систему банка, что фактически означает взлом банка, - отметил киберэксперт.
А в рамках нового проекта ЦАРКА собирает все утечки данных на рынке.
- На различных форумах продавали доступ к базе данных «Казпочты», банков, базе по пенсионным отчислениям. Хакеры собирают информацию и делают big data (большие данные), чтобы проанализировать и понять, кого можно атаковать и «развести» на деньги. Поэтому мы хотим запустить основы кибергигиены, то есть нести знания по кибербезопасности в массы. Ведь в 90% случаев сами граждане виноваты в том, что становятся жертвами злоумышленников, - сообщил Олжас Сатиев.
Тем временем председатель комитета информационной безопасности Руслан Абдикаликов рассказал, что в текущем году проведено 12 внеплановых проверок на предмет защиты персональных данных. Рассмотрено 6 административных дел, 4 должностных лица, 9 юрлиц и 3 физлица привлечены к ответственности.
- Основное нарушение у юрлиц – когда председатели КСК, ОСИ вывешивают в подъездах данные должников. Мы разъясняем им - вы можете вывесить номер квартиры и сумму задолженности, но афишировать персональные данные не имеете права. Они пытались судиться, но мы все суды выигрываем, потому что закон на стороне граждан, - рассказал Абдикаликов и продолжил: - Наверное, возникает вопрос, почему так мало дел, ведь жалуются много?.. Это нонсенс, но в стране нет сферы госконтроля по защите персональных данных. Профильный закон работает с 2000-х, а сферы госконтроля нет. И мы с 2020 года боремся, чтобы доказать - в первую очередь госорганам - что такой контроль необходим.
Чтобы граждане чувствовали более комфортно в стране в части защиты персональных данных, регулятор предлагает ужесточить ответственность за нарушение в данной сфере. Сейчас, например, налагаются штрафы до 500 МРП (более 1,5 млн тенге) на должностное лицо, допустившее распространение персональных данных с использованием служебного положения. И несколько таких максимальных штрафов уже накладывали, - сообщил глава КИБ.
Однако действующих мер, по мнению КИБ, недостаточно.
- В Европе применяют GDPR (общий регламент по защите данных в ЕС), в РФ рассматривают возможность введения оборотных штрафов, то есть не кратных МРП, а включающих процент от прибыли в течение года, которую получил субъект – нарушитель закона по защите персональных данных. На начальном этапе мы предлагаем поднять текущие штрафы в 2-3 раза, законодательно закрепить информирование граждан при утечке персональных данных. В стране работает 34 оперативных центра по информационной безопасности и мы хотим, чтобы информация о найденных ими утечках через портал egov поступала в личный кабинет пользователей. вкупе с рекомендациями, что нужно делать, – говорит Руслан Абдикаликов.
Заместитель председателя правления АО «ГТС» (Государственная техническая служба) Ұлықбек Шамбулов рассказал, что возросло количество обращений по кибермошенникам.
- Мы были задействованы в проверке 12 субъектов, в основном это банки. За год выявили 1 200 вредоносных ссылок, большинство из которых - фишинговые ресурсы, имитирующие банковские. Также активизировались лжепрограммы по инвестициям, IPO, создаются сайты с упоминанием известных личностей типа Илона Маска и местных бизнесменов. Причем кибермошенники используют топовые социальные сети YouTube, - сказал представитель ГТС и добавил, что по-прежнему жертвами интернет-преступников становятся пожилые люди.
Мошенники звонят пенсионерам, предлагают «инвестиционные» схемы, а в конце разговора сообщают, что уже «пополнили» счет, и теперь человек должен ежемесячно закидывать определенную сумму. Пожилой человек теряется, просит отменить всё, на что ему сообщают, что за отмену нужно заплатить.
Депутат мажилиса Екатерина Смышляева в свою очередь подчеркнула, что сейчас в стране идет защита дублирующих данных, нестоящих данных, каждая база «бегает» за своей информационной системой.
Налицо разобщённая политика в сфере информационной безопасности: кусок в МИОР (министерство информации и общественного развития), в МЦРИАП, часть - в силовых органах. Каждый занимается своим сегментом, а целостной политики нет. Другая проблема - слабое научно-исследовательское направление в области защиты данных. Наряду с гонкой вооружений должна быть гонка решений в этой сфере, - отметила мажилисвумен.
Генеральный директор ТОО «Первое кредитное бюро» Руслан Омаров между тем уверен: данные должны работать, поэтому нужно поднимать монетизацию.
- По разным оценкам, стоимость данных составляет 5-10% от ВВП. Соответственно стоимость данных в Казахстане - 20 миллиардов долларов. Это тот мультипликативный эффект, который может получить страна, если будет нормальный оборот данных. И бизнес должен это понимать и отстаивать, а госорганы - предоставить сервисы при наличии согласия граждан. А еще должно быть data protection агентство (по защите данных), подотчётное президенту страны. Пока у нас нет стандартов информбезопасности, в каждом госоргане к ней свои требования, которые конфликтуют с требованиями других ведомств, - сказал Руслан Омаров.
Тем временем в «Лаборатории Касперского» сообщили, что с начала года в Казахстане совершенно 13 тысяч атак с использованием троянцев-шпионов. В мире в январе-сентябре количество атак троянцев-шпионов на пользователей мобильных устройств увеличилось на 29% по сравнению с аналогичным периодом в 2021 году. Эти программы собирают личные данные пользователя без его согласия и передают их злоумышленникам. Они могут получать доступ к переписке в социальных сетях и мессенджерах, перехватывать и анализировать нажатие клавиш, делать скриншоты экрана. Зловреды используют и для слежки за рядовыми пользователями, и в рамках сложных целевых атак на компании.
Так что хакеры не дремлют, а как от них защититься в масштабах государства – по-прежнему неизвестно.
