Антон Кирсанов и Роман Кононов, сооснователи кыргызского Центра реагирования на компьютерные инциденты KG-CERT, специально для Digital.Report.
Начать разговор об информационной безопасности Кырнета (кыргызстанский сегмент глобальной сети Интернет) и Кыргызстана в целом мы бы хотели с определения корня всех проблем в сфере информационной безопасности. Он, как ни странно, в самой информации.
Цифровые данные сегодня – это ключевой элемент большинства бизнес-процессов. Накопление, обработка и умение анализировать большие объемы информации (BigData) становится ключевым конкурентным преимуществом бизнеса и государств.
Информационная безопасность напрямую связана с ценностью информации. Риски растут тогда, когда растет ценность актива. Где-то ценность напрямую выражается в денежном эквиваленте (интернет-банкинг, данные платежных карт, электронные кошельки), где-то сама по себе закрытая информация предоставляет собой важный цифровой актив (бизнес-стратегии, контракты, информация ДСП, базы клиентов и поставщиков, массивы персональных данных и прочее).
Любая информация в той или иной мере представляет собой ценный актив, и его владелец несет риски в процессе создания, накопления, использования и хранения информации. Все проблемы с информационной безопасностью происходят из-за того, что обладатели этого актива недооценивают свои риски и не принимают необходимых действий по обеспечению целостности, конфиденциальности и доступности данных.
О Кырнете нулевых
Кырнет долгое время был немного отстраненной от остального мира частью интернета из-за малой “ширины” внешнего канала и высоких цен на внешний интернет-трафик.
При этом внутренний трафик в Кыргызстане был существенно дешевле, поэтому здесь долгое время были популярны местные FTP-хранилища (2000-2010 гг.), а позже и отечественные файлообменники и торрент-трекеры (files.kg, namba.kg, torrent.kg), сайты с фильмами (ts.kg, cinemaonline.kg), локальные площадки для общения и торговли С2С (diesel.elcat.kg). Пользователи платили только за доступ в сеть, платить за контент и товары в интернете было непривычно и непопулярно.
Электронная коммерция тоже не была развита – настоящие интернет-магазины можно было сосчитать по пальцам, а остальные являлись лишь электронными витринами. Счет банков, предоставлявших клиентам эквайринг и полноценный интернет-банкинг, шел на единицы.
В начале века информация кыргызских пользователей не представляла ценности для киберпреступников, ведь люди не осуществляли денежных операций онлайн, а значит, стоимость информации среднего пользователя была близка к нулю.
Это отставание долгое время позволяло Кырнету избегать многих рисков информационной безопасности, которые были актуальны в странах с развитой инфраструктурой интернет-коммерции уже с начала 2000-х годов. Инциденты с банковскими троянами, фишингом и кражей платежных данных с интернет-площадок в Кырнете до недавних пор были единичными.
Game change
Стремительное развитие интернета, расширение пропускной способности внешних каналов трафика вкупе с удешевлением широкополостного доступа в сеть привели к коммерциализации Кырнета. Появились крупные платежные системы (mobilnik.kg, elsom.kg), пользователи стали чаще “ходить” в глобальный интернет за покупками, заказывать товары через международные торговые площадки, покупать авиабилеты через интернет. Постепенно появилось доверие к интернет-магазинам и платежным сервисам. Банки стали развивать системы интернет-банкинга.
К 2016 году пользователь Кырнета стал представлять интерес для злоумышленников: у него появились деньги, которые можно украсть или выманить через интернет. По нашим оценкам, стоимость информации среднего пользователя Кырнета сейчас доходит до 50$ и постоянно увеличивается.
Возросшая ценность информации привела к росту числа инцидентов, связанных с ИБ, к которым абсолютное большинство компаний и пользователей пока просто не готовы. Наибольшую опасность представляют собой целевые атаки, выполняемые профессионалами. Ущерб от них может исчисляться миллионами долларов США.
Центр реагирования на компьютерные инциденты в Кыргызстане KG-CERT (http://cert.kg) фиксирует постоянный рост инцидентов в сфере ИБ и сумм финансового ущерба, сопряженных с ними. Главным образом, это проблемы с кредитными картами и электронными деньгами, но также растет количество инцидентов, связанных с вымогательством (шифровальщики данных, фальшивые штрафы за просмотр контента для взрослых, целевое вымогальство после взлома и прочее).
Интернет-площадки, хостеры, государственные и частные организации все чаще сообщают об инцидентах ИБ, но большая часть инцидентов и утечек информации подолгу остается незамеченной даже для самой пострадавшей организации. Уже в ближайшие годы Кыргызстан столкнется с полным набором актуальных рисков информационной безопасности.
Инциденты с государственными ресурсами
В январе 2015 года злоумышленники осуществили дефейс сайта Духовного управления мусульман Кыргызстана muftiyat.kg и вывесили на главную страницу экстремистские материалы. На восстановление доступа ушло несколько дней. Девять месяцев спустя дважды был зарегистрирован несанкционированный доступ к сайту Министерства по чрезвычайным ситуациям республики mes.kg. Благодаря оперативным действиям сотрудников МЧС проблема была решена в течение нескольких часов.
4 сентября 2015 года хакеры взломали веб-сайты Госагентства связи, Агентства по охране окружающей среды, Национальной библиотеки, Фонда обязательного медицинского страхования и произвели подмену главной страницы. Скорее всего, дефейс был осуществлен одной группой, использовавшей уязвимость в CMS этих ресурсов. В ноябре похожий инцидент произошел с сайтом Министерства культуры, информации и туризма. На возобновление работы сайта потребовалось 2 месяца.
Лишь самая малая часть инцидентов ИБ становится известна широкой аудитории, зачастую о “взломе” не узнают даже владельцы сайтов. Чаще всего злоумышленники через свои программы-боты просто оставляют лазейку для использования в будущем (backdoor), которая никак не проявляет себя до момента активации, например, до ее использования в DDoS-атаках, рассылке спама, получения конфиденциальной информации и прочего.
Большинство вышеупомянутых инцидентов с государственными информационными ресурсами не представляли реальной опасности, являясь нецелевыми атаками непрофессионалов (так называемых script kiddies). Основная цель подобных взломов – публичный пиар “хакерской” группировки либо призывы к экстремизму.
Гораздо большую опасность представляют собой целевые атаки – advanced persistent threat (APT) — которые превосходят обычные киберугрозы, будучи нацеленными на взлом конкретного объекта (включая целевую инфраструктуру) после длительной подготовки.
В зоне особого риска находятся сервисы, службы и базы данных, предоставляющие доступ к массивам чувствительной информации, такие как:
— Государственная налоговая служба – e-taxservices.kg – реестр налогоплательщиков и патентов, в котором доступен поиск по номеру патента, ФИО или ИНН налогоплательщика, позволяет определить ФИО по ИНН и наоборот.
— Государственная регистрационная служба – shailoo.srs.kg – электронный список избирателей, в котором доступен поиск по ФИО, что позволяет определить район проживания избирателя.
— Портал “Открытый бюджет” – budget.okmot.kg – позволяет по ИНН налогоплательщика посмотреть налоги, уплаченные им за определенный период времени. Ресурс, по сути, косвенно позволяет определить операции с имуществом налогоплательщиков.
— Министерство юстиции – register.minjust.gov.kg – реестр юридических лиц Кыргызской Республики, в котором также доступен поиск по названию и реквизитам юридических лиц.
Под угрозой находятся и другие государственные онлайн ресурсы и базы данных, предоставляющие доступ к массивам информации о гражданах и резидентах Кыргызской Республики. Они обладают весьма существенным информационным активом, который нельзя недооценивать. Кроме того, с внедрением электронного правительства и транзакционных услуг эти риски только возрастут.
Утечки информации с таких ресурсов могут привести к катастрофическим последствиям, поэтому их нужно уметь правильно защищать. К сожалению, скудные бюджеты, выделяемые на информационную безопасность в этих организациях, и низкие заработные платы специалистов по ИБ (которых часто вообще нет в штате), не позволяют правильно обеспечивать процессы ИБ и должным образом защищать информацию. До сих пор отсутствуют требования и регламенты по хранению, обработке и передаче чувствительных данных.
Сокрытие — лучшая защита?
Многие инциденты проходят незамеченными, а если и замечаются, то зачастую не афишируются. Коммерческий сектор старается “замять” любую информацию об инцидентах – взломах, утечках либо компроментации чувствительной информации – так как это приводит к существенным репутационным рискам.
Современный подход к безопасности в Кыргызстане – это безопасность через сокрытие (Security through obscurity). Ни к чему хорошему он не приводит, ведь у общества и специалистов нет общей картины информационной безопасности в стране.
Серьезной проблемой также является слабая законодательная база в сфере ИБ. Из-за отсутствия стандартов и регламентов, утечки персональных данных и другие инциденты не регистрируются, не производится их мониторинг и анализ. За уже произошедшие инциденты в сфере ИБ ответственности никто не понес, системных выводов сделано не было.
Необходимо срочно начинать разработку политики информационной безопасности государства, постепенно внедрять международные стандарты и лучшие практики в области информационной безопасности, совершенствовать законодательную базу и ввести ответственность за невыполнение требований ИБ. Обучение персонала и введение в программы вузов специальностей по ИБ позволит постепенно снизить риски до приемлемого уровня.
Антон Кирсанов, Роман Кононов
Центр реагирования на компьютерные инциденты в Кыргызстане – KG-CERT.
KG-CERT – это группа экспертов по компьютерной безопасности, занимающихся сбором информации об инцидентах ИБ, их классификацией и нейтрализацией. Основной задачей KG-CERT является предупреждение и снижение уровня угроз информационной безопасности для всех пользователей кыргызстанского сегмента сети Интернет. Для этого KG-CERT оказывает содействие и даёт консультации операторам связи, юридическим и физическим лицам, органам власти по выявлению и предупреждению противоправной деятельности, имеющей отношение к сетевым ресурсам, расположенным на территории Кыргызской Республики.
