В конце мая на сайте Хакер.ру появился материал под заголовком «Сессия на пятерочку, или Как повысить успеваемость, не выходя из дома». Анонимный автор поделился информацией о целом ряде «дыр» в интернет-ресурсах, которые используют ведущие вузы казахстанской столицы, что якобы позволяет студентам — или тем, к чьей помощи они могут обратиться — изменять текущие и экзаменационные оценки в онлайн-ведомостях, данные посещаемости и другие сведения.
Автор статьи подробно описывает пошаговые алгоритмы взлома информационных систем Евразийского национального университета и Казахского агротехнического университета. В первом случае уязвимости были обнаружены на субдомене, что позволило получить доступ к нескольким базам данных, включая ту, что отвечает за детали авторизации — логины и пароли к внутриуниверситетской системе.
Во втором случае, как говорится в материале «Хакер.ру», имеет место «распространенная ошибка администраторов сайтов, которая приводит к тому, что злоумышленникам даже не требуется специальных знаний и особых навыков, чтобы получить полный доступ к базе данных автоматизированной информационной системы». Речь идет о том, что ИТ-специалисты вуза не запретили загрузку исполняемых файлов через форму подачи заявок абитуриентами, что открывает дорогу вирусам, а также открытость файловой системы для индексирования поисковиками. Это также потенциально может позволить третьему лицу авторизоваться в закрытой системе и получить доступ ко всем базам данным сервера.
Помимо манипуляций с оценками учащихся, такие уязвимости могут грозить серьезными проблемами, включая использование полученного незаконного доступа для организации целевых атак, фишинговых операций, похищения конфиденциальной информации и персональных данных.
Digital.Report более месяца пытался получить официальные комментарии по поводу озвученных в материале сведений и о планах ведомства в деле повышения информационной безопасности вузов. В конце июня Департамент высшего и послевузовского образования Министерства образования и науки сообщил в ответ на наш запрос, что данные факты не были подтверждены. «Угрозы от хакерских атак на информационные системы выявляются своевременно и применяются соответствующие меры по защите систем», — говорится в официальном письме.
«Безусловно, наличие уязвимости информационных систем Университетами допускается, вследствие чего разработана систематизация контроля угроз (ведется мониторинг, автоматическая регистрация действий всех пользователей; при выявлении несанкционированных действий система позволяет отменить внесенные неправомерные корректировки автоматическим возвратом действия)», — сообщают Digital.Report сотрудники Департамента, добавляя, что «университеты достаточно снабжены квалифицированными кадрами в области обеспечения информационной безопасности».
Запросы были также направлены в Евразийский национальный университет и Казахский агротехнический университет. Ответ был получен только от первого вуза. В нем проректор, г-н Д. Камзабекулы, делает «исчерпывающий вывод», что «описанные в статье действия не имеют актуальную ценность». Дальнейший текст полностью идентичен содержанию ответа, предоставленного позже Департаментом высшего и послевузовского образования.
«Действия лиц, совершающих, либо совершивших взломы информационных систем, квалифицируется Уголовным кодексом РК (статья 194, 195, 205-213)», — также сообщили Digital.Report в министерстве и Евразийском национальном университете. Ст. 194 УК РК относится к вымогательству, Ст. 195 — к «причинению имущественного ущерба путем обмана или злоупотребления доверием», что едва ли относится к действиям, описанным в статье анонимного хакера.
Статьи 215-213 же объединены в отдельный раздел «Уголовные правонарушения в сфере информатизации и связи», и включают в себя такие составы, как «Неправомерный доступ к информации, в информационную систему или сеть телекоммуникаций», «Неправомерные уничтожение или модификация информации», «Нарушение работы информационной системы или сетей телекоммуникаций». Самое жесткое наказание по последней статье предусматривает два года лишения свободы, по другим — арест на срок до 90 суток.
Официальный ответ Министерства образования и науки за подписью пресс-секретаря первого руководителя госоргана был получен на минувшей неделе. В нем уточняется, что информационные системы вузов разрабатываются университетами самостоятельно — «с учетом их субъективных требования, в зависимости от формы собственности, структуры, внутренних процессов, регламентов и т.д.». В министерстве считают, что целью таких разработок является повышение эффективности работы вуза, и видят в степени развития ИКТ конкурентное преимущество того или иного учебного заведения.
«Не исключено, что в некоторых случаях разработка может проходить без привлечения надлежащих специалистов или использования лучших практик в области информационной безопасности», — признают в министерстве и рекомендуют привлекать только квалифицированных специалистов, а также проводить аудит информационной безопасности при разработке и внедрении новых ИКТ-компонентов.
Кроме этого, министерство планирует выработать рекомендации по применению лучших практик в области информационной безопасности при разработке и интеграции информационных систем в вузах страны.
* стилистика и орфография ответов сохранена.
