Расширенный поиск

В конце мая на сайте Хакер.ру появился материал под заголовком «Сессия на пятерочку, или Как повысить успеваемость, не выходя из дома». Анонимный автор поделился информацией о целом ряде «дыр» в интернет-ресурсах, которые используют ведущие вузы казахстанской столицы, что якобы позволяет студентам — или тем, к чьей помощи они могут обратиться — изменять текущие и экзаменационные оценки в онлайн-ведомостях, данные посещаемости и другие сведения.

Автор статьи подробно описывает пошаговые алгоритмы взлома информационных систем Евразийского национального университета и Казахского агротехнического университета. В первом случае уязвимости были обнаружены на субдомене, что позволило получить доступ к нескольким базам данных, включая ту, что отвечает за детали авторизации — логины и пароли к внутриуниверситетской системе.

Во втором случае, как говорится в материале «Хакер.ру», имеет место «распространенная ошибка администраторов сайтов, которая приводит к тому, что злоумышленникам даже не требуется специальных знаний и особых навыков, чтобы получить полный доступ к базе данных автоматизированной информационной системы». Речь идет о том, что ИТ-специалисты вуза не запретили загрузку исполняемых файлов через форму подачи заявок абитуриентами, что открывает дорогу вирусам, а также открытость файловой системы для индексирования поисковиками. Это также потенциально может позволить третьему лицу авторизоваться в закрытой системе и получить доступ ко всем базам данным сервера.

Помимо манипуляций с оценками учащихся, такие уязвимости могут грозить серьезными проблемами, включая использование полученного незаконного доступа для организации целевых атак, фишинговых операций, похищения конфиденциальной информации и персональных данных.

Digital.Report более месяца пытался получить официальные комментарии по поводу озвученных в материале сведений и о планах ведомства в деле повышения информационной безопасности вузов. В конце июня Департамент высшего и послевузовского образования Министерства образования и науки сообщил в ответ на наш запрос, что данные факты не были подтверждены. «Угрозы от хакерских атак на информационные системы выявляются своевременно и применяются соответствующие меры по защите систем», — говорится в официальном письме.

«Безусловно, наличие уязвимости информационных систем Университетами допускается, вследствие чего разработана систематизация контроля угроз (ведется мониторинг, автоматическая регистрация действий всех пользователей; при выявлении несанкционированных действий система позволяет отменить внесенные неправомерные корректировки автоматическим возвратом действия)», — сообщают Digital.Report сотрудники Департамента, добавляя, что «университеты достаточно снабжены квалифицированными кадрами в области обеспечения информационной безопасности».

Запросы были также направлены в Евразийский национальный университет и Казахский агротехнический университет. Ответ был получен только от первого вуза. В нем проректор, г-н Д. Камзабекулы, делает «исчерпывающий вывод», что «описанные в статье действия не имеют актуальную ценность». Дальнейший текст полностью идентичен содержанию ответа, предоставленного позже Департаментом высшего и послевузовского образования.

«Действия лиц, совершающих, либо совершивших взломы информационных систем, квалифицируется Уголовным кодексом РК (статья 194, 195, 205-213)», — также сообщили Digital.Report в министерстве и Евразийском национальном университете. Ст. 194 УК РК относится к вымогательству, Ст. 195 — к «причинению имущественного ущерба путем обмана или злоупотребления доверием», что едва ли относится к действиям, описанным в статье анонимного хакера.

Статьи 215-213 же объединены в отдельный раздел «Уголовные правонарушения в сфере информатизации и связи», и включают в себя такие составы, как «Неправомерный доступ к информации, в информационную систему или сеть телекоммуникаций», «Неправомерные уничтожение или модификация информации», «Нарушение работы информационной системы или сетей телекоммуникаций». Самое жесткое наказание по последней статье предусматривает два года лишения свободы, по другим — арест на срок до 90 суток.

Официальный ответ Министерства образования и науки за подписью пресс-секретаря первого руководителя госоргана был получен на минувшей неделе. В нем уточняется, что информационные системы вузов разрабатываются университетами самостоятельно — «с учетом их субъективных требования, в зависимости от формы собственности, структуры, внутренних процессов, регламентов и т.д.». В министерстве считают, что целью таких разработок является повышение эффективности работы вуза, и видят в степени развития ИКТ конкурентное преимущество того или иного учебного заведения.

«Не исключено, что в некоторых случаях разработка может проходить без привлечения надлежащих специалистов или использования лучших практик в области информационной безопасности», — признают в министерстве и рекомендуют привлекать только квалифицированных специалистов, а также проводить аудит информационной безопасности при разработке и внедрении новых ИКТ-компонентов.

Кроме этого, министерство планирует выработать рекомендации по применению лучших практик в области информационной безопасности при разработке и интеграции информационных систем в вузах страны.

 

* стилистика и орфография ответов сохранена.

 

Об авторе

Адиль Нурмаков

Кандидат политических наук, преподаватель Департамента медиа и коммуникаций в Университете КИМЭП (Алматы, Казахстан). Исследовательские интересы: новые медиа, интернет, гражданское общество, демократизация.

Написать ответ

Send this to a friend

Перейти к верхней панели