"Прикрутить" повестки в "ДіЯ" можно за несколько дней: экс-работник СБУ по кибербезопасности об атаке на "Киевстар", грешную "Дію" и дырявый Telegram

Хакерская атака на крупнейшего телеком-оператора в Украине "Киевстар", произошедшая в конце 2023 года, заставила снова вспомнить, что Россия ведет против нашего государства гибридную войну, и киберпространство — такое же поле боя, просто менее публичное.

Какие возможности навредить Украине имеют российские хакеры? Что еще они могут "положить", кроме мобильной связи? Почему опасно пользоваться мессенджером Telegram и приложением "ДіЯ" и возможно ли ввести электронные повестки? На эти вопросы в интервью "Телеграфу" ответил эксперт по кибербезопасности, бывший руководитель подразделения по борьбе с киберпреступностью в СБУ Константин Корсун.

— Константин, что произошло с "Киевстаром"? Эксперты отмечают, что программные продукты внутренних систем учета компании писала российская фирма. Учитывая такие российские связи, успешная хакерская атака на "Киевстар" была лишь вопросом времени?

— Ну, я не был бы таким фаталистом. Нельзя сказать, что это было неотвратимое событие. Компания заботилась о кибербезопасности, но все равно произошел этот случай, пожалуй, один из самых громких за всю историю Украины в сфере телекома. Но почему это произошло и можно ли было избежать?

Чтобы говорить об этом, нужно больше информации о характере атаки, а ее до сих пор нет. Технический отчет или хотя бы описание атаки требуется. Я так понимаю, точку входа тоже еще не определили. Надеюсь, что когда-нибудь хотя бы общий отчет будет, и тогда уже можно будет сказать, можно было избежать атаки или, может, все произошло из-за того, что есть российские владельцы.

— После этой атаки громче стали разговоры о национализации "Киевстара". Как относитесь к этому?

— Считаю, что это плохая идея. Вообще-то я против любых национализаций. Я уверен, что частный бизнес всегда будет лучше управлять компанией, тем более компанией, созданной как частная с самого начала. Национализация точно не решит внутренние проблемы в менеджменте управления, если они есть в компании. Придут посторонние люди, возможно, с каким-нибудь опытом в телекоме, но без знания особенностей работы компании, с поставщиками, с персоналом.

— Российские хакеры утверждают, что получили личные данные пользователей "Киевстара". Конечно, эту информацию трудно верифицировать, а в самой компании ее опровергают. И все же, если произошла утечка таких данных, чем это чревато для абонентов?

— Я не верю, что всю базу слили. Это довольно сложно технически: оно так организовано, что почти невозможно сделать даже с правами суперадминистратора.

— Часть базы…

— Ну, какие там могут быть данные? Если это prepaid-абоненты (предоплаченной связи. — Ред. ), то никаких данных нет, кроме номера телефона, сколько им пользуются, какой объем данных и какое количество звонков. Это такая обезличенная информация, которая мало что кому даст. Если вы знаете конкретный номер конкретного абонента, то можете посмотреть, как долго он общается.

Если это контрактные абоненты, то данные паспорта будут и идентификационного кода с привязкой к номеру телефона. Это важные данные, например для разведки, чтобы идентифицировать и сопоставить: кому человек звонил по телефону, в какой день, какой продолжительности были эти звонки, с какой интенсивностью, в Киеве находился или перемещался, в зоне действия какой базовой станции был. Но это уже конкретные лица, у которых есть конкретные номера, и в основном пострадать могут политики, военные, топовые персоналии.

Для рядовых граждан, которых абсолютное большинство в базе оператора мобильной связи, риск такой, что будут приходить какие-то SMS со спамом или фишингом, если эту базу продавать какими-нибудь кусками.

Но много другой информации у нас в разных базах данных уже не раз сливали. Тот же "Приват Банк". Там также были и мобильные телефоны указаны, и совсем критическая информация как раз для мошенников.

— А для спецслужб врага? Как он может использовать это?

— Для спецслужб важна постоянная актуализация данных каждый день, поминутно. Без живой актуализации данные сильно теряют ценность. Именно поэтому один из ключевых вопросов: почему они решили "убить" это все? Если они имели такой доступ к данным, то он был гораздо более ценным, пока они имели живой доступ к базе. А если они слили и забрали данные, ну это историческая архивная информация.

— Насколько серьезна хакерская угроза из России? Понимаем, что деньги там есть, а как насчет интеллектуальной способности их специалистов?

— Топ-уровень хакерского мастерства в большинстве стран примерно одинаков. Волшебников нет ни у нас, ни "за поребриком", ни в США. Это примерно одни и те же технологии, подходы, методы, и они все более или менее стандартны и понятны.

Подобную атаку на "Киевстар" могла подготовить группа из 5-10 человек высшей квалификации. Это действительно был топ-уровень: положить одного из крупнейших телеком-операторов страны – серьезное достижение. Я думаю, что исполнители этой атаки за это получили свои медальки.

Однако вся профессиональная среда Украины и соответствующие службы знают, что есть такие группы. Кстати, они не смогли в феврале-марте 2022 года положить все. Хотя атаки наблюдались, они только распыляли силы. Возможно, им не хватало людей, ресурсов или слишком много целей хотели взять слабыми, недостаточно подготовленными атаками. А вот если сконцентрироваться на одном большом объекте, который может вызвать большой общественный резонанс, то не требуется большая группа и большие деньги.

— Правильно понимаю, что все российские хакеры на зарплате спецслужб РФ?

— Да. Та часть, о которой известно, они находятся под контролем спецслужб. Мозговой центр – 16-й или 18-й центр ФСБ (центр радиоэлектронной разведки, центр информационной безопасности ФСБ соответственно. – Ред. ). Там есть 200-300 более или менее подготовленных офицеров, которые являются штатными работниками спецслужбы, но у каждого из офицеров или многих из них на связи находятся еще несколько человек из андеграунда — "черных" хакеров, преступников, занимающихся коммерческим хакингом, то есть воруют деньги. Их взяли на компромате, завербовали и они либо бесплатно работают, либо какую-то часть времени уделяют выполнению задач офицеров спецслужб за деньги. Некоторые из этих хакеров вообще могут не знать, на кого конкретно, на какую спецслужбу они работают. Их когда-то завербовали на компромате и периодически к ним обращаются. А некоторых людей находят в Даркнете для выполнения какой-либо задачи за полную цену. Это сплав государства и киберкриминалитета.

— Что еще могут "положить" в Украине российские хакеры, кроме телекома? Какие объекты под угрозой?

— Во-первых, выделяем объекты критической инфраструктуры: транспорт, финансы, энергетику, снабжение водой, продуктами, производства. Далее выделяем из этих объектов наиболее критичные, например, топ-100: Энергоатом, Ощадбанк и т.д. То есть системные объекты, остановка работы которых будет показательна, максимально резонансна, ведь хакеры спецслужб охотятся не за деньгами, а им нужен политический резонанс, дестабилизация общества. Из этих 100 объектов выделяем те, которые широко используют или очень зависимы от информационных технологий. Те же мобильные операторы, интернет-провайдеры — это полностью зависимый бизнес от сетей, от киберсоставляющей (в мае 2023 года столичный провайдер "Корбина" также подвергся российской хакерской атаке. — Ред. )

И таким анализом примерно можно обозначить следующие объекты атак. Это будут объекты, остановка работы которых коснется огромного количества людей, — та же энергетика в отопительный сезон. Или финтех, зависящий от технологий, ведь банковское приложение у каждого сейчас в смартфоне. "ДіЯ"! Она также может быть следующей целью.

— В этой войне украинские возможности сопоставимы с российскими?

— Сказать однозначно "да" или однозначно "нет" невозможно, потому что это все очень непубличное поле. Но очень грубо можно сказать, что возможности сопоставимы. Но я бы хотел думать, что все же на нашей светлой стороне силы больше, потому что за нами коллективный Запад и технологии, нам дают любой софт для защиты, бесплатно учат. То есть мощь западного технологического общества стоит за нами.

С другой стороны, Москва готовилась. Такие кибервойска в виде сплава спецслужб и киберпреступников, существуют с начала 2000-х. Были созданы соответствующие подразделения в спецслужбах, более 20 лет они готовились, обучали свои кадры и у них тоже есть преимущества. Поэтому с учетом этих факторов возможности сопоставимы.

— Вы систематически выступаете против использования мессенджера Telegram. Назовите главные доводы, почему его прямо сейчас нужно удалить со смартфона?

— Во-первых, это российская разработка. Этого уже должно быть достаточно. Это россияне, это Дуров (Павел Дуров, разработчик Telegram. — Ред. ). Он уехал, но держит серверы на территории России, сотрудничает с российскими властями, ограничивает какие-то каналы, удаляет их.

Во-вторых, Дуров брал деньги от кремлевских олигархов – миллиард долларов. Российские власти блокировали-блокировали, боролись-боролись с Дуровыми, а потом раз! и перестали, и даже стали дружить, и Роскомнадзор создал свой Telegram-канал. Разве это не прямое доказательство того, что с ним договорились, но просто не афишируют.

Мы сейчас воюем против России, защищаем свою страну от всего российского, но многие пользуются Telegram и считают это приемлемым.

— А с технической точки зрения что не так с Telegram?

— Мессенджер практически незащищен. Это не совсем и мессенджер, а скорее социальная сеть. Все нормальные мессенджеры: Signal, Threema, Wire и даже Viber используют сквозное шифрование. Это такая опция, которая не разрешает разработчику мессенджера читать и видеть сообщения своих пользователей. Это стало международным стандартом во всех защищенных мессенджерах.

Кроме того, Threema, Wire используют протокол Signal. Он открыт. Это означает, что любой специалист может зайти, посмотреть его код, поискать там "черные ходы". А Дуров не показывает свой протокол. Он говорит, что это секрет, это наша технология и все. Хотя в современном мире подобные практики уже давно не работают. Правило security through obscurity, то есть безопасность из-за неопределенности (если не знать как устроенная система, ее труднее сломать. — Ред. ), уже давно опровергнуто. Это миф.

— Тогда как донести людям, что ради безопасности лучше отказаться от Telegram? Он же такой "хороший и удобный".

— Самая большая проблема в том, что наши государственные органы используют Telegram в качестве официального канала коммуникации. Это меня просто ужасает, я никак не могу это понять. Поэтому первый шаг, который можно легко реализовать, без проблем просто запретить государственным структурам использовать Telegram как официальный канал коммуникации. К примеру, СНБО не имеет Telegram. Респект, молодцы. То есть, на уровне правительства, президента, Верховной Рады просто запретить этот российский мессенджер.

А выходит так, что люди пользуются, и кто-то думает: ой, Telegram — российский, наверное, с ним не все в порядке, а потом смотрят: наши государственные структуры имеют Telegram-каналы. А если наши государственные структуры им пользуются, почему я не могу? Государственные структуры, видимо, проверили и убедились, что это не угрожает никому.

Поэтому первый шаг – простой и логичный и легко его выполнить. Отказ государственных структур использовать Telegram автоматически уменьшит количество пользователей.

А со всеми остальными нужно разъяснение. Я не считаю, что запрет для людей является эффективным инструментом, а блокировка тем более. И технологически это сложно проделать, и с точки зрения демократических ценностей не очень хорошо.

— Вопрос о "ДіЯ". В чем главные претензии экспертной среды к ней?

— Мы выделили с коллегами 22 наибольших претензии к "ДіЯ", и изложили отдельным документом: "22 греха "ДіЯ".

Если коротко: там множество проблем с точки зрения защиты персональных данных. Будь у нас профессиональный независимый орган защиты персональных данных, он банально не допустил бы запуска подобного приложения. Во-вторых, приложение использует в качестве основы идентификации банковские системы.

— А что тут не так? Разве это не надежно?

— Электронные документы — это максимально возможный уровень, который не должен допускать ошибок. Этот уровень должен гарантировать, что конкретный документ выдан конкретному человеку. А приложение использует для идентификации более низкий уровень – банковский. То есть просто слепое доверие банкам, а у банков есть процент мошеннических действий, злоупотреблений, и они заложены в расчеты ведения бизнеса. Но если государство проводит идентификацию, выдает официальные электронные документы, процент должен быть ноль. А собственный механизм идентификации разработчики не предусмотрели.

— А хакнуть "ДіЯ" возможно?

— Это уже было в январе 2021 года. Был огромный скандал, когда россияне через одного из поставщиков "ДіЯ" взяли веб-кэш.

— Объясните неспециалистам.

— Один из поставщиков "ДіЯ" выполнял какие-то работы и использовал для этого свою сеть. Поставщика хакнули и забрали достаточно большой кусок данных "ДіЯ". Поэтому такой случай был, хотя его и отрицают разработчики.

Сейчас мы в состоянии полномасштабной войны, деятельность большинства госорганов закрыта, ничего не известно, не публикуют данные по атакам. Может быть, и снова было что-то подобное, но нам об этом не говорят. Думаю, если или когда "Дію" все же серьезно хакнут, как "Киевстар", и например, получат доступ к админским правам и отправят всем клиентам разрушающий вредоносный код, который сотрет весь смартфон, то это невозможно будет скрыть. Но я надеюсь, что все предыдущие ошибки разработчики "ДіЯ" учли и к подобному сценарию готовятся.

И, наконец, "ДіЯ" — добровольный электронный браслет для каждого пользователя. Так или иначе разработчик получает данные, активный клиент или неактивный, какие документы он загрузил. Понятно, что технический персонал "ДіЯ" имеет обратную связь с каждым телефоном, где установлено приложение. И если преступным хакерам удастся получить такой админский доступ, последствия будут просто катастрофическими. Но надеюсь, что такого не произойдет.

— Для россиян это очень лакомый кусок?

— Очень. Там заявлено 18 миллионов пользователей. Но отсутствие связи, как в случае с "Киевстаром", это одно, а когда у тебя уничтожены данные на телефоне, это совсем другое.

— Электронное голосование и электронная мобилизация. Эти проекты можно реализовать?

— В Украине я не вижу перспектив интернет-голосования еще десять лет. С существующими подходами к государственному регулированию и развитием этого направления. Молдова 20 лет этим занималась и отказалась. Еще многие страны занимались, а в Германии на уровне парламента запретили. В Штатах специалисты писали огромные петиции о запрете на такое голосование, что современные технологии не позволяют обеспечить прозрачность, демократичность этого процесса.

А что касается электронных повесток, то это очень просто сделать. С помощью "ДіЯ" это элементарно. Именно технологично, подчеркиваю, а не юридически или политически. Просто к "ДіЯ" можно "прикрутить" еще один функционал и сообщать о повестке, ведь каждый пользователь "ДіЯ" идентифицирован с ног до головы. Если ситуация с мобилизацией ухудшится, то запустить эту функцию – это несколько дней.