Разделы
Материалы

Мировая кибервойна. Почему "государство в смартфоне" не только полезно, но и опасно

Алексей Батурин
Фото: УНИАН

Спикер «Украинского киберальянса» Андрей Баранович о том, как обыски у активистов отвратили их от сотрудничества с силовиками, об уязвимости госсервисов и том, почему в нынешних условиях опасно строить государство в смартфоне

В октябре 2019 года на табло одесского международного аэропорта неизвестные хакеры вывели фотографию экоактивистки Греты Тумберг с подписью Fuck you Greta! 25 февраля по факту данного инцидента сотрудники полиции и СБУ пришли с обысками к троим членам общественной организации "Украинский киберальянс", объединяющей специалистов в области информационной и кибербезопасности. Активисты "Киберальянса" решили защищаться с помощью огласки этой истории — созвали прессу.

Перед началом встречи с журналистами в конференц-зале царит приподнятое настроение, которым маскируют тревогу. Большинство присутствующих знакомы друг с другом. Говорят об обысках, о прессинге волонтеров, о том, что "скоро все там будем".

— А это наш распятый мальчик в трусиках! — Михаил Макарук, пресс-секретарь сообщества InformNapalm, громко приветствует своего коллегу из "Киберальянса" Андрея Барановича, более известного под именем Шон Таунсенд.

— Давай на пресс-конференции без петросянщины, — просят Макарука.

Сохранять серьезность нетрудно: то, о чем рассказывают спикеры — Баранович, его коллеги Артем Карпинский, Александр Галущенко и Андрей Перевезий, — совершенно не смешно.

Одно из направлений деятельности "Киберальянса" — акция FuckResponsibleDisclosure (к черту ответственное раскрытие) — поиск уязвимостей в информационных системах госорганов и объектов критической инфраструктуры. Год назад уязвимость обнаружили в одесском аэропорту, сообщили о ней руководству предприятия и СБУ. В октябре вновь нашли утечку: в открытом доступе лежало множество документов для внутреннего пользования. Снова проинформировали силовиков и аэропорт. Вскоре произошел взлом. Теперь последовали обыски, проходившие с нарушениями. К примеру, у активистов изъяли технику, что запрещено законом, прозванным в народе "маски-шоу-стоп".

Возможно, именно это обстоятельство стало причиной ухудшения здоровья судьи Малиновского районного суда Одессы. Суд должен был вынести решение по аресту имущества активистов "Киберальянса", изъятого в ходе обысков. Рассмотрение дела началось в пятницу, продолжилось утром в понедельник, потом объявили перерыв до 17:00, но вечернее заседание не состоялось, так как судья заболел.

"Выходит, нас считают некой криминальной организацией и думают, что мы по очереди втроем размещали картинку с Гретой"

В "Киберальянсе" не понимают, почему с обысками пришли именно к ним. В полиции ограничиваются туманными объяснениями: установлены лица, которые могут быть причастны ко взлому, "у них изымают техническое оборудование, с помощью которого, вероятно, совершалось преступление". Активисты обиделись на силовиков, которым ранее не раз помогали. Теперь они решили прекратить всякое сотрудничество с ними до тех пор, пока с "Киберальянса" не снимут обвинения и не извинятся.

Неудобные люди

Каким для вас был день обыска?

— Утром я собрал ребенка в школу, полистал "Фейсбук", хотел еще немного подремать. Стук в дверь. Открываю, меня тут же хватает за руки спецназовец, и в квартиру вваливается целая толпа: киберполиция из Одессы и Киева, следователь из Одессы и представитель одесского УСБУ. Обыск шел с восьми утра и где-то до часу-двух.

По закону изымать технику нельзя, информацию положено копировать, но ко мне пришли с одним маленьким винчестером, на который все не влезло бы. Изъяли компьютеры, телефоны, оставили только детский компьютер — порылись в нем прямо во время обыска и решили, что он их не интересует.

Какие претензии предъявляли?

— В этом деле у меня нет статуса. Мне не предъявили никаких обвинений, никто не приглашал меня на допросы или для дачи свидетельских показаний. Просто пришли, забрали компьютеры и уехали в Одессу.

В решении суда написано, что открыто дело по ст. 361, ч. 2 (несанкционированное вмешательство в работу компьютеров, автоматизированных систем, компьютерных сетей или сетей электросвязи, ч. 2 — те же действия, совершенные повторно либо по предварительному сговору группой лиц). Повторно это произойти не могло, значит, они считают нас некой криминальной организацией и думают, что мы по очереди втроем размещали картинку с Гретой. Не знаю, с чего они так решили. Может, сотрудники полиции все делают по трое.

Вообще, я не сразу понял, о каком аэропорте идет речь. Это настолько рядовая для нашей страны уязвимость, что я не стал об этом ничего писать или репостить: прочитал в посте коллеги и сразу забыл, а полиция, оказывается, не забыла. Если там считают, что я виноват, статью должны были предъявить мне, а так, по сути, дело это фактовое.

Не было каких-то угроз накануне?

— С угрозами я неоднократно сталкивался. Мы показывали уязвимости всевозможным украинским организациям, в число которых входят все министерства, включая МВД (они даже как-то просили помочь им разобраться с безопасностью в их ведомстве). Каждый раз наблюдаем один и тот же процесс. Сначала нам говорят: "Это не мы". Потом говорят: "Это не уязвимость". Потом: "Это неважная уязвимость, никакие данные не пострадали". Если выясняется, что уязвимость важная, чиновники становятся агрессивными, как раз в этом случае они начинают угрожать обращениями в полицию и СБУ. То есть мы пытаемся им помочь, а они считают, что это происки недоброжелателей, что кто-то хочет подложить свинью.

Иногда дело доходило до заявлений в полицию: туда обращались Херсонский облсовет и "Энергоатом". Потом они, правда, забирали заявления и даже извинялись. С одесским аэропортом что-то пошло не так.

Что могло стать причиной возникновения этого дела?

— Возможно, руководство аэропорта решило кого-то наказать, чтобы им не мешали зарабатывать, несмотря на дыры в системах. Возможно, правоохранительные органы использовали этот случай как повод, чтобы забрать у нас компьютеры и в них порыться в расчете, что там что-то найдется. Возможно, мы раздражаем киберполицию, ведь немножко залезаем в их зону ответственности — кибербезопасность государства. Это может быть и политическим давлением. Часть альянса — участники партии "Демократична сокира".

Без маски. Раньше активисты "Кибер­альянса" сохраняли инкогнито, теперь их имена известны силовикам. Андрей Баранович считает, что прятаться дальше нет смысла (фото: Наташа Чиж)

Не кажется ли вам, что обыски у "Киберальянса" созвучны наездам на волонтерское движение?

— Естественно, все волонтеры, гражданские активисты — люди весьма неудобные для власти. Они пытаются докопаться до ошибок, все исправить, это безмерно бесит чиновников, которым хочется контроля. Контроль понимают так: прийти и сломать о колено, принудить, иногда даже запугать, чтобы все было так, как они хотят. Но это очень глупый, неэффективный способ. Даже в случае с одесским аэропортом гораздо проще было бы не тратить деньги налогоплательщиков на то, чтобы прослушивать активистов, ходить по пятам и изымать технику, задействовав десятки человек. Достаточно было бы позвонить и просто спросить или вызвать повесткой. Я бы с удовольствием поговорил с киберполицией об этом и других инцидентах.

Подходи и бери

Создается впечатление, что, пока вы ломали россиян и коллаборантов, к вам не было претензий. Когда занялись поиском уязвимостей в госсервисах, они появились.

— Нам, как правило, удается убедить чиновников, что мы действуем в их интересах, причем действуем исключительно в рамках законодательства: не используем хакерских методов. Например, такой случай был с Нацагентством по вопросам госслужбы. Оказалось, что все документы кандидатов на государственную службу — паспорта, дипломы, резюме — оказались в открытом доступе, абсолютно любой желающий мог их найти в "Гугле". То есть речь не идет ни о каких взломах, вирусах и хакерах — просто подходи и бери.

Мы пытаемся всем, в том числе руководству страны, объяснить, почему кибербезопасность важна и почему никакие доктрины и миллионы долларов от западных партнеров эту ситуацию не исправят, пока не появятся люди, которые возьмут на себя ответственность за происходящие инциденты. Но наше государство не хочет искать ответственных внутри себя.

Было много случаев, когда мы выявляли не просто какую-то уязвимость или паспорта в онлайне, а следы деятельности хакеров, в том числе российских. Три года назад им удалось взломать почтовый сервер МВД и получить доступ ко всей переписке. Мы это выяснили, потому что смогли забрать почту одного российского хакера, вломившегося в министерство. Тогда буквально на следующий день в МВД пришли киберполиция и СБУ, они завели дело за халатность. Но таких дел у нас ведут очень мало.

А в чем, собственно, важность кибербезопасности?

— В Украине система управления осталась советской с поправкой на разрушительные процессы. В сочетании с новыми технологиями устаревшая система управления создает существенные риски, потому что если паспорта чиновников, возможно, представляют интерес для РФ, то вашими медкартами, счетами, в том числе за коммуналку, могут воспользоваться мошенники. Чиновники пытаются спрятать проблему под ковер, говоря, что у нас все хорошо, что построены киберцентры по стандартам НАТО, что на это потратили десятки миллионов долларов, но это ни от чего не защищает. Можно сколько угодно проводить круглые столы и принимать законы, но в физическом мире действуют законы физики, а не парламента: если есть дыра, ею рано или поздно воспользуется либо преступник, либо враг. Доходит до смешного. Наше Министерство энергетики взломал школьник из Марокко, который так и не смог объяснить, на что рассчитывал, когда на сайте министерства разместил требование выкупа.

"Если выясняется, что уязвимость важная, чиновники становятся агрессивными, как раз в этом случае они начинают угрожать обращениями в полицию и СБУ"

Вся наша жизнь зависит от компьютеров. Если их не защищать, рано или поздно будет нанесен колоссальный ущерб. Предыдущие инциденты в Прикарпатье, в Киеве в компании M.E.Doc привели к блэкаутам и многомиллиардным убыткам. Только официальные потери от вируса "НеПетя" [этим вирусом Украину атаковали летом 2017 года], стремительное распространение которого стало возможным из-за дыры в инфраструктуре M.E.Doc, оцениваются в $10 млрд. Мы, наверное, очень богатая страна, если делаем вид, что это нас не интересует.

Назовите главные проблемы Украины в области кибербезопасности.

— Это необразованность и безответственность, причем безответственность — в первую очередь. Чиновник нужен, чтобы принимать решения, в этом его основная функция. Если решение принято верно, он молодец, неверно — нужно понести наказание. У нас есть статьи о служебной халатности, нарушении правил безопасности, но они мертвые, за ошибки наказывают редко, если ошибку не удается отрицать, ищут стрелочников. Возможно, это произошло и с нами: виноваты не те, кто должен был защищать систему, а те, кто о проблеме рассказал в "Фейсбуке".

Теперь у нас есть Министерство цифровой трансформации. Все понимают, что нужно что-то менять, но при этом никто не просчитывает риски, которые связаны с введением цифровых технологий. Вот у нас сделали новое приложение "Дія", которое тут же пускают в эксплуатацию без технической документации, без обсуждения и даже без ответа на вопрос, зачем это вообще нужно. Смартфон — довольно сложное устройство. Прежде чем запихивать туда государство, нужно разобраться, как оно работает и какие мо гут быть последствия. "НеПетя" у нас уже был, документы из Антитеррористического центра предатели выносили, но учиться на этих ошибках никто не стал.

Все из-за греты. Преследования "Киберальянса" начались после появления фото экоактивистки на табло одесского аэропорта (фото: УНИАН)

Еще одна проблема — вера в магию законов: вот мы примем новый закон, и все будет хорошо. Давайте тогда примем закон о росте экономики и прекращении войны и том, чтобы преступники сами приходили сдаваться в полицию.

Мировая война

Проблемы пытаются отрицать только чиновники или бизнес тоже?

— Параллельно с акцией #FRD шла акция #паровозикоблачко, которую проводил Андрей Перевезий. Она была направлена на поиск уязвимостей в частном секторе. Результаты там совсем другие, время реакции короче на порядок. Ребята нашли в открытом доступе техдокументацию "Киевстара". Уже через 30 секунд после публикации в "Фейсбуке" представитель компании спрашивал у нас, что произошло. Они тут же начали внутреннее расследование, как произошла утечка, потому что понимают, что это будет стоить им и денег, и репутации. А чиновник у нас — представитель защищенного класса, он не рискует ничем.

Три года назад вы говорили: "Государству пора ответить на вопрос, ведет ли оно кибервойну и какие методы в ней допустимы". Ответы получили?

— Нет, не получили. Кибервойна идет, и не только между Россией и Украиной, но по всему миру. Этот процесс не остановить: чем больше влияние информационных технологий, тем острее будет этот конфликт.

Что можете посоветовать людям, чтобы они не переживали об утечке конфиденциальной информации?

— Безопасность — процесс комплексный. Нельзя просто поставить какую-то программу или купить какое-то устройство, чтобы сказать: "Теперь я защищен". Люди часто по незнанию говорят, пишут, иногда сохраняют вещи, которые и говорить-то не стоило. Прежде всего нужно представить, что произойдет, если ваша информация попадет именно к тем, кому она попадать не должна. Что будет, если переписка с любовницей попадет к жене, двойная бухгалтерия — в налоговую, счетами завладеют преступники, полиция изымет компьютеры. Нужно отделить важное от неважного и использовать давно известные методы: шифрование, например; сложить то, чего никто не должен увидеть, хотя бы в архив с паролем. И соблюдать элементарные правила: не кликать на случайные ссылки, не открывать письма от незнакомцев, если приходят уведомления с каких-то сервисов, убедиться, что это действительно не от мошенников.