Взлом, утечка, фейк? Как у хакеров могли оказаться персональные данные белорусов (МВД хранит молчание)
3 августа 2021 в 1628005200
«Зеркало»
В начале июля с перебоями работали информационные сервисы МВД по линии ГАИ. В ведомстве объясняли это в числе прочего «аномальной жарой», а позже «киберпартизаны» заявили, что это был взлом. Об инциденте можно было бы и забыть, ведь доступ к сервисам восстановлен, услуги белорусам оказывают. Но нет: хакеры заявили, что получили доступ к базе «Паспорт» и к некоторым другим системам. «Киберпартизаны» почти ежедневно начали публиковать личную информацию о чиновниках, силовиках, людях, которые якобы жаловались в 102 на протестующих после выборов президента. Что же и по каким причинам произошло, почему личные данные миллионов людей могли попасть в руки неизвестных? Zerkalo.io разбиралось в ситуации.
С чего все начиналось
8 июля был прекращен доступ к ведомственным информационным сервисам МВД. Из-за этого люди не могли в числе прочего совершить регистрацию автомобилей, провести платежи в ЕРИП по линии ГАИ. Тогда в МВД заявили, что это произошло «в связи с проведением плановых профилактических работ на сети передачи данных», а причина произошедшего - аномальная жара.
26 июля о своей причастности к сбоям в работе сервисов МВД заявили «киберпартизаны». Они утверждали, что «выкачали информацию из баз ГАИ МВД Беларуси», им известны данные всех владельцев транспортных средств, есть фотографии прав, данные про штрафы, нарушения ПДД, спецтехнику и многое другое.
От паспортных данных до камер фотофиксации. Как дальше развивалась ситуация
В последующие дни «киберпартизаны» разместили в своем канале и другие сведения, в том числе личные данные, которые являются закрытой информацией. Отметим, что мы не знаем, насколько правдивы и достоверны сведения, попавшие в канал «Кибер-Партизаны Беларуси».
Что было размещено:
- 27 июля «киберпартизаны» сообщили, что у них есть база автоматизированной информационной системы (АИС) «Паспорт» с «досье на каждого», которое включает: фото, паспортные данные, ведомство или военную часть, в которой служит человек, прописка, члены семьи и т. п. Были опубликованы фото якобы из документов некоторых высокопоставленных чиновников и силовиков. В последующие дни публикация таких данных продолжилась.
- 28 июля хакеры заявили о взломе базы данных службы 102 и сообщили, что у них в руках «протоколы всех звонков и личные данные обратившихся». В качестве доказательств были размещены скриншоты некоторых звонивших в службу с жалобами на протестующих после выборов президента.
- 29 июля «киберпартизаны» заявили о якобы взломе базы данных Управления собственной безопасности (УСБ) МВД Беларуси. Для доказательства они разместили сведения, как утверждалось, о сотрудниках-милиционерах (ГУБОП и ОМОН).
- 30 июля хакеры сообщили, что взломан сервер, где хранятся видеозаписи с дронов МВД. Были опубликованы два видео проходивших после выборов протестов. Вечером появилось сообщение о взломе системы наблюдения видеокамер ИВС на улице Окрестина в Минске. В доказательство хакеры прикрепили скриншоты изображений якобы с видеокамер, снимающих происходящее в служебных помещениях, камерах.
-
1 августа «киберпаризаны» написали о «нанесении фатального удара по системе камер фиксации скорости и слежки». Сообщалось, что «камеры были вскрыты и повреждены, узлы связи нейтрализованы», а обработка уже более 125 тысяч текущих штрафов приостановлена. К сообщению прикрепили, как утверждалось, фото автомобилей из системы, которые попали на камеры скорости.
МВД молчит, а «киберпартизаны» выдают новые данные
Чтобы узнать, есть ли у «киберпартизан» доступ к АИС «Паспорт», корреспондент Zerkalo.io запросил у них информацию на своего знакомого (с его разрешения). В ответ они прислали данные по всем получаемым паспортам этого человека, включая прописку, с указанием этажа, на котором находится квартира, номера городского и мобильного телефонов. Также была информация о составе семьи. Дополнительно пришли сведения о нем по линии ГАИ: фото из водительских прав и скан электронной подписи, данные об автомобилях, которые числились на белорусе. Все личные данные совпали.
Ранее корреспондент Zerkalo.io попросил «киберпартизан» предоставить доказательства, что была взломана информационная база МВД. В ответ на это они сбросили информацию обо всем транспорте, который числился за журналистом ранее, а также зарегистрирован сейчас. Тогда также все совпало.
Ранее Zerkalo.io запрашивало в пресс-службе МВД комментарий по поводу происходящего, однако ответа не поступило. Сейчас на наш повторный вопрос об этом в ведомстве ответили, что «как только что-нибудь узнают - сразу напишут». Когда (если) ответ поступит, то мы сообщим об этом.
Эксперты - о возможности взлома баз МВД и последствиях этого
Что произошло: взлом, утечка данных или фейк?
Специалист по кибербезопасности, с которым пообщался корреспондент Zerkalo.io, сообщил, что нельзя утверждать, что хакеры именно взломали информационную систему МВД Беларуси. По его мнению, это не подтверждают даже фото и публикации личных данных граждан в Telegram-канале хакеров. Не исключено, что это был не внешний взлом, а внутренняя утечка информации. Например, когда сотрудник ведомства, имеющий доступ к базе, скачал ее, а может быть, он передал «учетку» к серверам другим людям, а они получили все данные. Не исключено также, что хакеры разместили фейк и пытаются выдать его за действительность.
- Однако вероятность взлома системы действительно реальна (хотя это сделать сложно), потому что абсолютной защиты не было никогда и быть ее не может. Но это не говорит о каких-то реалиях лишь в Беларуси, ведь и серверы NASA взламывали, - говорит специалист по кибербезопасности.
Эксперт считает: для того чтобы узнать, что же произошло с базами МВД, нужно провести расследование, на основании которого можно сделать какие-то определенные выводы. Впрочем, тот факт, что около недели информационная система МВД была недоступна, говорит о том, что какое-то несанкционированное воздействие все же могло быть.
Почему закрытые базы госорганов могут взломать? Они недостаточно защищены?
Еще один наш эксперт, специалист в области защиты персональных данных, считает, что взлом системы и доступ к закрытой информации «киберпартизанами» мог произойти из-за того, что еще на этапе создания электронного правительства была выработана неправильная стратегия в развитии этого направления. Несмотря на то, что работу информационной системы МВД восстановили, риск повторного взлома, по его мнению, сохраняется, причем не только этого ведомства, но и всех остальных.
- В распоряжении государственных органов и различных ведомств Беларуси находятся сотни баз данных, содержащих персональные данные граждан. Все они разрабатывались в разное время, некоторым уже более десятка лет, в них используются разные инструменты безопасности и защиты информации. Кто готов поручиться, что все из них своевременно обновляются и тестируются на наличие новых уязвимостей? Проблем добавляет выбранный властями путь построения инфраструктуры электронного правительства: информация хранится централизованно, базы данных зачастую дублируют одни и те же данные, содержат избыточную информацию, - рассказал эксперт.
Базы персональных данных в Беларуси плохо защищены?
Специалист говорит, что по примеру других стран Беларусь могла бы назначить орган, координирующий цифровизацию госсектора, но вместо этого своими базами занимается каждое ведомство в отдельности, а надзором за технической защитой информации заведует оперативно-аналитический центр при президенте. В итоге у нас вроде как есть Единый портал госуслуг, но за проверкой штрафов по линии ГАИ люди идут на сайт МВД.
По словам специалиста, в белорусской системе электронного правительства «все яйца хранятся в одной корзине», а это большая уязвимость. При взломе или утечке из базы вместо ограниченного сегмента информации хакеры получают все и сразу. Он считает, что давно надо было налаживать инфраструктуру взаимодействия между ведомственными информационными системами. Наш собеседник привел в пример Эстонию, где у каждого ведомства есть базы данных, но персональная информация из них не дублируется, а происходит обмен между базами. У авторизованных сотрудников есть доступ к защищенной сети, по которой можно запрашивать конкретные данные из баз: из одной он получит фамилию и имя гражданина, из последующих (если есть доступ) подтянется номер автомобиля, номер карты соцстрахования и т. д.
Неужели у госструктур нет специалистов, которые знают, как понадежнее защитить данные?
- На мой взгляд, дело не в недостатке или квалификации специалистов по информационной безопасности. Безопасность стоит дорого, требует системного подхода и качественного менеджмента. А у нас сначала собирают персональные данные, а потом годами разрабатывают закон о том, как их следует защищать. К тому же проблемы в этой сфере старательно замалчиваются.
Поломки и утечки личных данных происходят и в крупных зарубежных соцсетях и сервисах, мы все видим это в СМИ. Законы в США и ЕС требуют, чтобы компании оповещали пользователей о взломах. Эксперт говорит, что если такое происходит в Беларуси, то официальная информация об этом не распространяется: «такой обязанности у ведомств нет и не будет». Разве что об этом случайно узнают и напишут СМИ.
Как могут использовать личные данные людей? А что с защитой персональных данных?
- К сожалению, когда люди из СМИ узнают о взломах компьютерных систем, утечке персональных данных, то становится все меньше доверия к ведомствам, которые допустили это и скрыли. К тому же появляется опасность, о которой граждане и не подозревают: полученную информацию могут в своих целях использовать злоумышленники. Имея индивидуальный номер и другие паспортные данные гражданина, можно получить определенные сведения в банках, а уж преступникам, которые обманывают людей по телефону, есть простор для действий.
Отдельной проблемой является нерешенный вопрос с гарантиями при обработке персональных данных. Сведения о гражданах собирают давно, но до недавнего времени отсутствовало полноценное регулирование на уровне закона.
- В Беларуси Закон «О защите персональных данных» был принят только в мае этого года, а вступит в силу он только в ноябре. В соответствии с законом должен быть создан уполномоченный орган, который будет расследовать случаи злоупотреблений при обработке личных данных, в том числе реагировать на жалобы из-за утечек из государственных баз данных. Общество почти ничего не знает о реальном положении дел в сфере защиты информации, публичных дел с привлечением к ответственности должностных лиц практически не было. Хотя ответственность за компьютерные преступления и нарушение правил защиты персональных данных есть, она вплоть до уголовной.
Говоря о перспективах расследования и получения в этом иностранной помощи, Беларусь, несмотря на такую возможность, не присоединилась к главным международным договорам в этой сфере: Будапештской конвенции о киберпреступлениях, а также Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных».