Эксперт: государственной кибербезопасности в Украине – нет

Наличие у операторов и провайдеров телекоммуникаций, построенной согласно требованиям Госспецсвязи комплексной системы защиты информации (КСЗИ), не только не гарантирует защиту, но и во многих случаях вредит кибербезопасности.

К таким выводам пришел признанный эксперт по кибербезопасности Александр Галущенко, проанализировав количество уязвимых устройств в сети «защищенных», по мнению государства, провайдеров, передает InternetUA.

Что такое КСЗИ

Комплексная система защиты информации – совокупность организационных и инженерно-технических мероприятий, направленных на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа.  

Согласно данным Администрации Государственной службы специальной связи и защиты информации, которая и является контролирующим органом при создании КСЗИ, благодаря решению СНБОУ в Украине действует требование по подключению информационно-телекоммуникационных систем органов, предприятий, учреждений и организаций государственной формы собственности к сети Интернет с использованием защищенных узлов доступа. То есть, только к тем операторам и провайдерам телекоммуникаций, которые выполнили все требования ГСССЗИ. К слову, в Госспецсвязи не стесняются и рассылают «письма счастья» даже в ОГА с требованием подключаться только к защищенным, по их мнению, провайдерам. То, что такое требование незаконно, неоднократно подчеркивала крупнейшая телеком-ассоциация страны – Интернет Ассоциация Украины, и даже Антимонопольный комитет.

Аттестат соответствия системы защиты защищенных узлов доступа выдается Госспецсвязью на основании государственной экспертизы в сфере технической защиты информации, порядок проведения которой определяется приказом всё той же Администрации Госспецсвязи. Приказ, кстати, утвержден 16 мая 2007 года, то есть 12 лет назад, и за это время корректировался всего трижды – в 2012, 2016 и 2017 годах.

– «Построение КСЗИ» в среднем стоит сотни тысяч гривен и занимает от 6 до 12 месяцев, а иногда и  больше.  Хуже всего то, что в течение этих долгих и страшных месяцев строитель КСЗИ будет вынужден постоянно общаться с кучей чиновников ГСССЗИ. И все они будут разными путями разводить его деньги: «в вот тут проект надо согласовать, а вот тут надо купить нашу железяку, а вот тут вам сможет помочь одна фирма, вот телефончик», – объясняет Александр Галущенко. – Причем КСЗИ является обязательной, если фирма предоставляет услуги государственным органам. Например, провайдеры доступа в Интернет. Если ты провайдер и обслуживаешь хотя бы одну госконтору – будь любезен построить КСЗИ или подключиться к существующему «защищенному узлу» у другого провайдера. А таких провайдеров немало, ибо госорганов у нас тоже немало. Поэтому крупные провайдеры вынуждены «строить КСЗИ».

По словам известного ИБ-эксперта, процесс построения КСЗИ требует наличие у «строителя»  специальных сотрудников, которые больше года будут заниматься исключительно и только этой задачей. Кроме того, необходимо заплатить сотни тысяч (а то и больше) гривен «официально и неофициально всяким фирмам, близким к Госспецсвязи».

– На выходе из почти года нечеловеческих мучений – несколько красивых бумажек с важными печатями и подписями чиновником Госспецсвязи.  КСЗИ является не более чем кучей бумажек, которые в реальности ни от чего их обладателя не защищают. Вот совсем. Потому что, если ты в процессе «построения КСЗИ» заказал работы у «правильных» фирм – никто не будет проверять соответствие документов реальности, реальному состоянию киберзащищенности. – уверен Александр Галущенко.

Что это за исследование и кого проверяли

– Мы с группой коллег озадачились вопросом: а насколько на самом деле защищены те украинские провайдеры услуг доступа к Интернету, которые имеют в своем арсенале КСЗИ, одобренные Госспецсвязи? Которые прошли все круги ада и получили заветную бумажку, согласно которой государство Украина официально выдало им гордый статус «защищенный узел доступа», – рассказывает инициатор исследования, фигурирующего под загадочным хештегом #a27.

По данным нашего издания, на сканирование уязвимостей и создание отчета у Александра Галущенко и его команды ИБ-специалистов ушло около месяца. Также, по имеющейся у нас информации, с отчетом исследования уже ознакомлены компетентные органы и даже Администрация Президента Украины.

Перечень операторов (провайдеров) телекоммуникаций, которые предоставляют услуги по доступу к сети Интернет и имеют действующие аттестаты соответствия системы защиты защищенных узлов доступа, размещен на сайте Госспецсвязи.

В исследование по причине введения в список после начала работы экспетами не вошли КСЗИ ИТС защищенного узла Интернет-доступа ООО «Лан-Телеком», ООО «Интер-Телеком» и ООО «СИТЕЛ». Также исследователи не проверяли КСЗИ АС защищенного узла Интернет доступа Центра безопасности информации ГП «Украинские специальные системы» и КСЗИ Единой точки доступа органов государственной власти к сети Интернет Государственного центра киберзащиты и противодействия киберугрозам Госспецсвязи. Как объяснил Александр Галущенко – по причине «адекватной оценки возможных последствий сканирования и возможных провокаций со стороны правоохранительных органов».

Результаты исследования и чем это чревато

Начиная с понедельника, 10 мая, Александр Галущенко публикует на своей странице в Facebook результаты проведенного исследования, которое сам эксперт называет «поверхностным». В понедельник и вторник появилась общая информация о результатах, в частности – о количестве уязвимых устройств, которые могут дать доступ к инфраструктуре провайдера (на фото ниже).

Начиная со среды, каждый день будут публиковаться результаты ИБ-аудита конкретного провайдера, имеющего аттестат соответствия КСЗИ.  

– Что показало это исследование?  Адский ужас и тотальный мрак. Государственная кибербезопасность Украины – фейк. Многие эксперты в украинском кибер-бомонде это давно знают. Малого того – это вредная иллюзия защищенности, очковтирательство и рассадник коррупции. Мнение кибер-общественности о фейковости КСЗИ полностью подтверждается результатами исследования,  – говорит Александр Галущенко.

На данный момент известно, что существенные проблемы с защитой информации, не смотря на использование провайдеров, построивших КСЗИ, есть у Энергоатома, Укрзализныци, Укрпочты, Минобороны, МИДа, ГП «Энергорынок», Винницкого городского совета, некоторых энергокомпаний, более чем у 25 ВУЗов, у около двух десятков исследовательских институтов и организаций и ещё более чем 2000 различных учреждений и компаний.  

Скриншот части отчета, опубликованного ИБ-экспертом. Синим выделенны "залёты"

В ИБ-сообществе уже говорят об огромном влиянии данного исследования на отношение государственных органов к вопросам кибербезопасности. Не исключено, что эффект от опубликованной в ближайшее время информации будет сравним с эффектом от известного флэшмобом Украинского киберальянса под названием #fuckresponsibledisclousure. Однако между публикуемой информацией сейчас и #FRD есть существенные отличия – системность анализа ситуации и объем обнаруженных проблем, превосходящий обнаруженное при проведении #FRD в несколько раз.