Атака "белых" хакеров: могут ли госсекреты Казахстана попасть не в те руки

Центр анализа и расследования кибератак и компания Documentolog прокомментировали ситуацию вокруг сообщений об уязвимости в системе документооборота Казахстана.
Подписывайтесь на Sputnik в Дзен

АСТАНА, 10 авг — Sputnik. Центр анализа и расследования кибератак (ЦАРКА) и компания Documentolog прокомментировали ситуацию вокруг сообщений об уязвимости в системе документооборота Казахстана.

Второй день в Казнете не утихают споры касательно заявления ЦАРКА о том, что документы национальных компаний, медицинских учреждений, фондовой биржи и других крупных организаций Казахстана не защищены от кибератак.

Дела архивные: как быстро рассекречивается история
Центр анализа кибератак на своей странице в Facebook сделал громкое заявление о том, что нашел в хранилище электронных документов Documentolog критическую уязвимость и порекомендовал всем клиентам системы сменить пароли и предупредить партнеров об опасности.

С чем не согласен создатель Documentolog? Могут ли на самом деле "выйти на поверхность" государственные секреты Казахстана? Почему компания, которая предоставляет услуги "Самрук-Казыне", "Правительству для граждан", KASE, не проходит аудит системы?

Корреспондент Sputnik задал эти вопросы обеим сторонам.

ЦАРКА: вопрос не в самом Documentolog, а касается всего IT-рынка

Глава ЦАРКА Олжас Сатиев рассказал Sputnik Казахстан, что атака на Documentolog была зафиксирована несколько недель назад. С его слов, "белые хакеры" нашли уязвимость, которая позволяет получить доступ ко всем клиентам хранилища документов.

Хакеры "уронили" сайт Высшего судебного совета Казахстана
"Проблема была не только в самой уязвимости. Выяснилось, что администраторы этой системы, включая обычную службу поддержки, имели доступ к документообороту своей системы. Представьте, что какой-то человек из службы поддержки может получать данные документооборота министерства", — сообщил Сатиев.

По его мнению, система была скомпрометирована еще до пентеста (испытания на проникновение). Именно поэтому, как отметил он, ЦАРКА написал о "находке" в Сети.

"Эта уязвимость существует не первый год. Так как вопрос довольно широкий, мы написали письмо с техническими подробностями в Совет Безопасности. Мы публично опубликовали, чтобы пользователи систем инициировали смену паролей и так далее", — добавил он.

Как утверждает Сатиев, найти брешь было технически просто. "Взломать могут и студенты", — считает он.

Глава ЦАРКА пришел к выводу, что в Казахстане к информационной безопасности относятся халатно.

"Вопрос заключается не в самом Documentolog, а касается всего IT-рынка. У нас вообще не уделяется внимания информационной безопасности. Если говорить про Documentolog, то компания столько лет на рынке, но за все время они не провели аудита информационной безопасности своей системы", — заключил Сатиев.

Documentolog: ЦАРКА нарушил Уголовный кодекс

В самой компании, управляющей системой документооборота, заявляют: причин для беспокойства у клиентов нет. Более того, в Documentolog уверены, что ЦАРКА нарушил статьи Уголовного кодекса.

Хакеры взломали порядка 40 казахстанских сайтов
"У нас есть клиент – крупная компания, которая арендует наш сервис. Называть пока не буду. Заказала у этих ребят услугу по аудиту проникновения в свою систему. Систему документооборота для нашего клиента они попробовали взломать, но не получилось. Поэтому они решили, что имеют право взломать нашу внутреннюю систему, а не клиента. Они зашли под логином службы техподдержки, под ее аккаунтом были в нашей системе", — прокомментировал ситуацию Sputnik гендиректор Documentolog Байжан Канафин.

По его словам, пробелы удалось исправить в течение часа. Из-за "человеческого фактора" в системе оказался документ, с которым работала служба техподдержки. В нем были логины и пароли клиентов для администрирования.

"Мы его сразу убрали из системы. Пароли были сразу же изменены. Государственные секреты через систему документооборота не проходят", — добавил Канафин.

Он уверяет, что у админов не было полного доступа к информации клиентов. А действия ЦАРКА называет неэтичными, так как они опубликовали информацию. По мнению Канафина, это мог быть чей-то "заказ".

Проводить аудит информационной безопасности система Documentolog по закону не обязана, так как работает на частном рынке и не интегрируется с госсистемами.

ЦАРКА vs Documentolog: "заказ" или борьба за правду

В Сети представители обеих сторон продолжают обмениваться догадками. ЦАРКА считает, что электронное хранилище может позволить себе "небезопасность" из-за "сильного лобби". А в Documentolog не исключают, что удар по их имиджу – чей-то "заказ".

На вопрос, нарушили ли ЦАРКА закон, Сатиев ответил, что разбираться в этом будет Совет Безопасности.

Кто прав, кто виноват в этой истории, выясняет и казахстанская ассоциация IT-компаний.