Юрій Артюх: Історія про роботу одного державного онлайн-сервісу (або візьми собі трохи віруса)

6 років тому
Політика
2 360
3
15

Багато з вас мабуть не знає, але є така професія - арбітражний керуючий.

Якщо без заумних слів, то це такі люди, які призначаються на підприємство, коли воно знаходиться в процедурі банкрутства.

Підприємства різні бувають - від великих державних (секретних, з спеціальним допуском до державної таємниці) до маленьких, в яких взагалі немає майна. І на кожне таке підприємство в обов'язковому порядку судом призначається арбітражний керуючий. І цей арбітражний керуючий – він і керує підприємством, і веде звітність і багато чого іншого робить. Коротше кажучи – немає від нього таємниць.

Арбітражні керуючі відносно самостійні в своїй діяльності. З одного боку за ними стежить суд – щоб вони не накоїли на підприємстві лиха, а з іншого - Міністерство Юстиції через відповідні управління і департаменти.

І ось останнє ще за царя панька зобов’язало арбітражних керуючих подавати обов’язкову звітність. Спочатку в паперовому вигляді, а знещодавна тільки в електронному. Створило для цієї мети систему електронної звітності арбітражних керуючих (СЕЗАК), відкрило кожному кабінет через який така звітність за допомогою електронного цифрового підпису (ЕЦП) і мала подаватись.

Це, так би мовити, вступ. Цікаве починається з цього місця.

Десь наприкінці 2016 року почали арбітражні керуючі помічати, що не можуть попасти в СЕЗАК, не зчитується у них ЕЦП. Проблема, як потім з’ясувалось, пояснювалась просто. Ця СЕЗАК використовувала своїй діяльності модуль під назвою Java. Ця Java, якщо я правильно зрозумів зі слів програмістів, вже років зі п’ять поступово виводиться з використання всіма системами, які раніше її використовували через проблеми з її роботою. Не є виключенням і розробники браузерів – спочатку використання Java заблокував Chrome, потім Mozilla, Opera та інші, останнім здався Internet Explorer. СЕЗАК продовжив використання Java з тим, щоб до системи неможливо було зайти з жодного браузера. А між тим звітність подавати треба.

Повторюю, проблема не виникла раптово. Обслуговує СЕЗАК Державне підприємство «Національні інформаційні системи» (ДП «НАІС»). Ви може думаєте, що ДП «НАІС» оперативно вирішило проблему – вирішило, але не дуже оперативно і в дуже нетривіальний спосіб.

Ні, ДП «НАІС» не відмовилось від використання Java (щоб було мабуть самим логічним виходом з ситуації). Нарешті, після кількох місяців відмовчування, в травні 2017 р. в Кабінеті електронних сервісів були розміщені рекомендації щодо подолання проблеми. Ось тут за посиланням можна подивитись https://kap.minjust.gov.ua/news, дата публікації 05.05.2017 р.

Якщо коротко, то суть рекомендації полягала в наступному.

ДП «НАІС» створило ехе.файл (файл установки) під назвою sezak 1.2., яке зліпило зі старої версії браузера Mozilla (тієї, що ще не відмовлялась працювати з Java – ми ж пам’ятаємо, що в ній вся проблема) і старої версії самої Java (бо нова версія в свою чергу відмовлялась працювати зі старою версією Mozilla), а потім розмістила на файлообміннику Dropbox – встановлюйте всі охочі і буде вам щастя.

Ще раз - державне підприємство розмістило ехе.файл на недержавному файлообміннику, який воно не контролює ані з точки зору безпеки, ані з точки зору стороннього доступу, і запросила до його скачування арбітражних керуючих. Цей файл і досі там знаходиться.

Пам’ятаєте історії з вірусами WannaCry і PetyaA? Остання особливо показова – невідомі зловмисники змінили (!) ехе.файл (!) оновлень програми MEDOC на сервері розробника (!) і запустили в нього шпигунську програму, яка пошкодила кілька тисяч комп’ютерів тільки в Україні, а також за припущенням голови РНБО має російське походження і була призначена для отримання конфіденційної інформації користувачів.

Тепер питання – якщо зловмисники захочуть отримати доступ до конфіденційної інформації арбітражних керуючих, то наскільки їм важко буде змінити ехе.файл, яке створило ДП «НАІС»? Історія підказує, що жодних проблем.

Але це ще не все. Солодке на останок.

Ехе.файл, яке створило ДП «НАІС» та розмістило на файлообміннику на даний час містить в собі троянську (вірусну) програму з дивовижною назвою HEUR/QVM05.1.8.D53.Malware.Gen. Не вірите, спробуйте його скачати з антивірусом 360 Total Security (інші антивіруси не пробував), антивірус просто заблокує установку.

В ДП «НАІС» про це знають. Принаймні з мого листування з ними. Проте, нічого не роблять. А ще порадили мені відключити антивірус, встановити ехе.файл, а потім включити антивірус. За їх словами, якось інші арбітражні керуючі встановили і ніхто не скаржився. Бінго.

Я не вірю, що це справді відбувається. В той час, коли РНБО приймає рішення щодо боротьби з кіберзлочинністю, коли вірусним ехе.файлом було вкрадено інформацію та знищено тисячі комп’ютерів, на приватному файлообміннику лежить ехе.файл з троянським вірусом, який призначений для арбітражних керуючих і розроблений державним підприємством.

Я нагадує, що за специфікою своєї діяльності арбітражні керуючі в деяких випадках отримають доступ, як до службової інформації так і до державної таємниці, тобто інформація, яка знаходиться в їх розпорядженні не є виключно їх особистою справою.

Мені б дуже не хотілось, щоб відбулось як в прислів’ї про повторювання історії двічі, однак якщо і далі продовжувати ставитись таким чином до власної кібербезпеки, то все можливо і навіть реально.