Захист від посягань зловмисників на застосунок «Дія», який оперує даними найважливіших державних реєстрів, мав стати маркером безпеки персональних даних в Україні. Масштабний кібернапад 13–14 січня 2022 року, під час якого російські хакери атакували комп’ютерну інфраструктуру критичних відомств, став найбільшим випробуванням для «Дії».
Диспути про безпеку порталу супроводжували «Дію» з моменту запуску, однак тривалий час справа далі застережень кіберфахівців не просувалася.
26 червня Федеральний суд США призначив $10 мільйонів винагороди за дані про місцезнаходження російського хакера чеченського походження Аміна Стігала, який, серед іншого, атакував українські державні комп’ютерні системи у січні 2022 року, напередодні повномасштабного вторгнення.
Серед цих комп’ютерів і баз даних була і «Дія». Ми опрацювали низку документів, які дають змогу стверджувати, що кібератака проти «Дії» була успішною, хоча в Мінцифри наполягають на протилежному.
Згідно з документами Федерального суду, Стігал співпрацював із російською розвідкою й за їхньою вказівкою атакував комп’ютери державних установ, в тому числі й тих, які займаються критичною інфраструктурою.
Під атакою опинилися захищені комп’ютери у Міністерстві закордонних справ, Міністерстві аграрної політики та продовольства України, Міністерстві енергетики, Казначействі, Державній судовій адміністрації, Державній службі з надзвичайних ситуацій.
У тексті документа також зазначено, що зловмисники протягом 2 років готувалися до атаки й моніторили системи, на які збиралися напасти.
Заради справедливості зауважимо, що крім українських державних комп’ютерів, під загрозою також опинилася кіберінфраструктура в одній із країн Європи, що допомагала Україні з логістикою (про яку саме країну йдеться, в тексті документа не уточнюється), а також урядові об’єкти США у Меріленді.
Що відомо про успіх кібератаки?
«Невдовзі після атаки зловмисники, використовуючи нікнейм Free Civilian, опублікували на продаж у даркнеті бази даних, які описали як оригінальні дані українського уряду», — йдеться у документах Федерального суду США.
Дані включали інформацію про стан здоров’я громадян, притягнення до відповідальності та страхування авто.
13 січня 2022 року хакери також опублікували на продаж дані про 13,5 мільйонів користувачів «Дії». Спочатку дані коштували $15 тисяч, однак дуже скоро «продавці» підняли ціну до $75 тисяч, а згодом і до $150 тисяч. Це дало підстави аналітикам Forbes припустити, що справжньою метою Free Civilian було здобути впізнаваність, а не заробити грошей.
Тут важлива ремарка: у тексті документа, де йдеться про дані користувачів «Дії», немає формулювання «described as originating from the Ukrainian Government», тобто походження даних автори документа не ставлять під сумнів.
Однак коли низка українських онлайн-видань, керуючись текстом документа, опублікувала новину, представники Мінцифри поквапилися прояснити ситуацію.
Так, у листі до редакції ITC.ua Мінцифри заявило, начебто у матеріалах справи відсутня інформація про злам «Дії».
Також представниця Мінцифри наполягала, що у січні 2022 року у застосунку було зареєстровано всього 1,5 мільйона користувачів, а не 13 мільйонів.
Втім, 2 січня 2022 року Михайло Федоров називав інші цифри. У коментарі DOU Мінцифри прояснило, що 13 мільйонів — це тогочасна кількість користувачів застосунку, а на порталі на той момент налічувалося всього 1,5 мільйона користувачів.
Як зауважує DevOps Eaton Corporation Юрій Бровко, про цей застосунок існує уявлення, що він безпечніший, адже працює як агрегатор даних.
«Щоб зареєструватися на порталі, користувач має автентифікуватися через BankID. Звідси підтягує ПІБ та ІПН користувача. Інші поля юзер додає самостійно або ж портал підтягує їх через «Трембіту» з реєстрів ОТГ та інших баз», — пояснює фахівець.
Ось як описується безпека застосунку на порталі «Дія»:
«Персональні дані користувачів мобільного додатку порталу Дія (Дія), які отримуються ними з реєстрів, не зберігаються. Застосовується підхід data-in-transition, згідно з яким дані з реєстрів передаються і зберігаються на мобільному телефоні користувача, а не на сервері. Мінцифри не має доступу до даних, переданих із реєстрів. Такі персональні дані видаляються разом із видаленням цього додатку з мобільного пристрою».
Викрадені бази даних: реальні чи скомпільовані?
Невдовзі після атаки Мінцифри вийшло із заявою та назвало опубліковані бази даних провокацією, а саму інформацію — компіляцією даних із попередніх зливів.
24 січня IT-розробник Іван Сорочан заявив, що знайшов в одному зі зливів на Raid Forum правильні персональні дані неповнолітнього родича (номер телефону, електронну пошту, ідентифікаційний код).
Окрім того, що в семплі як джерело документа було вказано «Дію», є дата (вересень 2021 року). За словами батька постраждалого, Григорія Сорочана, дата збігається із днем реєстрації сина у «Дії».
Важлива ремарка: до цього юнак всього пів року як оформив паспорт, а при реєстрації у застосунку користувався лише ним.
Низка IT-фахівців в обговоренні на DOU теж дійшли висновку про автентичність даних.
Як вказує фахівець із кібербезпеки Костянтин Корсун, усі дані офіційних документів зберігаються у близько 340 державних базах даних. «Дія» має доступ не до всіх із них, але до найбільш важливих.
Зокрема, сервіс оперує даними реєстрів Податкової, МВС, Міграційної служби, Єдиного реєстру судових рішень, Єдиної інформаційної бази даних про ВПО, Єдиної державної електронної бази з питань освіти та бази даних МОЗ.
«Зберігаються дані, як правило, безвідповідально, із низьким рівнем безпеки та з високим рівнем корупції. Часто дані не корелюють між собою, інколи це робиться свідомо. Такий собі «контрольований хаос», що трохи заважає спецслужбам і правоохоронцям «знати все» про кожного громадянина, а також слідкувати за злочинцями та підозрюваними (...) А якщо автоматизувати безлад, то шкода від нього посилюється у десятки чи сотні разів», — йдеться у дописі від 16 жовтня 2020 року.
Ситуація із застосунком «Резерв+» у червні 2024 року, коли деякі військовослужбовці при реєстрації побачили статус «У розшуку», проілюструвала слушність цих зауважень.
Як наголошує Юрій Бровко, основна проблема захисту персональних даних в Україні — це не безпека «Дії» сама по собі, а проблема захисту кожного з реєстрів, якими вона оперує.
«Користувачі не знають, де дані хостяться і хто їх адмініструє. Для прикладу: до реєстру як клієнт може бути підключений комп’ютер адміністрації певної ОТГ. Пароль на комп’ютері на кшталт «Oleg123». Доступ до бази даних відкривається при активації фізичного носія-підпису.
Адміністратор мав би ставити його лише для підпису документів чи виконання інших транзакцій, але на практиці це працює як «поставив і забув». Тобто доступ до бази даних буде активовано, навіть якщо у цей час за комп’ютером ніхто не працює. А якщо в адміністратора ще й TeamViewer стоїть, це дуже спрощує завдання для зловмисників по викраденню даних.
Рішення одне: займатися кіберзахистом на боці реєстрів і всіх доступів до реєстрів; обмежити кількість людей, які мають необмежений доступ; підвищувати їхній рівень знань про те, як захистити ці дані і яку цінність вони мають», — каже фахівець.
Раніше ми повідомляли, що «Дія» стане open-source продуктом.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
