Цифровизация во время коррупции: Вас продают как товар
Информационная безопасность в России отсутствует в принципе. Главная причина этого – потрясающая либеральность законодательства и судебной системы.
Головотяпство со взломом
Окружение избранного президента США Джо Байдена рассматривает различные варианты ответа России на "взлом года" - атаку на программное обеспечение компании SolarWinds. Этот техасский разработчик инфраструктурных сетевых решений сотрудничает с сотнями тысяч клиентов, в числе которых множество государственных ведомств США и почти все компании из списка Fortune500. Хакерам удалось встроить собственный код в продукт SolarWinds Orion, который через автоматическое обновление поступил ко всем перечисленным клиентам. Так называемый бэкдор ("задняя дверь") связывал компьютер жертвы с удалённым сервером хакеров и предоставлял последним полный доступ к используемой на этом компьютере учётной записи.
Первые признаки атаки были замечены ещё в октябре 2019 года, но тогда им не придали должного внимания – лишь 14 месяцев спустя стал ясен масштаб проблемы. Среди пострадавших, к слову, оказалось и Агентство по кибербезопасности и защите инфраструктуры, организованное при Министерстве внутренней безопасности США. А всего зловредный файл оказался на серверах 18 тысяч из 300 тысяч клиентов "Солнечных ветров".
Занятный бюрократический казус: специалисты компании Microsoft, также пострадавшей от взлома, уже обнаруживали проблемы в файлах SolarWinds и предупреждали о них. Но подразделение, управляющее службой MicrosoftDefender, отказывалось помещать их в карантин, упирая на то, что это помешает работе самой Microsoft – ведь она тоже использовала решения SolarWinds. Потрясающая беспечность!
Ещё одна прелестная подробность: выяснилось, что учётные данные от сервера обновлений SolarWinds с блестящим паролем solarwinds123 ещё с 2018 года можно было извлечь из документов в официальном репозитории компании на GitHub. Заметили это лишь в ноябре 2020 года, причём пароль всё это время не менялся (кстати, примерно так же в 2020 году прокололся бразильский Минздрав)! Приведите этот пример, когда вам в следующий раз скажут, что разгильдяйство – чисто русское качество. А заодно обновите собственные пароли.
Не знаем кто, но отомстим России
Заказчики и исполнители атаки неизвестны, но, разумеется, в США точно знают, что это русские хакеры, которые так увлеклись клиентами SolarWinds, что даже забыли выбрать Дональда Трампа на второй президентский срок. Размер ущерба тоже неясен, но над отношением государственных органов США к собственной кибербезопасности уже смеются специалисты всего мира. А когда над тобой смеются – это обидно. Вот поэтому-то люди Байдена и подыскивают варианты ответа.
Вариантов тут немного – симметричный (тоже что-нибудь вскрыть у злокозненных русских) и асимметричный (новые санкции). Возможно, лучшие хакеры США уже предвкушают хорошие гонорары от Пентагона и готовятся обрушиться на наши компьютерные сети.
Но что увидят эти матёрые спецы, когда потайными тропами сетевых протоколов явятся к русской твердыне? Неприступные стены? Потоки кипятка с башенных зубцов? Крепостные рвы, заполненные белыми медведями?
Есть серьёзное подозрение, что они увидят самую бесстыдную ярмарку, на которой будут дорогими гостями.
Преступления без наказаний
Сколько раз Царьград писал о том, что при нынешнем уровне коррупции в России тотальная цифровизация, ведение баз данных на каждый чих гражданина – это подарок нечистым на руку! О любом человеке или организации можно узнать всё – были бы деньги. И в Telegram, и в даркнете (условно защищённой от спецслужб части интернета) хватает предложений "пробить" человека. Скажем, всего за 65 рублей в сутки в одном из Tg-каналов вам по номеру человека выдадут его имя, фамилию, дату рождения, город проживания, ссылку на страницы в соцсетях, доступные фотографии. Другие каналы помогут установить родственные связи и проблемы с законом; доступны и паспортные данные. За историей перемещений гражданина надо будет обращаться в даркнет, что для сколько-нибудь умелого покупателя данных тоже не составит проблем.
Регулярный слив информации для таких баз стал подработкой для тысяч людей – от рядовых сотрудников салонов связи до высокопоставленных офицеров спецслужб. И судя по тому, что информации на теневых рынках – просто завались, здесь есть над чем поработать следователям.
Но что мы видим? УК РФ, статья 183: "Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну". Все эти утечки баз данных, дающие возможность "пробива" любого человека, есть в первую очередь результат воровства "коммерческой, налоговой и банковской" информации.
Статистика судебного применения этой статьи в 2019 году потрясает: Реальных сроков – ноль, условных – 21, штрафов – 11, принудительных мер к невменяемым – 31! Делаем вывод: надо быть полным невменяйкой, чтобы погореть на разглашении сведений в России.
А ведь проблема очень серьёзная, касающаяся человеческих судеб: на основании сведений из этих краденых баз работодатели берут или не берут людей на работу, ревнивцы следят за возлюбленными, мстители находят сетевых обидчиков, "сталкеры" – жертв своего пристального внимания.
Закрыть проходной двор
Откуда такой невиданный либерализм судебной системы? Ответ очевиден: правительство и суды не хотят признавать масштаб проблемы, они вообще отказываются видеть обратную сторону своей цифровизации – беззащитность рядовых граждан. Отказываются, несмотря даже на то, что сами с лёгкостью могут стать жертвами недобросовестных исследователей-преследователей – страх перед начальством сильнее.
Встаёт законный вопрос: кто сказал, что у нас надёжно защищены более серьёзные данные, чем шашни Маши с Юрой на Пятом проспекте Третьей пятилетки, 25, с 17:37 до 19:52, 25 июля, подтверждённые геолокацией со смартфонов, камерами видеонаблюдения и аптечными расходами с Юриной карты? Так, к сожалению, не бывает, чтобы напропалую воровали в одном углу двора – и были святыми в соседнем. В поле зрения силовиков и СМИ попадают почти исключительно кражи данных, которые всплывали потом на торговых площадках даркнета – а серьёзные спецслужбы воруют данные отнюдь не на продажу.
России нужна нулевая терпимость к любой краже и покупке не только государственных секретов, но и личных данных граждан. Это стало большой социальной проблемой, а значит, и соответствующие статьи Уголовного кодекса должны быть обновлены. Безнаказанность развращает. Администраторы и пользователи баз данных, содержащих приватные данные, должны твёрдо знать, что любое неверное движение шаловливых ручек приведёт их на пятилетние курсы повышения мастерства лесорубов и швей.