Алексей Выскуб, Минцифры: Мы имеем абсолютно неконтролируемый доступ к реестрам. Это ужасно
11 мая в Telegram появился бот, который за деньги распространял персональные данные украинцев. В тот же день несколько человек написали в Facebook, что бот берет данные из мобильного приложения "Дія".
Хотя вскоре выяснилось, что "Дія" не имеет отношения к инциденту, проблема регулярных утечек персональных данных украинцев из реестров, которые ведут госорганы, снова стала предметом публичных дискуссий.
Где гарантия, что персональные данные украинцев из "Дії" не начнет продавать очередной Telegram-бот? Чем "Дія" отличается от "дырявых" госреестров, и насколько хорошо защищены данные в приложении?
Что связывает "Дію" и Amazon? Собирает ли "Дія" персональные данные украинцев и как выглядит архитектура этого приложения? Этими вопросами специалисты задавались после инцидента 11 мая. Эти же вопросы ЭП задала первому заместителю министра цифровой трансформации Алексею Выскубу.
Он уже несколько лет занимается вопросами электронного правительства и хорошо ориентируется в технических аспектах этого процесса. В министерстве он отвечает за развитие электронных услуг: портал "Дія" и мобильное приложение "Дія", развитие реестров и электронного взаимодействия.
— 11 мая был обнаружен Telegram-бот, который распространял персональные данные украинцев. Удалось ли вам установить, из каких источников бот получает персональные данные и почему с самого начала обвинения посыпались на приложение "Дія"?
— Это была спланированная информационная атака.
Первый анализ запросов к этому боту и даже скриншоты, которые люди выкладывали в интернете, дали понять, что информация, которую бот находит о человеке, получена из неактуальных баз данных. Эти базы, к сожалению, давно утекли из разных источников, они давно были доступны в даркнете.
Telegram-бот появился прошлой осенью. Тем не менее, в этот день ряд интернет-изданий, сомнительных Telegram-каналов и несколько депутатов написали, что произошла утечках из базы данных "Дія". Хотя даже без глубокого анализа можно было понять, что эти данные абсолютно не пересекаются с данными в "Дії".
Там много информации, явно связанной с коммерческими базами данных. Скорее всего, речь идет о данных одного банка, о данных одной из почтовых служб.
Назвать их я не могу до окончания расследования. Очевидно, там есть база данных транспортных средств актуальности 2018 года. Видимо, тогда произошла утечка этой базы данных и были возбуждены определенные уголовные дела.
ЦИФРА. Сейчас насчитывается 350 госреестров.
Эта ситуация неприемлема и сложна, но если данные утекли, к сожалению, вернуть их крайне сложно. Когда они попадают в даркнет, они уже несколько раз проданы. Их используют мошенники в определенных бизнес-моделях.
У нас вице-премьер (Михаил Федоров. – ЭП) занял жесткую позицию по этому вопросу. Мы провели несколько совещаний со всеми силовыми структурами, которые могут быть привлечены для расследования этой истории. Это вопросы Киберполиции и Нацполиции, Госспецсвязи, киберподразделению СБУ.
Эти органы, наверное, впервые синхронно расследуют данную ситуацию. Мы ожидаем, что через пару недель у нас будут большие новости по этой истории. Правда, я не знаю, найдем ли мы заказчика информационной атаки, потому что это две разные истории: утечка данных и информационная атака.
— Кому может быть выгодна информационная атака?
— Выгодополучателей много. За несколько дней до атаки у нас прошло первое большое правительственное совещание по вопросам цифровой трансформации. Там были премьер и министры. Мы презентовали наши планы, связанные с цифровой трансформацией. Мы объясняли, чего мы хотим от министерств.
Мы хотим, чтобы министры или визионеры развития отраслей начали иначе планировать реформу госучреждений. Мы не хотим получить улучшенный реестр, мы хотим полностью измененные бизнес-процессы на основе цифровых технологий. Точечные электронные реформы не дают нужный результат.
ЦИФРА. 1 млн долл – средняя стоимость содержания одного реестра в год.
В качестве примера мы привели сферу строительства, где в результате коррупции в карманах чиновников ежегодно оседает несколько миллиардов гривень взяток.
Там основные виды коррупции – получение разрешений на строительные работы и сертификатов о вводе в эксплуатацию, контрольно-инспекционные ревизии. Там ключевым инструментом реформы является введение новой IT-системы.
До этого в сфере строительства работал старый коррупционный реестр. Данные в нем могли менять непонятно кто, доступ был по логину и паролю, ведение реестра никак не логировалось (не велся журнал учета авторизации пользователей и внесения изменений в реестр. – ЭП).
То есть там можно было менять данные любым числом и такие изменения не оставляли никаких следов. Можно было вписывать любые разрешения, сертификаты. Этот реестр еще осенью 2019 года находился в Германии. Только в конце 2019 года с помощью НАБУ и СБУ реестр удалось перенести в Украину.
— А кто отвечал за ведение строительного реестра?
— Государственная архитектурно-строительная инспекция (ГАСИ). Там ситуация типичная для ряда ведомств. Ситуация с реестром ГАСИ такая же, как и в таможне: якобы есть госреестр, прописанный в нормативном акте, а на самом деле информационная система этого реестра даже не стоит на балансе ГАСИ.
Когда правоохранительные органы пытаются завести уголовное дело по статье "вмешательство в работу информационных систем", оказывается, что эту статью применить невозможно, потому что эта информационная система не находится на балансе государства. Сейчас реестр ГАСИ полностью под контролем государства.
— Это копия реестра, который находится в Германии?
— Пока это тот же реестр. К сожалению, его невозможно выключить, потому что в нем работает вся страна. Мы полностью изменили логины и пароли доступа к реестру, подключили системы контроля заходов в реестр.
— Включили логирование?
— Да, сделали так, что вход в реестр возможен только с конкретных IP-адресов. Там невозможно настроить вход по электронной подписи, как в большинстве нормальных реестров, там для входа достаточно логина и пароля.
Перемены в сфере ведения строительного реестра привели к недовольству огромного количества лиц. Там процветали и мелкая коррупция, и большая.
Есть три класса сложности строительства: СС1, СС2 и СС3. СС1 – это небольшие несложные объекты, с них обычно получали небольшие взятки люди в регионах. Хотя в целом по стране сумма выходила большая. СС2 и СС3 – это уже крупная коррупция, ее больше контролировали из центра.
ЦИФРА. 78% госреестров размещены на собственных серверах.
Когда я говорю "группа лиц", то имею в виду не одну организованную преступную группировку, а много недовольных людей. Мы мешаем хорошо жить и мелким чиновникам, например, руководителю строительного управления в Одессе, который критикует Электронный кабинет строителя, и крупным силам в центре.
Вот прошло совещание, где мы объявили большие планы по цифровой трансформации, привели пример строительной трансформации, рассказали о планах по остановке закупок, потому что сейчас крайне неэффективно тратятся деньги, и мы чувствуем огромный потенциал по экономии и эффективности.
— О каких закупках идет речь?
— Речь идет о любых IT-закупках. Министерство цифровой трансформации согласовывает закупку программного обеспечения и "железа" по всей стране.
Мы согласовываем предмет закупки на соответствие приоритетам развития страны, чтобы не было дублирования, чтобы не создавались десять "Трембит". Ведь уже было такое, что каждое министерство хотело свою шину (систему обмена данными электронных госреестров. – ЭП) создавать.
— Какие это суммы?
— У меня нет такой цифры, мы хотим ее посчитать, но это миллиарды. Могу только сказать, что у нас с начала 2020 года только по Киевской городской администрации на согласование зашло закупок на 700 млн грн.
— Это только по IT-системам?
— Конечно, только по IT-направлениям. По всей стране эта сумма огромная. Понятно, что такого бюджета как у КГГА нет больше ни у кого, но в целом, думаю, там примерно миллиардов пять в год может быть.
— Что же могло стать поводом для информационной атаки?
— Есть несколько факторов. Когда в конце 2019 года мы отметили ряд многомиллионных тендеров, один из них был больше 100 млн грн, то уже тогда начали передавать "приветы", и на рынке появилось очень много недовольных.
Строительная сфера – один из примеров. В целом были озвучены амбициозные планы по налоговой, по таможне. Мы выбрали десять сфер, где хотим провести цифровую трансформацию, полное изменение внутренних процессов.
Первый шаг – назначение CDTO (Chief Digital Transformation Officer, руководитель цифровой трансформации. – ЭП) в течение двух-трех недель в каждом министерстве. Это будет заместитель по цифровой трансформации, человек на стыке IT и госуправления. Назначать его будет Кабинет министров.
То есть поводов (для информационной атаки. – ЭП) на самом деле достаточно.
— Пользователи соцсетей обвиняли создателей "Дії" в том, что часть инфраструктуры приложения и API-сервера находятся на серверах Amazon.
— Нет, это не так. Эта информация давно открыта и публична. Я могу даже найти наши посты в Facebook, где мы эту ситуацию разъясняли.
Запуск "Дії" одномоментно вызывал очень высокий интерес. Первый миллион скачиваний появился за четыре-пять дней. Запуск такого продукта в Украине – уникальное событие, мы к нему тщательно готовились.
Технические подходы, реализованные в "Дії", конечно, далеко "убежали" от нормативной базы в сфере защиты информации, между ними пропасть.
ЦИФРА. Только 28% реестров имеют КСЗИ – сертификат Госспецсвязи о комплексной системе защиты информации.
Можно привести пример системы ProZorro, которая полтора года размещалась на серверах Amazon и разрабатывалась средствами Amazon. Почему? Потому что так было удобно. Это очень современно и значительно ускоряет запуск.
Что касается "Дії", то мы никогда не скрывали, что у нас используется Amazon Web Services(коммерческое публичное облако, поддерживаемое и развиваемое Amazon с 2006 года. – ЭП). Мы говорим о балансировщике. Это load balancer, который балансирует нагрузку и противодействует DDoS-атакам.
Балансировщик нагрузки умеет справляться с высокой нагрузкой запросов. Миллион загрузок "Дії" за четыре дня – это очень высокая нагрузка. У нас были пиковые нагрузки 100-200 запросов в секунду, даже 500 запросов было.
Итого: у нас нет никаких API-серверов "Дія" на Amazon. Все сервера "Дії" находятся исключительно в De Novo. В действии исключительно Amazon Web Services, который балансирует нагрузку и защищает от DDoS-атак.
— Проходят ли персональные данные украинцев через сервера Amazon?
— Данные проходят с двойным шифрованием. То есть мы туда отправляем данные с двойным шифрованием и они, конечно же, проходят, но сервис Amazon позволяет заказчику полностью контролировать инфраструктуру.
С Amazon мы четко понимаем, что наш трафик проходит через этот сервис в Германии. Мы знаем его IP-адрес и контролируем прохождение трафика. Мы уже вошли в стабильную работу и планируем недели через две отказаться от Amazon. В Украине есть три-четыре компании, которые могут конкурировать на этом рынке.
— В политике обработки персональных данных указано, что "Дія" собирает персональные данные. Накапливает ли их приложение?
— Законодательная история "Дії" выглядит так: есть июльский (2019 год. – ЭП) указ президента "О некоторых мерах относительно улучшение доступа физических и юридических лиц к электронным услугам". Там есть приоритетная задача Кабмина разработать и внедрить Единый портал электронных услуг.
Порталом мы начали заниматься осенью. 4 декабря 2019 года было введено постановление Кабмина "Некоторые вопросы функционирования Единого портала электронных услуг", в котором были расписаны функционал и архитектура. В том числе было написано, что модулем портала является мобильное приложение.
С точки зрения нормативной базы, баланса и архитектуры, мобильное приложение – это модуль портала. Вопрос в том, что этот модуль появился чуть раньше, чем портал, но это не проблема. Это нормальный жизненный цикл для такой системы. Поэтому у нас общая политика и на портал, и на приложение.
Мобильное приложение не хранит на наших серверах никаких персональных данных. В свою очередь, портал хранит только базу своих пользователей и временно хранит данные заявлений пользователей о получении услуг.
Например, регистрация ФЛП онлайн. Человек начинает заполнять форму. Безусловно, данные, которые он заполняет на портале, по закону "О защите персональных данных", обрабатываются в этой информационной системе.
Однако эти данные, согласно закону, мы собираем не для себя, Минцифры, мы собираем их в целях Минюста. Как только человек подписал заявку, она передается в информационную систему Министерства юстиции. Поэтому политика и предполагает, что мы храним и обрабатываем персональные данные.
— Разрабатывается ли функция "Дії", которая будет уведомлять граждан о том, кто, когда и на каком основании получал доступ к его персональным данным из реестров? Какие есть преграды на пути запуска этого сервиса?
— Да, но это функционал не "Дії", а "Трембиты". Я с ужасом читаю посты активистов о том, что якобы "Дія" ухудшает состояние реестров, что централизация реестров приведет к утечкам инеконтролируемому доступу.
Неконтролируемый доступ мы имеем сейчас. Я привел пример по строительному реестру и такой же пример могу привести по судебному реестру.
Сейчас любой помощник судьи может просмотреть весь судебный реестр и вечером, накануне обыска или задержания, может предупредить подозреваемого, что по нему зафиксировано разрешение суда на те или иные следственные действия. В результате на утро подозреваемого уже не будет в стране.
Мы имеем абсолютно неконтролируемый доступ к большинству базовых реестров. Это ужасно. Странно, что многие поднимают эти вопросы в контексте "Дії", когда "Дія" начинает постепенно наводить порядок в этом хаосе.
Хотя я могу назвать вам десяток базовых реестров, в которых действует неконтролируемый доступ и, хуже всего, даже не логируется, кто заходил.
К чему мы хотим прийти? Первое: запрос к госреестру должен быть только один и на основании конкретного законодательного события, например, регистрация помощи при рождении, и, безусловно, с логированием, кто и когда имел доступ.
Второе: эти запросы мы постепенно будем переводить на "Трембиту", которая обладает функцией накапливания логов, кто, когда и на каком основании делал запрос о человеке. Тогда "Дія" сможет это отображать.
Сейчас мы можем отображать факты доступа к данным человека по пяти-шести реестрам. Это будет скоро реализовано в кабинете гражданина на портале "Дія".
— Говорят, если объединить "дырявые" реестры в одну гигантскую базу, то рано или поздно она "потечет", и тогда ущерб будет колоссальным.
— Мы не объединяем все реестры в одну базу. Мы идем к тому, что каждая база данных или реестр должны работать строго в соответствии с законом.
Мы оптимизируем реестры, убираем дублирование и неактуальность. Мы находимся в ситуации, когда есть куча реестров с записями о 46 млн граждан, в которых информация неактуальна или дублирована.
Самое главное – большинство этих реестров не должны были накапливать информацию. Наша задача – уменьшить объем данных, а не увеличить.
— Критики "Дії" утверждают, что обмен данными между реестрами хотят наладить так, чтобы в случае утечки информации никто не нашел крайних.
— Абсолютно не так. У нас каждый запрос по "Трембите" логируется и подписывается кепом (квалифицированной электронной подписью. – ЭП).
"Трембита" предусматривает разовые запросы, а не полный доступ ко всей базе данных, как это происходит с некоторыми государственными реестрами. Сейчас тот, кто имеет право на доступ через АРМ (автоматизированное рабочее место. – ЭП), заходит через него в госреестр и делает там все что угодно.
В "Трембите" все не так. "Трембита" предполагает разовый запрос и разовый ответ, который логируется и подписывается с двух сторон: и запрос, и ответ.
Интервью было записано на русском языке по просьбе журналиста