Заступник голови Держспецзв'язку: «Якщо хтось доведе, що зламав мобільний застосунок «Дія», – отримає 1 млн грн»

14 січня о третій годині російські медіа повідомляють про масштабну атаку на сайти українських держорганів. О четвертій Держспецзв'язку піднімає по тривозі свій центр кіберзахисту та підключає до розслідування колег із силових відомств.

Ніч 22 січня. Невідомі викладають на RaidForums близько 20 ГБ персональних даних українців. На цьому форумі, а потім у даркнеті з'являються ПІБ, ІПН, номери телефонів, адреси електронної пошти, дані внутрішнього та закордонного паспортів, адреси реєстрації тощо. За однією з версій частина злитої інформації могла бути вкрадена з «Дії» та різних державних реєстрів хакерами під час атаки 14 січня. З того часу пройшов майже тиждень. Але Держспецзв'язку досі не підключилася до розслідування інциденту. Чому? Чи варто чекати об'єктивного звіту користувачам, які стверджують, що до мережі потрапили їхні свіжі та достовірні дані? Це Mind спробував дізнатися на зустрічі топів Держспецзв'язку з членами Європейської бізнес-асоціації (ЄБА).

«Однією з цілей атаки 14 січня була спроба знищити або викрасти державні бази даних», – зазначив на зустрічі заступник голови Державної служби спеціального зв'язку та захисту інформації України з питань цифрового розвитку, цифрових трансформацій і цифровізації Віктор Жора.

Чи вдалося? «Обережно відповім на це запитання. Держспецзв'язку досі не отримала жодного повідомлення про те, що персональні дані були вкрадені або відбулися їхні зливи. Так це чи ні – покаже час. Перевірити справжність будь-яких даних може лише їхній розпорядник. У цьому разі Держспецзв'язку може лише реєструвати повідомлення про кіберінциденти і лише потім розслідувати», – повідомив Жора.

На його думку, зараз багато спекуляцій про те, що злив персональних даних таки стався. «Ми сподіваємося, що розпорядники інформаційних систем, з яких дані нібито потрапили на хакерські форуми для продажу, все перевірять. За попередньою інформацією, фрагменти викладених баз скомпільовані з даних, які були втрачені раніше, причому необов'язково з органів державної влади, а, можливо, і з банківської системи», – запевняв заступник голови Держспецзв'язку слухачів на конференції.

Спікер вважає, що мета зливу – посіяти хаос, розкол і відвести підозри від реальних організаторів атаки. «Усе це спробували представити як комерційну історію: нібито хакери хочуть заробити на базах. Але за мірками чорного ринку виставили за них кумедні гроші. База даних, як декларується, з 13 млн записів не може коштувати $15 000», – вважає Жора.

Відповідаючи на запитання членів ЄБА, речник заявив: «Я частково можу погодитися з громадським запитом. Справді, багато людей знаходили там (на форумі. – Mind) свої персональні дані. Але завдання слідства встановити, звідки вони отримані. До моменту встановлення джерела походження даних говорити про їхню справжність не варто. Згадую старий радянський фільм. Там вкидали два справжні листи в купу фальшивок. Нині те, що відбувається, має всі ознаки маніпуляції. Водночас не знімає питання, чи справді там є частина справжніх даних».

Після конференції, поспішаючи на наступну зустріч, Віктор Жора встиг відповісти на кілька запитань Mind.

– Чи правильно розумію, Держспецзв'язку поки що не підключилася до розслідування зливу 22 січня?

– Інформація про злив чогось з'являється регулярно. Такі повідомлення постійно виникають і зникають. Ми маємо справу з досить серйозно підготовленими професіоналами, які ведуть цю гру з нами. Намагаються перевести все це в комерційну площину. Хоча комерційної площини тут немає.

– Тобто ви поки що не реагували на інцидент?

– Я як громадянин України реагував. Мені ця тема цікава.

– А Держспецзв'язку?

– Держспецзв'язку починає свою роботу лише, коли ми маємо повідомлення про кіберінцидент. Повторюся, жоден із розпорядників і власників баз даних, державних реєстрів не звертався до нас із приводу витоку. А ми, не маючи первинки, не можемо встановити автентичність тих чи інших даних. Цим, на мою думку, мають займатися правоохоронні органи (і, наскільки мені відомо, вони цією проблемою займаються), а також власники та розпорядники цих баз. Якщо вони звернуться до нас, ми готові взяти на себе шматок розслідування.

– Відразу ж після інциденту – вранці 22 січня – Мінцифра заявила, що слив із «Дії» – фейк, у мережу потрапили старі дані, вкрадені до 2019 року (хоча там була інформація за грудень 2021-го, дані з еМалятко тощо). Після такої заяви навряд чи варто очікувати, що міністерство перевірить справжність даних. Маємо замкнене коло.

– Не думаю, що в цій справі поставлено крапку. Запитання, які ви ставите, зрозумілі. Напевно, на них коректніше відповідатиме Мінцифрі.

– Мінсоц офіційно повідомило вас, що вони не мали витоку?

– На той момент у Мінсоці не було жодного зареєстрованого кіберінциденту. Тому питання, що це за дані, з яких вони систем, поки що є відкритими.

– Хто зараз перевіряє джерела можливого зливу?

– 22 січня якийсь анонім на якомусь анонімному ресурсі виклав якісь дані. Вони сумнівні з погляду коректності, легітимності, можливості брати до уваги та відкривати кримінальне провадження. Вони не є такими.

– Звідки ви знаєте, якщо не провели розслідування? Можливо, дані справжні.

– Тоді якась експертиза має засвідчити автентичність цих даних.

– Хто має робити цю експертизу?

– Правоохоронні органи: кіберполіція та СБУ. А ми відповідаємо за забезпечення кібербезпеки.

– Можливо, постраждали дані 13 млн українців. Ви відповідаєте за безпеку цих даних?

– Ні.

– А хто?

– За персональні дані відповідає уповноважений ВР у правах людини.

– О, тоді розслідування точно буде оперативним… Куди ще користувачі можуть звернутися із заявою про витік їхніх персональних даних?

– У кіберполіцію. Вибачте, мені треба бігти.

– Ще кілька запитань. У Мінцифрі постійно запевняють, що дані не зберігаються в «Дії». А в угоді користувача цього мобільного застосунку написано, що персональні дані знаходяться в дата-центрі De Novo. Чи можете пояснити цю нестиковку в «показаннях»?

– Наскільки нам відомо, у De Novo знаходиться інформаційна інфраструктура «Дії»: сервери, які виконують транзит даних із реєстрів на портал і мобільні пристрої користувачів.

– Чому приватний дата-центр став партнером Мінцифри? Чи був тендер?

- Не знаю.

– У вас на смартфоні є «Дія»?

– Так.

– Можете показати?

– Звичайно (відкриває).

– Чи не побоюєтеся витоку своїх даних?

– По-перше, ми знаємо, що цей мобільний застосунок працював коректно. По-друге, це особистий вибір будь-якого громадянина. Він вибирає між безпекою та зручністю.