Хакеры на службе государства

В современных реалиях доказывать существование “государственных хакеров” не приходится. Самый свежий пример - это использование государственных хакеров Китая для атак на мессенджер Telegram из-за протестов в Гонконге. По словам Павла Дурова, мессенджер подвергся DDOS-атаке, которую он связывает с попыткой блокировать протестное движение в Гонконге. Хакеры на службе государства могут как защищать, так и атаковать, несмотря на то, что официально все подобные подразделения создаются для защиты. И раз нам всем пообещали “страну в смартфоне”, то “смартфон” этот и ресурсы, которые будет открывать этот смартфон, нужно как-то защищать. Продолжая свою тему законодательных инициатив из народа, хочу снова предложить законопроект, который я подготовил и залил на Google Drive. Идея состоит в том, чтобы дать возможность хакерам работать на государство без лишней бюрократии и проволочек.

Использует ли Украина хакеров для защиты своего информационного и киберпространства, а также государственных информационных систем?

Цитируя мем из фильма “За двумя зайцами”, могу ответить: “Да! Да! Но нет!. Лично я обращался в СБУ (ДКИБ), публично озвучивал идею использования хакеров для улучшения уровня защищенности государственных систем на всех конференциях, где выступал, обходил не один кабинет, включая РНБО, СБУ, Полицию и даже АП. Тоже самое делали и другие специалисты в области информационной безопасности. Ответы всем и всегда были одинаковыми: “Не на часі”, “Это запрещено на законодательном уровне” и т.д., и т.п. Суть идеи я могу описать в 4 пункта:

Как это работает?

• Государство дает разрешение хакерам (исследователям информационной безопасности) тестировать свои информационные системы, сайты, порталы, реестры и сервисы.
• Государство само назначает плату за найденные уязвимости согласно уровню их критичности.
• Хакеры на соревновательной основе (конкурируя между собой) ищут уязвимости, отправляют их администратору ресурса и предлагают свой вариант исправления.
• Администратор государственного ресурса проверяет информацию найденную хакером, исправляет найденные уязвимости и выплачивает хакеру вознаграждение.

Все это называется Bug Bounty, и для начала работы такой программы не нужны миллионы долларов, сложные технические решения или другие проволочки. Данное решение позволяет привлекать специалистов со всего мира, создать конкуренцию и существенно повысить уровень безопасности государственных информационных систем. С целью минимизации затрат на выплаты хакерам можно предварительно провести процедуру тестирования на проникновения (pentest) через Prozorro.

Что нужно чтобы начать?

1. Назначить плату за типы уязвимостей
2. Создать почту для приема информации от хакеров
3. Загрузить в корень сайта документ security.txt

Есть ли риски?

Основной риск на мой взгляд - это то, что подобная инициатива четко покажет реальное состояние дел в сфере кибербезопасности, и все наглядно увидят насколько дырявые у нас системы. Помимо этого задают стандартный вопрос/опасение: “А что будет, если хакер получит доступ к конфиденциальной (секретной) информации и не передаст информацию об уязвимости администратору?”. А ответ на него очень просто: он не получат вознаграждение. После него с высокой вероятностью эту же уязвимость найдет следующий хакер. И самое главное, что мешает “черным хакерам” делать так уже сейчас без программы вознаграждения за найденные уязвимости? Ответ - ничего не мешает ломать государственные ресурсы тем, кто этого хочет, а так это будут делать еще и этичные хакеры.

Что есть уже сейчас?

Есть легкая профанация от СБУ в виде “Публичного меморандума”, который спрятан в самых глубоких недрах интернета (видимо, чтоб стыдно не было). Лично я узнал о его существовании из раздела “Державне приватне партнерство” на странице ДКИБ СБУ в Википедии, где этому посвящен один абзац:

[email protected] – для повідомлень щодо виявлених вразливостей в інформаційно-телекомунікаційних системах об’єктів критичної інфраструктури та органів державної влади (на умовах Публічного меморандуму)

Конечно, вполне понятно, что за 7 лет существования профильного департамента СБУ, из которых 5 лет страна находится в состоянии войны, они не смогли разработать адекватный механизм взаимодействия с хакерами, потому что были очень заняты другими важными делами: Обыск инвесткомпании Dragon Capital, Обыск IT-компаний и так далее. Но на седьмом году своего существования “спромоглись” написать хотя бы меморандум. Так как сотрудники заняты другими “важными” делами и не имеют возможности законодательной инициативы, и обычно “ни за что не отвечают”, я решил им помочь и написать законопроект о взаимодействии хакеров и государства.

Чем помочь?

Веры в “социальные лифты” или “подай заявку онлайн, и тебя услышат” у меня остается все меньше. Поэтому вся надежда на людей, лайки и репосты. В этой статье, этом законопроекте не лоббируются интересы конкретных лиц или компаний, более того - они не упоминаются вовсе. Мне по-прежнему не важно кто и от какой партии сможет подать этот законопроект и получить политические дивиденды, я просто пишу о том, в чем разбираюсь и чем занимаюсь всю жизнь. Лайки репосты и тэгания “сильных мира сего” приветствуются.

Никита Кныш - https://www.facebook.com/knysh.nikita