Никита Кныш: В Украине компании защищаются не от хакеров, а от силовиков

В связи с профилем своей деятельности наша компания часто сталкивается с представителями правоохранительных органов.

Мы занимаемся информационной безопасностью: взлом, вирусы, хакинг, хищение паролей и даже денег с электронных кошельков и кредитных карточек. Именно с этим мы ежедневно имеем дело, защищая наших клиентов. И, казалось бы, основными нашими противниками в этом деле должны быть именно хакеры, мошенники, злодеи и прочие представители онлайн андеграунд сообщества. Однако, это не совсем так, а если честно, то в 50% случаев совсем не так.

К сожалению, современные реалии в Украине чуть-чуть другие. В связи с обысками, наездами и давлением на IT-компании наших клиентов, основными нашими противниками, от которых приходится защищать наших клиентов, становятся представители правоохранительных органов, исполнительной службы и даже налоговой.

В Украине риск быть взломанным хакером не воспринимается руководителем компании, как реальная угроза. А вот риск раскрытия реальной удаленной бухгалтерии, на которой крутится 1С c МедКом, или риск того, что представители правоохранительных органов узнают что-то лишнее о деятельности компании или ее клиентах - это уже звучит, как более реальная осязаемая угроза.

Сервера с бухгалтерией и почтовые сервера - это наиболее лакомый кусочек для правоохранителей, при этом, как правило, они абсолютно не интересны хакерам. Мы лично столкнулись с атакой на наш сайт будущих киберполицейских (или студентов ХНУВД), о которой я писал "Киберполиция тренируется ломать сайты украинских IT-компаний", и даже говорил (https://youtu.be/wiofJLyKgDw) ранее. Тогда мы поймали их с поличным, ведется следствие, в будущем будут умнее и быть может станут работать по закону.

Могут ли правоохранительные органы получить данные с вашего удаленного сервера законным способом? Могут!

И тут есть 2 варианта:

Вариант 1: сервер в Украине. В случае, если сервер в Украине, согласно главе 21 УПК Украины, они могут проводить "негласные следственные действия" и/или получить так называемый "временный доступ" к вашему серверу. Любой, абсолютно любой украинский хостинг провайдер обязан выполнять законные решения суда. Вас об этом никто не уведомит, так как это будет решение следственного судьи апелляционного суда, с которым обязаны ознакомить только хостера и обязать его хранить это в тайне. В соответствии с текущим законодательством, все, что будет получено с сервера, можно использовать против вас при необходимости, к примеру, эти материалы могут быть приобщены к делу ровно также, как данные ваших телефонных разговоров. Конечно, имея толкового адвоката, можно будет сказать, что "вам это все дописали" / (подбросили) на жесткий диск, но я не об этом.

Вариант 2: сервер вне Украины. Вы думаете, что вы достаточно хитры и умны, и арендуете сервер к примеру в Германии или стране, где с законодательством получше, где украинские силовики вас не достанут? Тут тоже не все так просто. Если вы очень интересны нашим правоохранителям, они могут написать международный запрос и попросить хостера выдать данные. Однако за пару лет, пока я поработал в правоохранительных органах, я не видел таких прецедентов (кроме того, что писал сам). Дело в том, что следователи, как правило, очень ленивы, а в худшем случае тупо не владеют английским. Самое печальное для них в этой ситуации то, что запрос напрямую международной хостинг компании следователь отправить не может, это разрешено делать только через ГПУ в рамках "Міжнародної взаємодії", а это значит, что перед тем, как отправить простенький международный запрос, следователю нужно пройти семь кругов ада: согласовать это с минимум с 3-4 начальниками, переправить в Киев и так далее. Не устану повторять что за весь 2014 год наши правоохранители смогли написать всего 5 международных запросов к Google, а в 2015 аж ноль! Для сравнения Индия, где не у всех людей есть туалет, делает по 10.000 запросов только к гуглу ежегодно. Поэтому делать они этого не хотят и не умеют тем более, что для того, чтобы международный хостер что-то выдал, нужны веские доказательства и основания, которых, как правило, в надуманном деле нет.

Есть "альтернативный путь" - негласное снятие информации с телекоммуникационных систем, так же предусмотрено УПК Украины и главой о "негласных следственных действиях". Если не вдаваться в детали, то схема выглядит как-то так:

1) Судья дает разрешение на негласное снятие информации.

2) Суперспец из правоохранителей ломает ваш сервер и скачивает информацию.

3) Информацию "легализуют" и используют против вас.

Тут все бы ничего, если бы не второй пункт, некому ломать там, да и нечем, вот и ищут они хакеров со стороны или спецов, чтоб хоть как-то выкручиваться. Судя по новостям из Харькова, некоторые правоохранители банально не читали Конституцию , а это не то, что вникать в сложный процесс IT-права. И в случае, если им все же удалось "поломать" и получить необходимую информацию, ее нужно еще и правильно "приобщить" к делу. Тут тоже начинаются проблемы. Бумажная волокита и толковый адвокат, а не "передаст", без особого труда сможет такие "доказательства" потопить в суде.

Выводы

Правоохранительные органы куда более заинтересованы во взломе бухгалтерских серверов, чем хакеры, однако, абсолютно не с целью наказания виновных или доказательства в суде факта неуплаты налогов или уклонения от них. Как я описал выше, толковый адвокат сможет разбить подобные доказательства, если они будут получены незаконным путем или без соблюдения определенных процедур. Основной целью взлома бухгалтерских и почтовых серверов является давление на компанию, поиск дополнительных "грехов" и сбор дополнительной информации, по которой уже можно делать официальные запросы и приобщать материалы к делу. Защитой от таких действий могут служить зашифрованные сервера, не боящиеся изъятия и использующие высокий уровень разграничения доступа, которые тяжело найти, т.к. они находятся в облачных сервисах, и толковые специалисты, которые помогут их настроить. А также не стоит забывать, что в налоговой фиксируются IP, с которых вы отправляете отчеты, так что без виртуальной частной сети вам не обойтись, даже если вы абсолютно чисты перед законом. На наш взгляд, не стоит давать злобным и алчным людям дополнительную информацию о том, сколько же компаний или ЧП по факту работают на вас.

Немного рекламы в конце. В нашей компании ProtectMaster мы внедряем решения, которые помогут защитить IT-инфраструктуру компании от хакеров, правоохранительных органов, фискальной службы и даже рейдеров, т.к. мы знаем, в какой ситуации и каких условиях вам приходится работать.

Ну и традиционной послание правоохранительным органам. Если бы не вы, у нас бы не было столько работы, однако не стоит забывать, что с бизнесом ваших жен и родственников (так у нас оформляют доходы силовики) могут поступить также, как вы это делаете ежедневно, посему давайте жить дружно.

Никита Кныш

Специалист по информационной безопасности, руководитель проекта ProtectMaster

Теги: Киберпреступность Кныш Никита