Конфиденциальные документы казахстанцев стали доступны в поисковиках
Специалисты из ОЮЛ «Центр Анализа и расследования кибер атак» (ЦАРКА) обнаружили брешь в безопасности на портале государственных услуг egov.kz. Проблема безопасности заключается в том, что Google и Bing индексирует все доступные в сети документы электронного правительства и дает возможность их скачать не заходя на сайт. Страничка ЦАРКА на Facebook:
[...]По запросу https://www.google.kz/… мы получаем целый список проиндексированных конфиденциальных данных в виде справок об имуществе, участниках компаний и много других интересных документов и возможность, совершенно легально, их скачать. Кто-то ответственный за это правонарушение скажет, что документы старые, не секретные или еще что-нибудь, но это не важно. Факт остается фактом, документы ,раскрывающие в том числе банковскую тайну, доступны через обычный поисковик и не исключено что список этих документов будет только увеличиваться.Что мы видим по данному запросу?
- Справки о зарегистрированных правах (обременениях) на недвижимое имущество и его технических характеристиках
- Справки по оборотным по транзитным счетам вкладчика (без учета инвестиционного дохода)
- Справки об участии физического лица в юридических лицах, филиалах и представительствах
- Адресные справки
Все то, что должно храниться должным образом и передаваться третьим лицам только с санкции прокуратуры ибо об этом говорит буква закона.
Мы думаем, что отдельным нашим пострадавшим гражданам не составит особого труда доказать в суде, что подобные деяния со стороны оператора egov'a причинило существенный вред их правам и законным интересам.
Налицо грубейшие нарушения следующих НПА:
- Закона РК "Об информатизации",
- Закона РК «О персональных данных и их защите»
- Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных (утв. постановлением Правительства Республики Казахстан от 3 сентября 2013 года № 909)
- УК РК
[...]
***
Пошел по предложенной ими ссылке и обнаружил, что брешь залатана. Но документы все еще доступны в кэше и скачать их можно через опцию "Сохраненная копия".
Вспомнил, что был знаком с человеком из этой компании. Меня познакомил с ним мой товарищ. При знакомстве протянул черную визитку с барсом, сказал что занимаются безопасностью в IT. Почему-то на тот момент мне показалось, что это государственная или полугосударственная компания входящая в холдинг "Парасат" или какой-нибудь "Зерде". Теперь как оказалось, что вроде сами по себе.
Несколько слов о АО "НИТ", которая имеет непосредственное отношение egov.kz. Когда-то проходил у них собеседование. Ну как проходил, правильнее будет "простоял". Шел я то ли на бизнес-аналитика, то ли на управление проектов. С астанинского аэропорта сразу в на улицу Оренбургская, здании Дома Министерств, где они располагаются. Простоял у них в офисе по меньшей мере 2 часа. Я не обнаружил ни скамеек, ни стульев, вообще ничего. Несколько раз подходил к девушке, которая меня должна была "собеседовать", но она всячески извинялась и говорила "сейчас-сейчас". Потом все же приняла меня, но "собеседовать" не стала, а повела к своей шефине, которая сказала что у меня какой-то несобранный вид и я не тяну на эту должность, но она меня на должность примет. Ей было от силы лет 35. Я вежливо отказался, попросил поставить кровать или хотя бы стулья, чтобы у претендующих на вакансию был собранный вид. Надо заметить, что стула, у них так и не нашлось даже во время собеседования.
Потом много позже, мне приходилось участвовать в обсуждении продуктов, произведенных АО НИТ. Всегда слышал только критический отзывы. Теперь убедился воочию.
PS. Это уже вторая уязвимость допущенная АО НИТ. Первая позволяла выкачать более 50 000 документов граждан. Интересен комментарий от ЦАРКА:
Мы постоянно показываем и, как нам кажется, доказываем незащищенность критичных государственных информационных ресурсов. Надеемся скорейшее исправление ситуации, тем более, что необходимые финансовые средства на эти цели уже давным-давно выделены и "на что-то потрачены".