Авторські блоги та коментарі до них відображають виключно точку зору їхніх авторів. Редакція ЛІГА.net може не поділяти думку авторів блогів.

23.11.2015 09:39

Реестр военнообязанных: решение проблемы или новая угроза?

Сергій Нестеренко Консультант з інформаційної безпеки, керівник проекту "Безпека та Закон"

Поэтому несложно предположить, что в Генштабе РФ с нетерпением ожидают возможностей, которые появятся в случае принятия Закона о реестре в нынешнем виде. И они не одиноки — думается, с не меньшим нетерпением этого ожидают и представители криминалитета. Пр

На фоне ярких политических скандалов осталось малозамеченным событие, имеющее критическую важность для национальной безопасности Украины в целом и каждого ее гражданина в отдельности. Две недели назад парламент отправил на доработку «Закон о едином реестре военнообязанных», а в этот вторник, 24 ноября, депутаты вернутся к его рассмотрению. И крайне важно, чтобы они подошли к этом вопросу с максимальной ответственностью. Потому что в его нынешнем виде он содержит ряд существенных рисков и угроз.

Угрозы эти, скорее всего, порождены не злым умыслом, а недостаточной осведомленностью в такой специфической сфере как кибербезопасность. Почему? Да потому что они распространяются абсолютно на всех – от рядового хлебороба до политиков и лидеров государства, включая и самих инициаторов этого законопроекта. В чем же заключаются эти угрозы?

Читайте такожВідновлення експорту залізної руди. Чого чекають українські збагачувальні комбінати З чого складаються $60 млрд допомоги США для України: інфографіка LIGA.net Зруйнована теплова генерація. Чому це критично і що робити

Главный фактор риска – это сосредоточенность в одном месте огромного количестве сведений практически о каждом гражданине возрастом от 17 до 60 лет. В частности, проект предполагает, что в базе данных будет находиться следующая персональная информация о военнообязанном:

прізвище;

власне ім’я (усі власні імена);
по батькові (за наявності);
дата народження;
місце народження;
стать;
місце проживання та місце перебування;
реквізити паспорта громадянина України (серія, номер, дата видачі та уповноважений суб’єкт, що видав документ, строк дії документа).
відомості про документи, що підтверджують смерть особи або визнання особи померлою чи безвісно відсутньою;
відомості щодо визнання особи недієздатною (поновлення дієздатності);
відомості про зайнятість (код підприємства, місце роботи, посада);
реєстраційний номер облікової картки платника податків;
відцифрований образ обличчя особи;
відомості про притягнення до кримінальної відповідальності;
відомості про дату виїзду за межі України та дату повернення на територію України;
відомості про освіту та спеціальність;
відомості про батьків (усиновлювачів), опікунів, піклувальників та інших представників;

К этому добавляется и информация о доходах:

«Центральний орган виконавчої влади, що формує та веде Державний реєстр фізичних осіб — платників податків, за запитом розпорядника Реєстру подає відомості щодо відповідності даних військовозобов’язаного (призовника) існуючим обліковим даним про військовозобов’язаного (призовника) — об’єкта запиту:

…джерела отриманих доходів (відповідно до умов трудового та цивільно-правового договору) за останній звітний період;

реєстраційний номер облікової картки платника податків або серію та номер паспорта (для фізичних осіб, які мають відмітку у паспорті про право здійснювати будь-які платежі за серією та номером паспорта)».

Реестр также аккумулирует в себе данные из баз других органов власти (подробнее см. http://w1.c1.rada.gov.ua/pls/zweb2/webproc4_1?pf3511=56265).
Очевидно, что в эпоху тотальной охоты за персональной информацией такая обширная база данных представляет собой лакомый кусочек для многих недоброжелатателей. Правда, инициаторы законопроекта заявляют, что доступ будет надежно защищен. Однако, это заявление, мягко говоря, вызывает сомнение. Во-первых, потому, что любой компетентный эксперт в сфере кибербезопасности твердо заявит вам: абсолютной защиты от взлома в сети не существует. Если хакеры ломают даже компьютерную сеть Пентагона (http://www.gazeta.ru/tech/news/2015/08/06/n_7441485.shtml), НАТО и итальянской киберполиции (http://www.postsovet.ru/blog/russia/227783.html), то говорить о гарантированной безопасности украинского реестра, согласитесь, наивно.

Представьте себе, что на городской площади кто-то выложил миллиард долларов и окружил их высоким забором и охраной. Как думаете, долго они там пролежат? То-то и оно. Нет крепостей, которые невозможно взять, нет сетей которые невозможно взломать. Все дело лишь в цене вопроса. Кто-то прорежет дыру в заборе, кто-то перелезет через него, кто-то «найдет общий язык» с охраной или нейтрализует ее, – но так или иначе деньги исчезнут. Также обстоят дела и с базами данных.

Именно поэтому во всем мире один из краеугольных принципов кибербезопасности — не хранить важную информацию в одном месте. Тут применяется тот же веками доказавший свою эффективность принцип, что и в личной безопасности: если вы положили все документы и деньги в портмоне и его у вас украли — вы потеряли все. Если же вы разложили их в разные карманы, то потеряете что-то одно. Очевидно, что нарушение этого принципа ведет к тяжким последствиям.

Во-вторых, согласно законопроекту, доступ к реестру будет на уровне районных военкоматов. То есть любой нашедший кнут или пряник для влияния на сотрудника военкомата (или просто физический доступ к его компьютеру), сможет добраться до баз данных реестра. Об этой угрозе мы подробнее поговорим чуть ниже, а сейчас давайте посмотрим, кто и зачем может проникнуть в реестр и как он сможет использовать эти данные против Украины и ее граждан.

Начнем, разумеется, с враждебных государств. Россия, по оценкам американских экспертов по кибербезопасности, — одна из стран с наибольшим хакерским потенциалом. И она наверняка попытается использовать этот потенциал. Как именно? Например, вот так:

Уничтожить базы данных военнообязанных, чтобы сорвать мобилизацию;
Перепутать данные военнообязанных, что если не сорвет, то значительно усложнит мобилизацию;
Собрать дополнительные данные для анализа состояния обороноспособности Украины;
Получить данные для вербовки нужных ей лиц, в том числе политических и общественных деятелей для добывания секретной информации и использования в качестве агентов влияния;
Использовать данные для оказания психологического давления на военнообязанных и и членов их семей в психологической войне. Россия уже использовала это против военнослужащих Польши (http://obozrevatel.com/abroad/51689-shpionskaya-istoriya-10-tyisyach-polskih-voennyih-poluchili-tainstvennyij-zvonok-iz-rossii.htm), а в случае проникновения в базы данных реестра у нее появятся намного более широкие возможности для подобных акций психологической войны.

Поэтому несложно предположить, что в Генштабе РФ с нетерпением ожидают возможностей, которые появятся в случае принятия Закона о реестре в нынешнем виде. И они не одиноки — думается, с не меньшим нетерпением этого ожидают и представители криминалитета. Причем как отечественного, так международного.

Дело в том, что личные данные сегодня являются предметом охоты хакеров во всем мире. Как по заказу, так и просто вслепую — чтобы выложить эти базы данных на продажу в так называемом «черном интернете». Кража личности — это преступление, которое как цунами накатывает на мир. А такого лакомого кусочка, где будет собрано так много личной информации, пожалуй, пока что не найти во всем Интернете. Поэтому практически нет сомнений в том, что криминальные киберсиндикаты и черные хакеры-одиночки из разных стран сделают все, чтобы получить доступ к реестру. В результате данные ничего не подозревающих граждан Украины — причем независимо от их социального статуса и уровня власти — будут использоваться в преступных махинациях.

В свою очередь, представители украинского криминалитета, не отягощенные хакерскими навыками смогут получить доступ к данным своих конкурентов или потенциальных жертв просто подобрав нужный «ключик» к сотруднику райвоенкомата. Информация может быть использована и для шантажа, в том числе и в политических целях. Впрочем, если учесть, что и в самом Минобороны признают, что «не все представители военкоматов старше 40 обладают достаточной компьютерной грамотностью», то пароли доступа могут быть получены даже незаметно для военкомов — у хакеров для этого технологий с избытком. Способны ли сегодня сотрудники райвоенкоматов обеспечить надлежащую безопасность столь ценной базы данных при таком количестве потенциальных агрессоров? Вопрос, разумеется, риторический.

Ну и для граждан, которые захотят «закосить», добавив себе пару детей, несовместимую со службой болезнь или вообще убрав свои данные, похоже, тоже открываются широкие возможности. Ведь единственное наказание за внесение неправильных данных просто смехотворно – штраф от 30 до 100 необлагаемых минимумов, то есть от 510 до 1700 гривень. Причем речь идет только о «внесенні завідомо недостовірної інформації». То есть фактически создаются условия, при которых угроза наказания ничтожно мала по сравнению с потенциальной выгодой от совершения преступления. Любой криминолог уверенно скажет, к чему это приведет.

Итак, налицо парадокс. С одной стороны, совершенно очевидно, что принятие закона о реестре в его нынешнем виде представляет собой серьезную угрозу как для национальной безопасности страны в целом, так и для каждого гражданина в отдельности. С другой — точно также очевидно, что создание такого реестра необходимо для нужд призыва и мобилизации.

Как же решить эту проблему?

Во-первых, ограничив количество сохраняемых в реестре данных теми, которые действительно необходимы для призыва или мобилизации, основываясь на непосредственных задачах военкомата. Для этого вполне достаточно паспортных данных, места регистрации и работы плюс все данные, связанные с прохождением службы и воинской специальностью. Нужно вспомнить наконец, что у военкомата, как известно, нет оперативно-розыскных функций. Уклонистов должна разыскивать милиция. Чтобы поменьше привлекать преступников, лучше не вносить в реестр финансовых данных — какое отношение к армии имеет информация о доходах граждан? Тоже касается и информации о поездках зарубеж. И сосредоточение в единой базе данных идентификационного номера, личной фотографии и паспортных данных — это просто магнит для злоумышленников. А вот если убрать оттуда идентификационный номер, база станет для криминалитета гораздо менее аппетитной.

Во-вторых, нужно строго обеспечить доступ к реестру только специально обученных, прошедших и сдавших экзамен на знание навыков кибербезопасности сотрудников. Причем каждый из них должен иметь индивидуальные идентификационные данные, а каждое их действие в реестре фиксироваться, чтобы в случае необходимости можно было посмотреть — кто, когда, зачем входил в базу данных и что там делал.

В-третьих, учитывая всю значимость реестра для страны, необходимо ужесточить ответственность за любые нарушения, связанные с работой реестра, в том числе неправомерное внесение, удаление, изменение и получение данных, а также неоправданный служебной необходимостью доступ к ним. Ответственность должна быть не административной, в виде символического штрафа, а уголовной, предусматривающей солидный срок лишения свободы – ведь, в конце концов, речь идет о национальной безопасности государства и каждого его гражданина.

Очень важно, пытаясь вылечить ногу, не разрушить при этом мозг и сердце, правда?

Усі матеріали автора