Қазақстандағы «ақ хакерлер» жеке ғана емес, мемлекеттік компаниялардың да ақпараттық жүйелерін заңды түрде «бұза алады». Олар бұл құқыққа 2023 жылдың желтоқсанында, басқалармен қатар, «ақ хакерлердің» жұмысын реттейтін заңнамалық түзетулер күшіне енген кезде ие болды. Ақпараттық жүйелерді зерттеуші Катерина Шевченко мен Кибершабуылдарды талдау және зерттеу орталығының (КШТЗО) президенті Олжас Сәтиев этикалық хакерлердің қалай жұмыс істейтіні туралы егжей-тегжейлі айтып берді.
«Ақ хакерлер» деген кімдер және олар не үшін қажет?
Бұл – қауіпсіздікті тестілеу мамандары, сонымен қатар «ақ хакерлер» деп аталатын ақпараттық қауіпсіздік зерттеушілері ретінде белгілі, АТ жүйелерін зерттейтін және олардың осалдықтарын табатын жандар. Бірақ, «қара» хакерлерден айырмашылығы, олар мұны этикалық түрде жасайды: олар компаниялардың рұқсатымен сайттарды «бұзып», жүйедегі олқылықтар туралы айтады, осылайша болашақта интернет-ресурстардың иелері кемшіліктерді жойып, шынайы хакерлік шабуылдардан аулақ болады.
Катерина Шевченконың айтуынша, «ақ хакерлер» кез келген басқа пайдаланушы сияқты веб-сайтқа тап болады, бірақ олар оны ақпарат көзі ретінде емес, зерттеуді қажет ететін және «бұзуға» тырысатын функционал ретінде қарастырады. Осыдан кейін хакерлер есеп жасап, иелері бәрін түзете алатындай етіп тапсырады. Бұзылмайтын жүйелер жоқ деп саналады, кез келген нәрсені бұзуға болады. Оның айтуынша, осалдықтар әрдайым дерлік кездеседі, бірақ олар әртүрлі: төмен, орташа және ауыр деңгейде болады.
Олжас Сәтиев бірнеше жыл бұрын Қазақстанның елордасы Астанада зерттеуші жүйеге еніп, суық және ыстық суды өшіруді үйренгенін мысалға келтірді – бұл жоғары деңгейдегі осалдық. Тағы бір мысал: банктердің бірінің ақпараттық жүйелерін тестілеу кезінде байланыс орталығының операторы мен клиент арасындағы карта нөмірлері мен жеке деректер жазылған сөйлесулерді тыңдауға болатыны анықталды.
«Ақ хакерлер» қалай жұмыс істейді?
Қазақстанда «ақ хакерлер» мен интернет-ресурс иелерінің кездесуіне мүмкіндік беретін жеке BugBounty платформасы жұмыс істейді. Иелері платформа арқылы этикалық хакерлерге олардың жүйелеріне деструктивсіз кіруге мүмкіндік береді.
Олжас Сәтиев оның қалай жұмыс істейтінін түсіндірді. Алдымен, жүйенің иесі платформамен келісімге қол қояды, бағдарламаға қатысу үшін ақы төлейді (BugBounty платформасында болу) және «ақ хакерлерге» төлемге ақы бөледі. Хакерлер компания жүйесіндегі осалдықтарды іздейді, ол туралы есептер жасайды және сыйақы алады.
«Ақ хакерлер» үшін, ал олардың 2500-ден астамы платформада тіркелген, NDA (ақпаратты таратпау) бойынша тізім көрсетілген жария оферта мен олардың деструктив әрекеті үшін қандай жауапкершілік қарастырылғаны көрсетілген.
Платформаға мемлекеттік те, (олар қызметтерді тегін алады – төменде толығырақ) жеке компаниялар да қосыла алады.
«Қазіргі уақытта жүйеде мемлекеттік ақпараттық жүйелер, бес елдің банкі және телеком-операторлар, мысалы, Kcell бар. Шағын медициналық ұйымдар да бар. Негізінде, кез келген адам сыйақы төлеуге дайын болса және олардың ақпараттық жүйелері интернетке «шығып» жатса, қосыла алады», – деп түсіндіреді Сәтиев.
Мұндай «этикалық бұзулар» қауіпсіз бе және хакерлер не істемеуі керек?
Олжас Сәтиевтің айтуынша, мұндай сынақтардан компанияларға қауіп жоқ. Өйткені, күн сайын түрлі хакерлер тобы қазақстандық мемлекеттік ресурстар мен жеке ұйымдарға шабуыл жасауға тырысады. Ал «ақ хакерлер» жағдайында мемлекет пен компаниялар алаяқтардан бұрын осалдықтарды табуға заңды мүмкіндік береді.
Сонымен қатар, платформада хакерлер үшін арнайы ережелер белгіленген. Мысалы, мамандарға табылған осалдықты түзетпей тұрып таратуға болмайды, DDos шабуылдар жасай алмайды немесе агрессив тестілеу әдістерін және тұтынушыларға әлеуметтік инженерияны қолдана алмайды. Сондай-ақ тестілеу кезінде кездейсоқ алынған жеке деректерді жою қажет.
Катерина Шевченко мамандар компанияның меншік иесі рұқсат берген ақпараттық жүйе периметрін ғана сынайтынын айтады. Этикалық хакерлердің есепте табылған осалдықты жарияламауға құқығы жоқ.
Егер адам веб-сайттарды өз мақсаттары үшін бұзса (мысалы, табылған ақпаратты кейінірек даркнетте сату үшін), онда ол бұл үшін 590 мың ($1245) теңгеден астам айыппұл төлеуі мүмкін. Ал егер бұл ауыр зардаптарға әкеп соқтырса, адам үш жылға дейін бас бостандығынан айырылуы мүмкін.
«Ақ хакерлердің» жұмысы қанша тұрады?
Катерина Шевченко компаниядағы этикалық хакерлердің қызмет көрсету құны әр түрлі және маманның тәжірибесіне байланысты екенін айтады. Жаңадан жұмыс істейтін қызметкер 250 мың теңгеден ($520) бастап жалақы ала алады, аға қызметкер бір жарым миллионнан екі миллион теңгеге дейін (3 120 доллардан 4 160 долларға дейін) таба алады.
BugBounty бағдарламасы бойынша қызметтердің құны әрқилы болады және табылған осалдықтарға байланысты. Мысалы, төмен деңгейдегі осалдықты тапқан маманның жұмысы $200 дейін, орташа деңгей – $200-$1000 дейін, ауыр деңгей – $1000 дейін болады. Олжас Сәтиев бағдарламаның кей зерттеушілері $5000 жуық ақша алғанын айтты. Шетелде осалдықтарды тапқаны үшін әлдеқайда көп жалақы алады.
Егер осалдықты кәсіби хакер емес, қарапайым адам анықтаса, онда ол бұл туралы BugBounty арқылы хабарлап, бұл ақпаратты даркнетте сатудың орнына сыйақы ала алады.
«Әр қаланың әкімдіктерінде қаладағы жолдардағы шұңқыр немесе басқа да мәселелерді көрсеңіз, өтініштер мен фотосуреттер жіберетін қызметтер бар. Онда олар бұл мәселені түзетеміз деп жауап береді. Инфрақұрылым саласында да солай – қандай да бір осалдықты, азаматтардың жеке деректерінің тарап кетуін заңды түрде «тапсыру» мүмкіндігі бар және жүйенің иесі мұның бәрін түзетуі керек. Бұл үшін сыйақы алуға да болады», — деп түсіндіреді Олжас Сәтиев.
BugBounty бағдарламасына қатысу үшін жеке компаниялар қанша төлейді?
Мұнда цифрлар әрқилы болуы мүмкін. Бұл ақпараттық жүйелердің санына және жұмыс көлеміне байланысты, біреулер үшін жылына 20 мың доллар тұрады, басқалары үшін барлығы 200 мың доллар болады, – дейді кибершабуылдарды талдау орталығының президенті.
«Біз бұл Қазақстандағы жаңа бағдарлама екенін ескеруіміз керек, сондықтан бізде [осы мақсатқа арналған компания бюджеті] көп қаражат бөлінбейді. Көбі мұны енді ғана түсіне бастады. Ал шетелдік компаниялар туралы айтатын болсақ, олар жан тыныштығы үшін жылына миллиондаған доллар төлейді, өйткені тәуелсіз зерттеушілердің көп бөлігі 24/7 олардың осалдықтарын табуға тырысатынына сенімді», – деді Олжас Сәтиев.
Бұл бағдарламаға қатысу үшін мемлекет ақша төлемейді. Бұл туралы Ақпараттық қауіпсіздік комитетінің төрағасы Руслан Әбдіқалықов айтты. Оның айтуынша, хакерлер тапқан осалдықтарды BugBounty иелеріне тегін береді, ал КШТЗО оларды мемлекетке тегін береді.
«Ол жерден алғанымыздың бәрі ақ хакерлердің ізгі ниетімен жасалды, сол үшін оларға алғысымыз шексіз», – деп бөлісті Әбдіқалықов.
Ақпараттық қауіпсіздік комитеті ең белсенділерге мадақтама береді, мемлекет оларға сыйлықақы бермейді, бұл үшін бюджет қарастырылмаған.
Ақпараттық қауіпсіздікке қатысты түзетулер «ақ хакерлердің» жұмысына қалай әсер етті?
«Ақ хакерлер» институтын заңдастырған жаңа заңның қабылдануымен болған ең маңызды нәрсе іздеу процесін жеделдету және осалдықтарды түзету болды. Жобаның пилоттық нұсқасы кезінде зерттеушілер 3000-ға жуық осалдықтар тапсырды. Олжас Сәтиевтің пайымдауынша, Цифрлық даму министрлігі де, мемлекеттік техникалық қызмет те, КШТЗО өзі де интернеттің қазақстандық сегментінде аз уақыт ішінде осыншама осалдық таба алмас еді.
Сонымен қатар, күн сайын әртүрлі жүйелерде жаңа осалдықтар пайда болады. Зерттеушілер оларды тапқан бойда бірден Қазақстандағы қандай мемлекеттік ресурстар немесе маңызды инфрақұрылым оларға осал екенін тексереді. Осыдан кейін жүйелер арнайы сынақтан өткізіліп, есептер жіберіледі. Бұрын мұндай жұмыс бірнеше айға созылатын болса, қазір бір-екі күн қажет.
Иллюстрация: freepik.com
Бұл жарияланымды Еуропалық Одақ қаржыландырады. Оның мазмұнына тек IWPR жауапты және ол міндетті түрде Еуропалық Одақтың көзқарасын білдірмейді.