UA / RU
Поддержать ZN.ua

Руководитель Киберполиции Сергей Демедюк: "Лицу, которое будет отдавать преступный приказ, надо иметь за спиной очень мощную команду, лояльную лично к нему"

Выборы приближаются.

Автор: Оксана Денисова

Кандидаты обвиняют друг друга во всех смертных грехах, силовые ведомства разделились в стремлении найти и обезвредить агитационные "сетки" недругов по гонкам.

И если глава МВД Арсений Аваков еще только готовит нападение на "сетку" Петра Порошенко, мельком демонстрируя в эфире красиво нарисованную следователями схему с фотографией ее "директора" Березенко в центре, то СБУ и ГПУ уже давно и открыто штурмуют агитационную "сетку" Юлии Тимошенко. Полиция постоянно предостерегает граждан от участия в подкупе, однако ЦИК на основании решения Верховного суда частично этот подкуп опосредованно легализует. Штабы готовятся противодействовать фальсификациям и защищать результаты выборов "до последней капли крови". Международные арбитры с ужасом в глазах наблюдают за напряженной предвыборной ситуацией и на всех закрытых встречах настойчиво просят высоких должностных лиц не допустить Майдана. Формирование общественного мнения с помощью купли социологических исследований; подкуп соцвыплатами, монетизацией субсидий и прямо - через агитационную "сетку", по замыслу штаба Порошенко, должны гарантированно вывести действующего президента во второй тур, однако реализация этого замысла после последних скандалов становится все более проблематичной.

Тем не менее есть несколько тузов, которые по определению могут быть в рукаве только провластного кандидата. Это - прямой админресурс и "транзитный сервер".

Предыдущий анализ списка претендентов на президентскую должность указывает на наличие у Петра Порошенко около 20 технических кандидатов, каждый из которых будет иметь своих представителей в избирательных комиссиях (для сравнения: у основного конкурента Порошенко по развитию "сеток" Юлии Тимошенко таких кандидатов, по нашей информации, около 10). По данным ZN.UA, за счет этих технических кандидатов три-четыре тысячи из почти 30 тысяч участковых избирательных комиссий должны быть полностью укомплектованы людьми Порошенко. Кроме того, недавно редакция получила оперативные данные о подозрительных действиях СБУ, Госспецсвязи и ЦИК, которые могут свидетельствовать о подготовке к манипуляциям данными Государственного реестра избирателей и системы ЦИК "Выборы" на этапе подсчета голосов.

Особенно интересной эта информация стала после официального сообщения об участии трех указанных выше учреждений в общих киберучениях на базе ЦИК и при поддержке европейских партнеров. Тем более что сертификат об успешном прохождении учений из рук представителя Эстонского центра восточного партнерства получил человек, которого источники называют "куратором транзита". В прошлый понедельник редакция разослала соответствующие запросы в СБУ и Госспецсвязь, однако на момент сдачи номера ответов от них не получено. Мы готовы обнародовать эти ответы, как только они поступят, а пока что решили обратиться к тем, кто по закону должен расследовать кибернарушения, но, как оказалось, до сих пор не привлечен к процессу контроля избирательных систем. На вопросы ZN.UA ответил глава Киберполиции Сергей Демедюк.

- Господин Демедюк, в последний раз о так называемом транзитном сервере широко дискутировали в 2004 году. Тогда речь шла о группе лиц, которая перехватывала данные подсчета голосов на подходе к серверу ЦИК, изучала результаты, отдавала приказы о вбрасывании бюллетеней в пользу Виктора Януковича и передавала на сервер ЦИК фальсифицированные результаты. Какова судьба этого дела?

- В то время я работал в другом подразделении МВД, поэтому мало знаю об этом. Сначала делом занималась СБУ, она это обнаружила, она документировала. Позднее дело передали в следственные органы милиции, сейчас оно должно быть в полиции, но об окончательной его судьбе я ничего не могу сообщить.

- Мы получили неофициальную информацию о некоторых подозрительных действиях, которые могут свидетельствовать о запланированных манипуляциях с системами "Государственный реестр избирателей" и "Выборы" с целью изменить результаты голосования. В частности, речь идет о том, что ЦИК и Госспецсвязь закупили в 2018-2019 годах у частных компаний немало оборудования и программного обеспечения для модернизации этих систем, разработчики его настроили, но после этого государственную экспертизу системы не проходили.

- В связи с глобализацией и техническим развитием на сегодняшний день возникла необходимость обновить серверное оборудование и софт как для ЦИК, так и для других органов государственной власти. Поэтому я соглашусь, что это нужно.

- Но законно ли то, что государственная экспертиза не проверяет закупленные софт и оборудование?

- Насколько я знаю, Госспецсвязь уже должна была начать экспертизу КСЗИ (комплексной системы защиты информации. - О.Д.), это включено в план и обсуждалось на всех совещаниях, в которых я участвовал.

- Когда вы об этом слышали? Потому что у нас есть данные, что по состоянию на 18 февраля 2019 года такую экспертизу еще не начинали, и заявка от компании, которая предоставляет ЦИК техподдержку в экспертизе системы "Выборы", в Государственную службу специальной связи и защиты информации (ГССЗИ) также не поступила.

- Я лишь знаю, что ГССЗИ уже должна была начать комплексную экспертизу.

- Привлечена ли Киберполиция к контролю информационно-аналитических систем?

- Фактически безопасностью информационных ресурсов и технического оборудования занимаются ГССЗИ и СБУ. Полиция не привлечена. МВД уже инициировало предложение включить киберполицейских к этой рабочей группе - как представителей органа, который, в соответствии с УПК, должен расследовать преступления относительно вмешательства в информационно-вычислительную систему. Мы подали в ЦИК кандидатуры, но когда их утвердят, сообщить не могу. Будем надеяться, что до начала выборов.

На сегодняшний день мы не владеем информацией о состоянии защищенности системы - только отслеживаем в киберпространстве внешнюю ситуацию вокруг выборов и ЦИК и теоретически знаем, как работает система. Но из тех технических описаний, которые у нас есть, видно, что технически система достаточно защищена.

- Воюет ли Киберполиция с кибердепартаментом СБУ так же, как воюют между собой МВД и СБУ?

- Нет, наоборот. У нас с департаментом контрразведывательной защиты интересов государства в сфере информационной безопасности (ДКИБ СБУ) очень хорошие отношения, мы при необходимости вместе отбиваем кибератаки и осуществляем мероприятия по их локализации.

- Если СБУ и ГССЗИ проводят экспертизу, а вы этого не контролируете, может ли так произойти, что они вместе с разработчиками софта прибегнут к каким-то нерегламентным действиям?

- Мы не контролируем ГССЗИ и СБУ и не должны этого делать. Так предусмотрено законодательством.

- Из более 20 тендеров ЦИК на покупку оборудования мы выделили три. Первый - ЦИК закупило услуги по модернизации системы "Выборы" у частного общества "Медирент". Эта же компания будет обеспечивать техническую поддержку системы во время выборов. И именно эта компания, уже проведя переналадку системы, по состоянию на вторую половину февраля не подала заявку на экспертизу. Проверяли ли вы когда-нибудь эту компанию в рамках своей деятельности?

- У нас нет функции проверять хозяйственную деятельность компаний. В НПУ, при имеющихся законных основаниях, ее может осуществлять департамент защиты экономики. Мы занимаемся лишь киберпреступлениями и киберинцидентами.

- Второй тендер - ЦИК закупила в ООО "Айти Бизнес Солюшн" аппаратно-программный комплекс SandBox для защиты корпоративной сети АИС "Государственный реестр избирателей" от вредного программного обеспечения. Что такое SandBox?

- Как я понимаю, это комплекс, который позволит ЦИК безопасно осуществлять проверку полученного извне контента для обнаружения в нем вредного кода (вирусов) и других опасных явлений. Это - система мониторинга внешних вмешательств, и она нужна.

- Третий тендер - Госспецсвязь закупила в ООО "Новелл Консалтинг" машины по обработке данных. Их будут использовать как сетевые сенсоры для обеспечения киберзащиты ЦИК. Такой сенсор, по нашим данным, уже установлен непосредственно в ЦИК, на канале доступа к Интернету.

- Это тоже аппаратно-программный комплекс, позволяющий в сетях госорганов получать в виде маркеров сигналы о подозрительных событиях, которые будут указывать на киберинциденты.

- А может ли технический персонал, имеющий доступ к панели управления сенсором и возможность вносить изменения в настройки, перехватывать трафик через эти сенсоры?

- Слово "перехватывать" некорректно в данном случае, поскольку такие комплексы, по сути, уже должны получать трафик для анализа. Трафик - это множество данных, которые, закодированные определенными комбинациями единичек и нулей, передаются по каналам связи. Именно среди этих данных, по настроенным маркерам, нужно обнаруживать киберугрозы. Фактически все чувствительные данные, которые передаются государственными органами, должны быть зашифрованы с помощью соответствующих SSL-сертификатов и других криптографических методов. Поэтому среди общего трафика они будут уже защищенными. Для неправомерных манипуляций с указанными данными надо будет совершить действия, которые позволяли бы из общего контента выбрать нужный поток и расшифровать его. А для расшифровки надо иметь ключи дешифровки и другие коды.

Сам трафик перехватить нетрудно, даже нам с вами. Но расшифровать его и использовать очень сложно. Без наличия уже упомянутых ключей и кодов нужно иметь дорогое и самое современное оборудование, а прежде всего - специалистов в этой области. Однако и это не будет гарантировать успеха.

- Ну как же сложно? Вот есть, предположим, где-то некий дата-центр. Его возглавляет, например, руководитель фирмы, которая оказывает техническую поддержку ЦИК. И он, предположим, модернизировал систему "Выборы", сознательно оставив дырки в программном обеспечении. Начинают поступать цифры из избирательных комиссий, а 10-20 человек из дата-центра быстро перехватывают и анализируют эти цифры, корректируют данные и отправляют приказы на участки добросить бюллетени за определенного кандидата. При этом они придерживают данные, добавляют туда обновленные после вбрасывания цифры и лишь после этого отправляют их на сервер ЦИК.

- Это вы смоделировали конкретную схему перехвата, при условии, что люди владеют соответствующими данными для расшифровки. Если есть возможность расшифровать трафик, это позволит получать лишь информацию. Корректировать данные и направлять их к конечному серверу - это уже технологически более сложный процесс, такое вмешательство называют "человек посередине" (MITM-атака), и потому оно теоретически возможно. Но я считаю, что организовать несанкционированные изменения данных и одновременно махинации с бюллетенями нереально.

К слову, в будущем, чтобы накануне выборов не распространялась информация о возможных вмешательствах в системы "Государственный реестр избирателей" и "Выборы", по моему убеждению, нужно ввести их аудит перед каждыми выборами с оповещением его результата. В отчете обязательно должна быть информация о ходе аудита, должно указываться соответствие описания процессов их реальной работе. При этом для общественного контроля исходный код систем должен размещаться в открытом доступе. Такой подход используется, в частности, в Эстонии.

Что касается событий 2004-го, то на основании информации, которой я владею, могу предположить, что дополнительное оборудование (дата-центры на Стрелецкой и в Музейном переулке в Киеве. - О,Д.) были установлены именно для таких целей, чтобы не доказывать преступные намерения к большинству работников, которые вносят в систему первичные данные. Просто настоящий результат не показывали, а показывали фальсифицированный. И в 2004-м было больше возможностей использовать админресурс для подмены бумажных носителей информации и уничтожить оригиналы.

- Но ведь сейчас тоже можно использовать админресурс?

- Сейчас у нас 39 кандидатов, их представители и общественные организации за этим будут наблюдать. Для того чтобы совершить махинации с бюллетенями или протоколами, придется договариваться c очень многими людьми. Хотя я не исключаю, что теоретически это возможно.

- А если договариваться не со всеми? Можно, например, укомплектовать три-четыре тысячи УИК своими людьми за счет технических кандидатов. Так собирается сделать, по нашим данным, один из кандидатов. Сможет ли откорректированная информация из трех-четырех тысяч комиссий существенно изменить результаты выборов?

- Я не специалист в избирательном процессе, могу только предположить, что при таких условиях откорректированная информация повлияет на результаты лишь в случае, если два фаворита получат приблизительно одинаковое количество голосов. Не больше.

- Что вы знаете о секретном решении СНБО, которым создан "зеркальный" сервер ЦИК? Официальная причина - дубликат на случай, если основной сервер "упадет". Локация "зеркала" также секретная. Я так понимаю, это будет дата-центр, расположенный за пределами ЦИК. Может ли он стать аналитическим центром, который будет корректировать данные? Могут ли "зеркальный" сервер использовать как транзитный?

- Нам об этом ничего не известно. В целом, на мой взгляд, решение о создании "зеркала" логично и необходимо. Но из-за отсутствия информации о его роли, обеспечении и технической поддержке я не могу ответить на вопрос, могут ли его использовать с противоправной целью. По сути, он не может быть использован не по назначению, но из-за отсутствия полной информации можно предполагать любые действия.

- Реально ли обнаружить фальсификацию результатов голосования, если к ней прибегнут на будущих выборах президента?

- Информация, которая будет идти через систему, - это дублирование результатов, зафиксированных в протоколах. В итоге будут признаны результаты, которые есть на бумажных носителях. Если такая фальсификация в системе "Выборы" и будет возможной, то это будет делаться только в том случае, если заинтересованная сторона будет уверена, что все бумажные данные уже фальсифицированы на местах. Но тогда я не вижу необходимости вмешиваться в систему "Выборы".

- Заинтересованная сторона - это кто? ЦИК, ГССЗИ, СБУ?

- Это может быть кто угодно, кто будет иметь соответствующую техническую возможность.

По информации, которой мы владеем, система "Выборы" закрытая, доступа к ней извне нет. Получить его можно лишь в случае, если среди работников, обеспечивающих работу системы, будет аутсайдер - преступник, который обеспечит доступ третьим лицам извне или предоставит им возможность для отдаленной авторизации на админпанели. Тогда теоретически такое лицо может находиться за пределами ЦИК.

Мы мониторим киберпространство нашего государства, и на сегодняшний день у нас нет информации, что кто-то посторонний получил доступ и имеет возможность вмешаться в систему "Выборы".

- На основании озвученных мною данных, можно ли сделать вывод, что ЦИК, СБУ и ГССЗИ создали условия для вмешательства в систему "Выборы" с целью изменить результаты гонок?

- Теоретически можно предполагать любой сценарий, но фактически мы не владеем информацией, как построена сама система, и сколько работников ее обслуживают, поэтому не можем это комментировать. Чтобы реализовать такой сценарий, следует сплотить очень большое количество людей. Лицу, которое будет отдавать преступный приказ, надо иметь за спиной очень мощную команду, лояльную лично к нему.

- Вы видите в СБУ таких людей?

- В СБУ, как и в других органах, есть разные люди. Я точно знаю, что в ДКИБ СБУ есть работники, которые ни в коем случае не будут выполнять преступные приказы, и это именно те люди, которые могут обеспечивать и контролировать безопасность системы "Выборы".

- Когда мы спросили, кто может руководить всем этим процессом, источники в СБУ назвали три имени: Олег Фролов (заместитель председателя СБУ, начальник департамента оперативно-технических мероприятий и "директор прослушки" СБУ), Александр Чаузов (заместитель председателя ГССЗИ) и Роман Коваль (один из учредителей ООО "Медирент", модернизирующего систему "Выборы"), который будет работать в ЦИК на Фролова. Что вы знаете об этих людях?

- Первые двое - это люди, которые по должности именно и отвечают за организацию киберзащиты нашего государсва в соответствии с функциями органов, в которых они работают. Относительно Коваля - фамилия довольно распространенная, но конкретно этого человека я не знаю.

- Подводя итоги всему сказанному, какой способ фальсифицировать результаты выборов в Украине на сегодняшний день самый легкий?

- Я не имею права отвечать на такой вопрос. Поскольку мои предположения могут оценить по-разному, и к тому же они могут стать подсказкой для преступников.

- Как насчет вмешательства из-за рубежа? Увеличивается ли количество атак российских хакеров на государственные органы с приближением выборов?

- По нашим наблюдениям, хакерские группировки, в частности такие как Fancy Bear, The Shadow Brokers и прочие, имеющие отношение к России, накануне выборов активизировались в нашем киберпространстве. Все чаще мы фиксируем массовое распространение модифицированного вредного программного обеспечения, которое они уже использовали во время атак на объекты критической инфраструктуры, а также нового, с которым раньше мы не сталкивались. Это указывает на то, что они пытаются любым способом получить доступ к сетям государственных органов.

Есть попытки "протестировать" атаками сайт ЦИК и получить информацию о внутренней ее сети. Мы фиксируем на закрытых форумах много заказов на получение актуальных баз данных, в том числе и базы данных наших избирателей, но пока что не владеем информацией о том, что кто-то из заказчиков получил желаемое. Недавно мы помогали отбиться от атак Министерству агрополитики и Минюсту.

- Они штурмуют лишь ведомства Трофимцевой и Петренко?

- Не только их. Также они систематически штурмуют суды. И это я назвал лишь те три органа, которые к нам обратились за последнюю неделю. В общем, в последнее время подверглись системным атакам все центральные органы исполнительной власти, в частности и те, что находятся под защитой Госспецсвязи. Цель - проникнуть в их сеть. Однако успешных атак мы не обнаружили.