UA / RU
Підтримати ZN.ua

Керівник Кіберполіції Сергій Демедюк: "Особі, яка буде віддавати злочинний наказ, треба мати за спиною потужну команду, лояльну до неї"

Вибори наближаються.

Автор: Оксана Денисова

Кандидати звинувачують один одного в усіх смертних гріхах, силові відомства розділилися у прагненні знайти і знешкодити агітаційні "сітки" недругів по перегонах.

І якщо голова МВС Арсен Аваков ще тільки готує напад на "сітку" Петра Порошенка, мигцем демонструючи в ефірі красиво намальовану слідчими схему з фотографією її "директора" Березенка в центрі, то СБУ і ГПУ вже давно й відкрито штурмують агітаційну "сітку" Юлії Тимошенко. Поліція постійно застерігає громадян від участі в підкупі, однак ЦВК на підставі рішення Верховного суду частково цей підкуп опосередковано легалізує. Штаби готуються протидіяти фальсифікаціям і захищати результати виборів "до останньої краплі крові". Міжнародні арбітри з жахом в очах спостерігають за напруженою передвиборною ситуацією і на всіх закритих зустрічах настійливо просять високопосадовців "не допустити Майдану". Формування громадської думки за допомогою купівлі соціологічних досліджень; підкуп соцвиплатами, монетизацією субсидій і прямо - через агітаційну "сітку", за задумом штабу Порошенка, мали гарантовано вивести чинного президента у другий тур, однак реалізація цього задуму після останніх скандалів стає дедалі проблематичнішою.

Проте є кілька "тузів", які за визначенням можуть бути в "рукаві" лише провладного кандидата. Це - прямий адмінресурс і "транзитний сервер".

Попередній аналіз списку претендентів на президентську посаду вказує на наявність у Петра Порошенка близько 20 технічних кандидатів, кожен з яких матиме своїх представників у виборчих комісіях (для порівняння: основна конкурентка Порошенка з розбудови "сіток" Юлія Тимошенко таких кандидатів, за нашою інформацією, має близько 10). За даними DT.UA, за рахунок цих технічних кандидатів 3–4 тисячі з майже 30 тисяч дільничних виборчих комісій мають бути повністю укомплектовані "людьми Порошенка". Крім того, нещодавно редакція отримала оперативні дані про підозрілі дії СБУ, Держспецзв'язку і ЦВК, що можуть свідчити про підготовку до маніпуляцій даними Державного реєстру виборців та системи ЦВК "Вибори" на етапі підрахунку голосів.

Особливо цікавою ця інформація стала після офіційного повідомлення про участь трьох вищевказаних установ у спільних кібернавчаннях на базі ЦВК та за підтримки європейських партнерів. Тим більше що сертифікат про успішне проходження навчань з рук представниці Естонського центру східного партнерства отримувала людина, яку джерела називають "куратором транзиту". Минулого понеділка редакція розіслала відповідні запити до СБУ і Держспецзв'язку, однак на момент здачі номера відповідей від них не отримано. Ми готові ці відповіді оприлюднити, щойно вони надійдуть, а поки що вирішили звернутися до тих, хто за законом має розслідувати кіберпорушення, але, як виявилося, досі не залучений у процес контролю виборчих систем. На запитання DT.UA відповів голова Кіберполіції Сергій Демедюк.

- Пане Сергію, востаннє про так званий транзитний сервер широко дискутували 2004 року. Тоді йшлося про групу осіб, яка перехоплювала дані підрахунку голосів на підході до сервера ЦВК, вивчала результати, віддавала накази про вкидання бюлетенів на користь Віктора Януковича і передавала на сервер ЦВК сфальсифіковані результати. Яка доля цієї справи?

- На той час я працював в іншому підрозділі МВС, тому мало знаю про це. Від початку справою займалася СБУ, вона це виявила, вона документувала. Пізніше справу було передано до слідчих органів міліції, зараз вона має бути в поліції, але про остаточну її долю я нічого не можу повідомити.

- Ми отримали неофіційну інформацію про певні підозрілі дії, які можуть свідчити про заплановані маніпуляції з системами "Державний реєстр виборців" і "Вибори" з метою змінити результати голосування. Зокрема, йдеться про те, що ЦВК і Держспецзв'язок закупили в 2018–2019 роках у приватних компаній чимало обладнання та програмного забезпечення для модернізації цих систем, розробники його налаштували, але після цього державної експертизи системи не проходили.

- У зв'язку з глобалізацією і технічним розвитком на сьогодні виникла потреба оновити серверне обладнання і софт як для ЦВК, так і для інших органів державної влади. Тому я погоджуся, що це потрібно.

- Але чи законно те, що державна експертиза не перевіряє закупленого софту та обладнання?

- Наскільки я знаю, Держспецзв'язок уже мав розпочати експертизу КСЗІ (комплексної системи захисту інформації. - О.Д.), це включено в план і обговорювалося на всіх нарадах, в яких я брав участь.

- Коли ви про це чули? Бо ми маємо дані, що станом на 18 лютого 2019 року така експертиза ще не починалася, і заявки від компанії, яка надає ЦВК техпідтримку в експертизі системи "Вибори" до Державної служби спеціального зв'язку та захисту інформації (ДССЗЗІ) також не надходило.

- Я лише знаю, що ДССЗЗІ вже мала розпочати комплексну експертизу.

- Чи залучено Кіберполіцію до контролю інформаційно-аналітичних систем?

- Фактично безпекою інформаційних ресурсів та технічного обладнання займаються ДССЗЗІ й СБУ. Поліцію не залучено. МВС уже ініціювало пропозицію включити кіберполіцейських до цієї робочої групи - як представників органу, який, відповідно до КПК, має розслідувати злочини щодо втручання в інформаційно-обчислювальну систему. Ми подали до ЦВК кандидатури, але коли їх затвердять - повідомити не можу. Будемо сподіватися, що до початку виборів.

На сьогодні ми не володіємо інформацією про стан захищеності системи - лише відстежуємо в кіберпросторі зовнішню ситуацію навколо виборів та ЦВК і теоретично знаємо, як працює система. Але з тих технічних описів, які ми маємо, видно, що технічно система достатньо захищена.

- Чи воює Кіберполіція з кібердепартаментом СБУ так само, як воюють між собою МВС і СБУ?

- Ні, навпаки. У нас із Департаментом контррозвідувального захисту інтересів держави у сфері інформаційної безпеки (ДКІБ СБУ) дуже хороші стосунки, ми за необхідності разом відбиваємо кібератаки і здійснюємо заходи щодо їх локалізації.

- Якщо СБУ і ДССЗЗІ проводять експертизу, а ви цього не контролюєте, чи може так статися, що вони разом із розробниками софту вдадуться до якихось нерегламентних дій?

- Ми не контролюємо ДССЗЗІ й СБУ і не повинні цього робити. Так передбачено законодавством.

- З-поміж понад 20 тендерів ЦВК на купівлю обладнання ми виділили три. Перший - ЦВК закупило послуги з модернізації системи "Вибори" у приватного товариства "Медирент". Ця ж компанія забезпечуватиме технічну підтримку системи під час виборів. І саме ця компанія, вже провівши переналаштування системи, станом на другу половину лютого не подала заявки на експертизу. Чи перевіряли ви коли-небудь цю компанію в рамках
своєї діяльності?

- У нас немає функції перевірки господарської діяльності компаній. У НПУ, за наявних законних підстав, її може здійснювати Департамент захисту економіки. Ми займаємося лише кіберзлочинами і кіберінцидентами.

- Другий тендер - ЦВК закупила в ТОВ "Айті Бізнес Солюшн" апаратно-програмний комплекс SandBox для захисту корпоративної мережі АІС "Державний реєстр виборців" від шкідливого програмного забезпечення. Що таке SandBox?

- Як я розумію, це комплекс, який дозволить ЦВК безпечно здійснювати перевірку отриманого ззовні контенту для виявлення в ньому шкідливого коду (вірусів) та інших небезпечних явищ. Це - система "моніторингу" зовнішніх втручань, і вона потрібна.

- Третій тендер - Держспецзв'язок закупив у ТОВ "Новелл Консалтинг" машини з обробки даних. Їх використовуватимуть як мережеві сенсори для забезпечення кіберзахисту ЦВК. Такий сенсор, за нашими даними, вже встановлено безпосередньо в ЦВК, на каналі доступу до Інтернету.

- Це теж апаратно-програмний комплекс, який дозволяє в мережах держорганів отримувати у вигляді маркерів сигнали про підозрілі події, які вказуватимуть на кіберінциденти.

- А чи може технічний персонал, який має доступ до панелі керування сенсором і можливість вносити зміни до налаштувань, перехоплювати трафік через ці сенсори?

- Слово "перехоплювати" - некоректне в даному випадку, тому що такі комплекси, по суті, вже повинні отримувати трафік для аналізу. Трафік - це безліч даних, які, закодовані певними комбінаціями одиничок та нулів, передаються каналами зв'язку. Саме серед цих даних, за налаштованими маркерами, потрібно виявляти кіберзагрози. Фактично всі чутливі дані, що передаються державними органами, мають бути зашифровані за допомогою відповідних SSL-сертифікатів та інших криптографічних методів. Тому серед загального трафіку вони будуть уже захищеними. Для неправомірних маніпуляцій із зазначеними даними треба буде вчинити дії, які дозволяли б із загального контенту вибрати потрібний потік і розшифрувати його. А для розшифрування треба мати ключі дешифрування та інші коди.

Сам трафік перехопити неважко, навіть нам із вами. Але розшифрувати його і використати дуже складно. Без наявності вже згаданих ключів і кодів потрібно мати дороге й найсучасніше обладнання, а насамперед - фахівців у цій галузі. Однак і це не гарантуватиме успіху.

- Ну як же складно? От є, припустімо, десь такий собі дата-центр. Його очолює, наприклад, керівник фірми, яка надає технічну підтримку ЦВК. І він, припустімо, модернізував систему "Вибори", свідомо залишивши "дірки" в програмному забезпеченні. Починають надходити цифри з виборчих комісій, а 10–20 людей з дата-центру швидко перехоплюють і аналізують ці цифри, коригують дані і відправляють накази на дільниці докинути бюлетені за певного кандидата. При цьому вони притримують дані, додають туди оновлені після вкидання цифри і лише після цього відправляють їх на сервер ЦВК.

- Це ви змоделювали конкретну схему перехоплення, за умови, що люди володіють відповідними даними для розшифрування. Коли є можливість розшифрувати трафік, це дозволить отримувати лише інформацію. Коригувати дані і направляти їх до кінцевого сервера - це вже технологічно складніший процес, таке втручання називають "людина посередині" (MITM-атака), і тому воно теоретично можливе. Проте я вважаю, що організувати несанкціоновані зміни даних і одночасно махінації з бюлетенями - нереально.

До слова, у майбутньому, щоб напередодні виборів не поширювалася інформація про можливі втручання в системи "Державний реєстр виборців" і "Вибори", на моє переконання, потрібно запровадити їх аудит перед кожними виборами з оприлюдненням його результату. У звіті обов'язково має бути інформація про перебіг аудиту, зазначатися відповідність опису процесів їхній реальній роботі. При цьому для громадського контролю вихідний код систем має розміщуватися у відкритому доступі. Такий підхід використовується, зокрема, в Естонії.

Що ж до подій 2004 року, то на підставі інформації, якою я володію, можу припустити, що додаткове обладнання (дата-центри на вулиці Стрілецькій і в Музейному провулку в Києві. - О.Д.) було встановлено саме для таких цілей, щоб не доводити злочинних намірів до більшості працівників, які вносять до системи первинні дані. Просто справжнього результату не показували, а показували сфальсифікований. І в 2004 році було більше можливостей використати адмінресурс для підміни паперових носіїв інформації або й знищити оригінали.

- Але ж нині теж можна використати адмінресурс?

- Зараз у нас 39 кандидатів, їхні представники й громадські організації за цим спостерігатимуть. Для того щоб вчинити махінації з бюлетенями чи протоколами, доведеться домовлятися з дуже багатьма людьми. Хоча я не виключаю, що теоретично це можливо.

- А якщо домовлятися не з усіма? Можна, наприклад, укомплектувати 3–4 тисячі ДВК своїми людьми за рахунок технічних кандидатів. Так збирається зробити, за нашими даними, один з кандидатів. Чи зможе відкоригована інформація з 3–
4 тисяч комісій істотно змінити результати виборів?

- Я не фахівець у виборчому процесі, можу лише припустити, що за таких умов відкоригована інформація вплине на результати лише в разі набрання приблизно однакової кількості голосів двома фаворитами. Не більше.

- Що ви знаєте про секретне рішення РНБО, яким створено "дзеркальний" сервер ЦВК? Офіційна причина - дублікат на випадок, якщо основний сервер "впаде". Локація "дзеркала" - також секретна. Я так розумію, що це буде дата-центр, розташований за межами ЦВК. Чи може він стати аналітичним центром, який коригуватиме дані? Чи можуть "дзеркальний" сервер використати як "транзитний"?

- Нам про це нічого не відомо. У цілому, на мій погляд, рішення про створення "дзеркала" є логічним і необхідним. Але через відсутність інформації про його роль, забезпечення та технічну підтримку я не можу відповісти на запитання, чи можуть його використати з протиправною метою. По суті, він не може бути використаний не за призначенням, але через відсутність повної інформації можна припускати будь-які дії.

- Чи реально виявити фальсифікацію результатів голосування, якщо до неї вдадуться на майбутніх виборах президента?

- Інформація, яка йтиме через систему, - це дублювання результатів, зафіксованих у протоколах. У підсумку буде визнано ті результати, які є на паперових носіях. Якщо така фальсифікація в системі "Вибори" і буде можливою, то це робитиметься лише в тому випадку, коли зацікавлена сторона буде впевнена, що всі паперові дані вже сфальсифіковано на місцях. Але тоді я не бачу потреби втручатися в систему "Вибори".

- Зацікавлена сторона - це хто? ЦВК, ДССЗЗІ, СБУ?

- Це може бути будь-хто, хто матиме відповідну технічну можливість.

За інформацією, якою ми володіємо, система "Вибори" є закритою, доступу до неї ззовні немає. Отримати його можна лише в тому випадку, якщо серед працівників, які забезпечують роботу системи, буде аутсайдер - злочинець, що забезпечить доступ третім особам ззовні або надасть їм можливість для віддаленої авторизації на адмінпанелі. Тоді теоретично така особа може перебувати за межами ЦВК.

Ми моніторимо кіберпростір нашої держави і на сьогодні не маємо інформації, що хтось сторонній отримав доступ і має можливість втрутитися в систему "Вибори".

- На підставі озвучених мною даних, чи можна зробити висновок, що ЦВК, СБУ і ДССЗЗІ створено умови для втручання в систему "Вибори" з метою змінити результати перегонів?

- Теоретично можливо припускати будь-який сценарій, але фактично ми не володіємо інформацією, як побудована сама система і скільки працівників її обслуговують, тому не можемо цього коментувати. Для того щоб реалізувати такий сценарій, має згуртуватися дуже велика кількість людей. Особі, яка віддаватиме злочинний наказ, треба мати за спиною дуже потужну команду, лояльну особисто до неї.

- Ви бачите в СБУ таких людей?

- У СБУ, як і в інших органах, є різні люди. Я точно знаю, що в ДКІБ СБУ є працівники, які в жодному разі не виконуватимуть злочинних наказів, і це - саме ті люди, які можуть забезпечувати і контролювати безпеку системи "Вибори".

- Коли ми запитали, хто може керувати всім цим процесом, джерела в СБУ назвали три імені: Олег Фролов (заступник голови СБУ, начальник департаменту оперативно-технічних заходів і "директор прослушки" СБУ), Олександр Чаузов (заступник голови ДСТЗІ) і Роман Коваль (один із засновників ТОВ "Медирент", яке модернізує систему "Вибори"), котрий працюватиме в ЦВК на Фролова. Що ви знаєте про цих людей?

- Перші двоє - це люди, які за посадами якраз і відповідають за організацію кіберзахисту нашої держави відповідно до функцій органів, у яких вони працюють. Щодо Коваля - прізвище доволі поширене, але конкретно цієї людини я не знаю.

- Підсумовуючи все сказане: який спосіб сфальсифікувати результати виборів в Україні на сьогодні є найлегшим?

- Я не маю права відповідати на таке запитання. Тому що мої припущення можуть оцінити по-різному і до того ж стати підказкою для злочинців.

- Як щодо втручання з-за кордону? Чи збільшується кількість атак російських хакерів на державні органи з наближенням виборів?

- За нашими спостереженнями, хакерські угруповання, зокрема такі як Fancy Bear, The Shadow Brokers та інші, що мають стосунок до Росії, напередодні виборів активізувалися в нашому кіберпросторі. Дедалі частіше ми фіксуємо масові поширення модифікованого шкідливого програмного забезпечення, яке вони вже використовували під час атак на об'єкти критичної інфраструктури, а також нового, з яким раніше ми не стикалися. Це вказує на те, що вони намагаються будь-яким способом отримати доступ до мереж державних органів.

Є спроби "протестувати" атаками сайт ЦВК й отримати інформацію про внутрішню її мережу. Ми фіксуємо на закритих форумах багато замовлень на отримання актуальних баз даних, у тому числі й бази даних наших виборців, але поки що не володіємо інформацією про те, що хтось із замовників отримав бажане. Нещодавно ми допомагали "відбиватися" від атак Міністерству агрополітики та Мін'юсту.

- Вони штурмують лише відомства Трофімцевої і Петренка?

- Не лише їх. Також вони систематично штурмують суди. І це я назвав лише ті три органи, які до нас звернулися за останній тиждень. Загалом, останнім часом зазнають системних атак усі центральні органи виконавчої влади, зокрема й ті, що перебувають під захистом Держспецзв'язку. Мета - проникнути в їхню мережу. Однак успішних атак ми не виявили.