Недавние массовые утечки данных сервисов «Яндекс.Еда», Delivery Club, «СДЭК», Wildberries, лаборатории «Гемотест» и хакерская атака на видеохостинг Rutube, произошедшая в День Победы, являются звеньями одной цепи и должны быть расценены как объявление России западными спецслужбами полномасштабной кибервойны. С таким предостережением выступил источник «Октагона» из профильных силовых структур. По его словам, следующий удар может быть нанесён по более чувствительным объектам: под угрозой оказываются не только персональные данные россиян, но и предприятия транспортной, энергетической и даже оборонной отраслей. Причина заключается в нереализованности планов по импортозамещению в сфере цифровой экономики.
Спустя несколько дней после начала спецоперации на Украине различные российские интернет-сервисы сообщили об утечке данных своих клиентов в сеть. Первым стал сервис доставки грузов и документов «СДЭК», затем с утечкой столкнулись сервис «Яндекс.Еда» и маркетплейс Wildberries. В конце февраля были взломаны сайты РБК, ТАСС, «Известий» и «Коммерсанта». В начале мая в даркнете появились результаты сотен миллионов анализов лаборатории «Гемотест». О последней крупной утечке, произошедшей в сервисе доставки еды и продуктов Delivery Club, стало известно 20 мая.
По словам источника «Октагона», в действительности речь идёт отнюдь не только об утечке персональных данных. Проблема значительно глубже.
– Это угроза колоссального масштаба. Она опасна по последствиям и возможности возникновения хаоса на всей территории страны. Можно только вообразить, что будет, если взломать, например, базу Росреестра, в которой хранятся все сведения о недвижимости и правах на неё. Могут утечь, например, коды управления стрелками на железной дороге. Проблема касается всех сфер жизни: и авиации, и электроэнергии, и атомных объектов. Последние сливы были демонстрацией силы западных спецслужб. Оценка подобных рисков на властном уровне, похоже, не производится. Однако необходимо осознать, что кибернетические потери, которые мы сейчас наблюдаем, могут быть лишь рябью перед будущим цунами, – предупреждает собеседник «Октагона».
Источник «Октагона» сравнивает системы управления базами данных (СУБД) в цифровой экономике с ядерным оружием. Глубинная же причина обнаружившейся уязвимости России в этой сфере заключается в том, что львиная доля крупных российских предприятий – и из госсектора, и в промышленности – использует западные базы данных. Это означает, что даже после ухода с российского рынка зарубежные вендоры сохраняют доступ к святая святых своих прежних клиентов – их информации.
Все зарубежные СУБД делятся на две категории – с закрытым кодом (полностью контролируемые разработчиком) и открытым кодом (так называемые Open Source), в разработке которых принимает участие мировое сообщество программистов.
Продукты первого типа использовать опасно, поскольку разработчик в любой момент может остановить работу в стране и прекратить техническую поддержку.
– Прекращение обновлений делает СУБД уязвимой, так как без них система будет работать вместе с уязвимостями, которые в новых версиях продуктов устраняются производителем, – объясняют «Октагону» в компании «Газинформсервис», известной тем, что она является IT-поставщиком «Газпрома». – Выбор в пользу вторых продуктов также содержит в себе определённые риски, поскольку мировое сообщество программистов тоже может «без объявления войны» прекратить сотрудничество с российскими разработчиками. Но главное заключается в другом, и мы это сейчас как раз и наблюдаем.
– Сохраняется вероятность использования «закладок» (участков вредоносного кода), которые будут срабатывать при определённом условии. Из-за большого объёма исходного кода выявить таковые довольно проблематично, – объясняет заместитель директора центра СУБД компании «Реляционные экспертные системы» («РЕЛЭКС») Денис Хохлов.
Доля рынка зарубежных СУБД в России точно неизвестна даже Министерству цифрового развития, связи и массовых коммуникаций РФ. Ответ на этот вопрос в федеральном ведомстве не дали. В компании «РЕЛЭКС» объясняют отсутствие таких данных тем, что большая часть закупок СУБД в России не отражается в открытых источниках.
Различные исследования показывают, что наиболее популярной в России системой до последнего времени была СУБД американской компании Oracle. Например, по данным опроса, проведённого аналитическим центром TAdviser среди российских госпредприятий и предприятий крупного бизнеса в 2019 году, объектно-реляционную систему управления базами данных Oracle Database в числе наиболее популярных назвали более 80 процентов респондентов. Свыше 60 процентов отметили СУБД компании Microsoft под названием Microsoft SQL. Более половины опрошенных назвали СУБД PostgreSQL, разработанную в Калифорнийском университете в Беркли. Также высокой популярностью пользовалась СУБД Hana от немецкой компании SAP.
В этой сфере существуют и российские разработчики. Часть из них, как уже было сказано, использует систему с открытым кодом PostgreSQL, другие предлагают своё собственное решение. Например, в 2015 году на рынке появилась российская СУБД от компании Postgres Professional под названием Postgres Pro. Также на основе PostgreSQL построил свою систему «Сбер» (СУБД Platform V Pangolin). По этому же пути пошёл IT-поставщик «Газпрома» – компания «Газинформсервис», предлагающая свою СУБД Jatoba.
В компании сообщили «Октагону», что ограничений в доступе к последним версиям PostgreSQL не испытывают, при этом все решения новых версий подвергают исследованиям на наличие уязвимостей, после чего вносятся исправления.
Взял за основу своей системы открытый код PostgreSQL и концерн «Гранит», разработавший СУБД «Квант-Гибрид». Впрочем, как говорят в компании, в настоящее время их СУБД не зависит от обновлений открытой версии PostgreSQL. Автономность системы обеспечивается полным контролем кода, а защита данных уже обеспечена сквозным шифрованием.
Компания «РЕЛЭКС» предлагает систему «Линтер», являющуюся полностью российским продуктом, которая, как утверждают разработчики, используется в Центробанке, Гознаке и на предприятиях «Росатома».
По данным источника «Октагона», все перечисленные выше российские продукты в совокупности занимают крайне незначительную долю рынка. Правда, спрос на них в последнее время начал расти. Причина заключается не столько в участившихся сливах, сколько в уходе с рынка РФ основных западных игроков. В марте такие решения приняли компании Oracle и SAP. На сайте первой говорится о полной остановке всех операций с Россией и Белоруссией, включая сервисное обслуживание. Вторая также заявила о разрыве сотрудничества со всеми российскими заказчиками и прекращении поддержки локальных версий своих продуктов. Как итог, к середине марта 2022 года в компании Postgres Professional сообщили, что рост запросов о переходе на СУБД Postgres Pro от российских компаний за предшествовавшую неделю составил 600 процентов.
Проблема заключается в том, что переходить на российские СУБД необходимо максимально оперативно. Промежуточным решением может стать широкое внедрение шифрования.
– Принцип защиты в настоящее время, как правило, заключается в том, что защищается периметр. Иными словами, когда происходит цифровое нападение, оно оценивается на входных воротах – системах, которые обеспечивают подключение и оценивают вирусную нагрузку (роутеры, фильтры на входе и так далее). Но внутри контура (если противник смог туда войти или смог что-то заложить внутрь) защиты нет, – объясняет детали источник «Октагона».
«“Взрыв” может произойти внутри, и наружный контур помочь не сможет».
Источник «Октагона»
По его словам, если бы внутри контура вся информация была зашифрована, а ключ имелся бы только у хозяина бизнеса, это обеспечило бы ему гарантию сохранности информации. Базы данных должны быть дооснащены дополнительными инструментами в виде системы генерации ключей, при помощи которых программисты конкретного предприятия смогут зашифровывать и расшифровывать информацию.
«Октагон» попытался выяснить у лаборатории «Гемотест» и видеохостинга Rutube, недавно подвергшихся атакам, какими базами данных они пользовались и применяли ли систему шифрования, однако ответов не последовало. Не предоставили такой информации и коллеги компании «Гемотест» из лаборатории «Инвитро». В центре молекулярной диагностики СMD сообщили, что используют «различные средства защиты, включая средства криптозащиты информации, а более развёрнутая информация об используемых средствах защиты является конфиденциальной».
Что касается полного перехода на отечественные СУБД, то, по оценкам участников рынка, этот процесс может занять от трёх месяцев до пяти и более лет.
– Большая часть систем, хранящих данные в одной из иностранных СУБД, может быть переведена на отечественные [продукты] с поддержкой в течение 3–12 месяцев руками тех интеграторов, которые ведут соответствующие решения и знают частные технические описания. У нас уже есть опыт успешной, без потерь, миграции из Oracle, – заявил «Октагону» руководитель научного центра концерна «Гранит» Игорь Турканов.
Денис Хохлов подчёркивает, что переход зависит от сложности используемого ПО. По его словам, в особо сложных случаях будет проще не мигрировать, а полностью переписать систему с нуля для работы с новой СУБД. В связи с этим он называет сроки от пяти лет и более.
«Хотелось бы, чтобы госслужбы сами стали переходить на чисто российские СУБД, а не гнаться за показателями и внедрять результаты труда мирового сообщества, называя их российскими».
Денис Хохлов
заместитель директора центра СУБД компании «Реляционные экспертные системы» («РЕЛЭКС»)
Источник «Октагона» также считает это проблемой. По его данным, даже отдельные ресурсы Минобороны РФ и критически важные объекты используют иностранное ПО.
– Почему изначально зарубежное [программное] обеспечение устанавливалось даже на секретные объекты? Потому что, чтобы поставить российское, надо было ждать. Иностранное, конечно, дорогое, но оно работало. Шла погоня за сроками. И сейчас ответственным лицам будет трудно признать, что они находятся в зоне риска из-за принятых тогда решений, – добавил собеседник «Октагона».
В Минцифры РФ говорят о том, что решение этого вопроса есть. И оно лежит в плоскости не пряника, а кнута.
– Сейчас Минцифры выступает с инициативой ввести оборотные штрафы для операторов персональных данных, которые допустили утечку данных, – заявили «Октагону» в пресс-службе министерства.
«Размер штрафа может составить 1 процент от оборота компании».
Пресс-служба Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации
В целом же в ведомстве считают, что мероприятия по импортозамещению в сфере информационной безопасности успешно реализуются в течение нескольких лет. Также там указывают на то, что согласно Указу президента РФ от 1 мая 2022 года № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» с 1 января 2025 года организациям запрещается использовать средства защиты информации, произведённые в недружественных странах или под их юрисдикцией.
Может так произойти, что в итоге российские разработчики разделят рынок систем управления базами данных. Например, «Сбер» может взять на себя обслуживание банковского сектора, «дочка» компании «Газпром» – энергетического, «РЕЛЭКС» – оборонного и так далее. В итоге на рынке останутся пять – шесть игроков. Причём это может быть сделано в обход традиционной системы госзакупок.
– Правительство своим решением может определить единственного поставщика. С точки зрения обеспечения безопасности это обоснованно, – считает эксперт по госзакупкам, руководитель общественной организации «СТОПкартель», активист ОНФ Александр Кулаков.
По его словам, для этого потребуется распоряжение на уровне Правительства, затем будет определён пул поставщиков, после чего каждому выделят свою зону ответственности.
«Это будет продуктивно. Правительство при участии ФАС согласует рыночную цену, объёмы и сроки поставок. Иными словами, это будет закупка, но не конкурентная».
Александр Кулаков
эксперт по госзакупкам, руководитель общественной организации «СТОПкартель», активист ОНФ
– Крупный же бизнес, глядя на госсектор, будет делать выводы и выбирать поставщика в зависимости от своего направления. Они тоже смогут делать закупки у единственного поставщика без конкурентных торгов, – говорит Александр Кулаков.
Эксперт также обращает внимание на последнее нормативное новшество. В соответствии с ч. 2 ст. 15 Федерального закона от 8 марта 2022 года № 46 теперь аналогичные распоряжения может издавать не только федеральное Правительство, но и власти субъектов РФ. Таким образом, регионы сами смогут издать постановление, в котором будет определён перечень закупок у единственного поставщика.
– Если речь пойдёт об очень крупном заказе, то это будет делаться на уровне Правительства РФ. Менее крупный – на уровне регионов. Такая процедура будет введена до конца года. Полагаю, это действенная мера. Конкуренции уже не будет, но будет чёткое распределение, и результат будет достигнут быстрее, чем при системе госзакупок.
Кстати, как показывают свежие данные электронной торговой площадки «РТС-тендер», объём госзакупок в сегменте IT с начала текущего года ощутимо сократился. Причиной этого отчасти является сложность самого механизма госзакупок, полагают эксперты.