Недавно в Украине был скандал с утечкой личных данных пользователей: Telegram-боты продавали паспорта, прописки, ИНН и прочие данные украинцев.

Это не единственная утечка чувствительных данных, в украинском интернете уже давно продаются данные местной таможни: кто, чего, и сколько ввозит и вывозит из страны. Такие данные стоят от $100 до $400. IT-служба таможни недавно зафиксировала эту проблему во время аудита и попыталась закрыть дыру в безопасности, но пока не преуспела.

AIN.UA рассказывает, как таможенные базы оказались в онлайне, и как эту проблему пытались решить.

Что за базы продают?

В украинском интернете есть много предложений с данными по экспорту и импорту из Украины. Как редакции AIN.UA рассказал анонимный источник, знакомый с ситуацией, фактически — это слитые старые и новые внутренние базы данных самой таможни. Иногда они структурированы, с отфильтрованной информацией и визуализацией, иногда — оригинальные Excel-таблицы.

Примеры таких сайтов: 1, 2, 3, 4. Часто здесь предлагают скачать пример с данными. Или даже выкладывают демо-видео работы сервиса.

В таких таблицах содержатся все данные об операциях, которые совершаются на таможенной границе Украины. Здесь есть названия компаний, их ЕГРПОУ, даты принятия и оформления товара, реквизиты отправителей, стоимость товара и курс доллара на тот момент.

Вот пример таблицы с такими данными (приводим только названия колонок):

Стоит такая информация по-разному. Часто цены на сайтах не указывают: их сообщат, когда пользователь свяжется с продавцом и оставит данные.

Пример переписки журналиста с поддержкой одного из сервисов. Это — цена за базу данных таможни за 2019 год:

На некоторых сайтах можно оформить подписку (начиная от $15 в месяц). Можно единоразово качать таблицы: такая услуга может стоить от $100 и выше.

Почему так произошло?

В октябре 2019 года в Украине создали рабочую группу, которая должна была провести аудит IT-систем, которые используются на таможне. В ходе аудита проверялись две системы, которые использует таможенная служба:

  • «Инспектор» (ранее называлась «Инспектор 2006»), с помощью которой проводят таможенное оформление;
  • ЕАИС (Единая автоматизированная информационная система), которая обеспечивает другие функции (например, транзит).

Согласно документам, составленным в результате аудита, те процессы и IT-системы, которые используются сейчас, недостаточно защищены.

Редакция AIN.UA пообщалась с источником, знакомым с технической стороной ситуации. По его словам, программа «Инспектор» — устаревшая и плохо защищена от подобного рода утечек:

«Это — система старого образца, обычная десктопная версия, которая синхронизирует данные имейлом с центральной базой. И каждый человек, у которого она стоит, несложными манипуляциями может получить полный доступ ко всем базам данных. Через эти системы ведется учет абсолютно всех операций, которые проходят на таможенной границе Украины, в том числе, и по “оборонке”». 

По его словам, узнать, кто именно отвечает за “сливы”, сложно, потому что эти системы не имеют полноценного логирования: узнать, кто конкретно и когда получал доступ к данным, никак. Технической документации по ней тоже нет. А каждый день в этих системах работают 2000-3000 сотрудников таможни.

Эту проблему подтвердил и экс-глава таможенной службы Максим Нефьодов. Он рассказал AIN.UA, что в ходе аудита, который инициировала его команда, стало понятно, откуда эти базы берутся в продаже. Он также отметил, что весь процесс аудита и модернизации саботировался внутри таможни.

«Архитектурно система построена не на нормальной микросервисной архитектуре и является большой монолитной системой. Она построена по схеме, когда клиент общается с базой данных напрямую через сохраненные процедуры: у кого есть доступ к клиенту, у того есть доступ к базе данных. В ней присутствуют локальные территориальные базы данных, что накладывает свои риски и технические особенности. Соответственно, получить оттуда информацию — очень легко», — рассказал Нефьодов.

Эти системы «Инспектор» и ЕАИС также не сертифицированы в Госспецсвязи, иными словами — не имеют государственного подтверждения своей безопасности (хотя программы, которые используют украинские госорганы, особенно программы, которые работают с личными данными граждан, должны проходить сертификацию КСЗИ).

На запрос AIN.UA в Госспецсвязи подтвердили, что эти системы не проходили сертификацию:

Как это можно исправить?

По словам Нефьодова, проблема с утечками таможенной информации не решается поиском, кто конкретно “скачал базу на флешку”. Один из способов решения: обновление IT-инфраструктуры таможни или публикация этих же данных, но в обезличенном виде:

«Этой информацией торгуют, но 95% этой информации в обезличенном виде и так можно выложить в интернет открыто, через API. Мы начали работать над этим, выдавая данные через API, а для удобства отображаем это в аналитическом инструменте на bi.customs.gov.ua», — отмечает экс-чиновник.