Недавно в Украине был скандал с утечкой личных данных пользователей: Telegram-боты продавали паспорта, прописки, ИНН и прочие данные украинцев.
Это не единственная утечка чувствительных данных, в украинском интернете уже давно продаются данные местной таможни: кто, чего, и сколько ввозит и вывозит из страны. Такие данные стоят от $100 до $400. IT-служба таможни недавно зафиксировала эту проблему во время аудита и попыталась закрыть дыру в безопасности, но пока не преуспела.
AIN.UA рассказывает, как таможенные базы оказались в онлайне, и как эту проблему пытались решить.
Что за базы продают?
В украинском интернете есть много предложений с данными по экспорту и импорту из Украины. Как редакции AIN.UA рассказал анонимный источник, знакомый с ситуацией, фактически — это слитые старые и новые внутренние базы данных самой таможни. Иногда они структурированы, с отфильтрованной информацией и визуализацией, иногда — оригинальные Excel-таблицы.
Примеры таких сайтов: 1, 2, 3, 4. Часто здесь предлагают скачать пример с данными. Или даже выкладывают демо-видео работы сервиса.
В таких таблицах содержатся все данные об операциях, которые совершаются на таможенной границе Украины. Здесь есть названия компаний, их ЕГРПОУ, даты принятия и оформления товара, реквизиты отправителей, стоимость товара и курс доллара на тот момент.
Вот пример таблицы с такими данными (приводим только названия колонок):
Стоит такая информация по-разному. Часто цены на сайтах не указывают: их сообщат, когда пользователь свяжется с продавцом и оставит данные.
Пример переписки журналиста с поддержкой одного из сервисов. Это — цена за базу данных таможни за 2019 год:
На некоторых сайтах можно оформить подписку (начиная от $15 в месяц). Можно единоразово качать таблицы: такая услуга может стоить от $100 и выше.
Почему так произошло?
В октябре 2019 года в Украине создали рабочую группу, которая должна была провести аудит IT-систем, которые используются на таможне. В ходе аудита проверялись две системы, которые использует таможенная служба:
- «Инспектор» (ранее называлась «Инспектор 2006»), с помощью которой проводят таможенное оформление;
- ЕАИС (Единая автоматизированная информационная система), которая обеспечивает другие функции (например, транзит).
Согласно документам, составленным в результате аудита, те процессы и IT-системы, которые используются сейчас, недостаточно защищены.
Редакция AIN.UA пообщалась с источником, знакомым с технической стороной ситуации. По его словам, программа «Инспектор» — устаревшая и плохо защищена от подобного рода утечек:
«Это — система старого образца, обычная десктопная версия, которая синхронизирует данные имейлом с центральной базой. И каждый человек, у которого она стоит, несложными манипуляциями может получить полный доступ ко всем базам данных. Через эти системы ведется учет абсолютно всех операций, которые проходят на таможенной границе Украины, в том числе, и по “оборонке”».
По его словам, узнать, кто именно отвечает за “сливы”, сложно, потому что эти системы не имеют полноценного логирования: узнать, кто конкретно и когда получал доступ к данным, никак. Технической документации по ней тоже нет. А каждый день в этих системах работают 2000-3000 сотрудников таможни.
Эту проблему подтвердил и экс-глава таможенной службы Максим Нефьодов. Он рассказал AIN.UA, что в ходе аудита, который инициировала его команда, стало понятно, откуда эти базы берутся в продаже. Он также отметил, что весь процесс аудита и модернизации саботировался внутри таможни.
«Архитектурно система построена не на нормальной микросервисной архитектуре и является большой монолитной системой. Она построена по схеме, когда клиент общается с базой данных напрямую через сохраненные процедуры: у кого есть доступ к клиенту, у того есть доступ к базе данных. В ней присутствуют локальные территориальные базы данных, что накладывает свои риски и технические особенности. Соответственно, получить оттуда информацию — очень легко», — рассказал Нефьодов.
Эти системы «Инспектор» и ЕАИС также не сертифицированы в Госспецсвязи, иными словами — не имеют государственного подтверждения своей безопасности (хотя программы, которые используют украинские госорганы, особенно программы, которые работают с личными данными граждан, должны проходить сертификацию КСЗИ).
На запрос AIN.UA в Госспецсвязи подтвердили, что эти системы не проходили сертификацию:
Как это можно исправить?
По словам Нефьодова, проблема с утечками таможенной информации не решается поиском, кто конкретно “скачал базу на флешку”. Один из способов решения: обновление IT-инфраструктуры таможни или публикация этих же данных, но в обезличенном виде:
«Этой информацией торгуют, но 95% этой информации в обезличенном виде и так можно выложить в интернет открыто, через API. Мы начали работать над этим, выдавая данные через API, а для удобства отображаем это в аналитическом инструменте на bi.customs.gov.ua», — отмечает экс-чиновник.