На заседании в Мажилисе, которое было посвящено развитию концепции «Киберщит», глава ЦАРКА напомнил, что к концу 2020 года в рамках киберучений была запущена программа вознаграждения независимых исследователей в области кибербезопасности за найденные уязвимости.
Аналогичные программы, по его словам, есть у мировых компаний: Facebook, Tesla, Uber, Yandex.
Согласно задумке, если пользователь находит в какой-либо системе уязвимость, он может ее легально сдать и получить за это вознаграждение.
Что сделал Казахстан? Казахстан – одна из первых стран, пропилотировавших это на национальном уровне. Один из очень серьезных кейсов: исследователь нашел, что можно получить доступ к системе управления жизнеобеспечением Нур-Султана. Управления водоснабжением, например. И если какие-то хакерские группировки, злоумышленники получили бы к этому доступ и этим воспользовались, то, возможно, в этом году мы были бы во всех сводках новостей о том, что хакеры атаковали столицу Казахстана и отключили ее от воды.Президент ОЮЛ «Центр анализа и расследования кибератак» Олжас Сатиев
Другой успешный кейс, по его словам, когда было найдено порядка 60 уязвимостей на сайте «Электронного правительства».
В свою очередь «Электронное правительство» в лице НИТ пошло другим путем. Если пользователь находит уязвимость, то может отправить информацию и НИТ оперативно устраняет ее, выплатив вознаграждение.
Один из исследователей нашел, что по одному IP-адресу по стандартному паролю можно было получить доступ к КПП одного из объектов, который относился к силовым органам. Тоже довольно критично. Один из кейсов связан с Министерством здравоохранения. Следователь совершенно случайно, получая результаты ПЦР-теста, выяснил, что можно скачать справки порядка 7 млн граждан с одной из лабораторий. При этом есть не такие критичные, как анализ крови, но в данной системе хранятся также данные о ВИЧ-инфицированных, данные о каких-то болезнях, информация относится к медицинской тайне.Олжас Сатиев