Басты  /  Сұхбат  /  Ерлан ОСПАН, IT маманы: Отандық сайттар – хакерлердің машықтану алаңы

Ерлан ОСПАН, IT маманы: Отандық сайттар – хакерлердің машықтану алаңы

3333
Ерлан ОСПАН, IT маманы: Отандық сайттар –  хакерлердің машықтану алаңы Жақында Алматыда өткен Internet Avenue атты Халықаралық интернет-форумда жағымсыз жәйттердің басы ашылды.

 Қазақстан интернет қауымдастығының президенті Ш.Сабировтің мәліметінше, Қазақстан әлем бойынша кибер шабуылдарға жиі душар болатын бірден-бір мемлекет екен. Сорақысы, кибер шабуылдардың кесірінен қазақстандық қолданушылар 80 доллардан астам қаржыны жоғалтатын көрінеді. Ал мемлекеттік деңгейдегі зиян мен ақпараттық қауіпсіздікке келтірілетін залал көлемін өлшеу қиын. Біз еліміздің неліктен киберқылмыскерлердің назарына ерекше ілігіп отырғанын сұрау үшін танымал IT маманы Ерлан Оспанды әңгімеге тартқан едік.

– Ерлан, сізге бұл елді алаңдатарлық статистика таныс па? 
– Иә, мен бұл статистикамен таныс­пын. Бірақ шынымды айтсам, неліктен елі­міздің көштің соңы боп тұрғанын түсін­бе­дім. Статистиканың методикасы көрсе­тілмегесін, бұл жайында бірдеңе деу қиын. Бұл қандай қауіптер? DdoS-шабуыл ма? Пошта жәшігін барымталау ма? Фишинг пе? Сон­дықтан кері жору әдісіне сүйеніп, «жер шары­ның анау шетіндегі бұзық болсам, шабуылдау үшін неге Қазақстанды таңдар едім?» деген сұраққа жауап беріп көрейін.
Біріншіден, қазақстандық сайттар кө­біне «сайтты жасадым-тапсырдым-бітті» деген схемамен жасалады. Сайт иесіне тап­сырылып, сақал сипалып, сауда аяқталады. Ал сайт – шындап кел­генде, әр мезет сайын жүздеген мың про­цестер жүріп жататын тірі жүйе. Оған үнемі бақылау керек. Енді қа­ра­ңыз: кәсіби форумдарда «осындай кодта осындай қате бар, хакерге сара жол екен, сайттарыңыздың кодын жа­ңартыңыздар!» деген хабарландыру шығады. Ал сайттың кодын кім жа­ңартады? Әрине, оны жасаған адам, ар­хитектурасын бес саусақтай білетін маман жаңартады. Бірақ айтып өт­ке­німдей, бізде сайтқа дайын автокөлік сияқты аяқталған өнім ретінде қарау әдетке айналған. Осы күні «сайты­ңыздың қауіпсіздігіне жауап берейін, айына 20 (жиырма) мың теңге беріп тұрсаңыз болады» деңізші. Сізге жынды кісіге қарағандай қарайды. Ендеше, қазақстандық сайттар – түрлі алаяқ­тар­ға, оның ішінде, хакерлік роман­тикаға бе­рілген адамдар үшін машық­тануға та­маша алаң. Бұл өзі сонша қорқынышты нәрсе де емес. Алпауыт елдер бір-бірі­не тыңшы жіберер ал­дында оларды әуелі Финляндия, Гол­ландия, Швей­цария, Австрия сияқты әлсіз не саяси салмағы жоқ елдерге жі­беріп, ысып алады екен. Біз де сондай алаң боп тұр­мыз ғой. Миллиондаған сканерлер қа­зақстандық сайттарды қа­зір де түртіп жатқан болар. Бірақ сайтта оған мони­торинг жасап отыратын, ал­дын алу ша­раларын ұйымдастыратын адамдар жоқтың қасы. Әрі кеткенде, құлаған сайттың кешегі көшірмесін қоя салады. Бұл пассивті қауіпсіздік шарасы боп есептеледі, еш пайда жоқ. Анау басбұзар бұзған жеріне қайта дәнігеді. Осылай жүріп жатырмыз.
Екіншіден, пираттық операциялық жүйелер мен программалардың шама­дан тыс кең таралуы. Қазір кез келген жасөспірім «ол киноңды көріп таста­ғанмын» дейді. Қазір кез келген про­граммист ресми түрде ондаған, жүз­деген мың теңгеге сатып алуға тиіс про­­грамманы 5 мың теңгеге орнатып береді. Бұл қадағалауға келмейтін тұр­мыстық, пираттық індет боп тұр. Түрлі залалды кодтар компьютерге солай ене­ді. Жәй, «рақметіңіз» үшін бірнеше гигабайт программаны көз майын тауысып «сындырып», көшіруге қоя салғаны еліктіреді. Бірақ олар ақкө­ңілдіктен сүйтеді десеңіздер, қателе­се­сіздер. Міндетті түрде залалды код са­лып жібереді. Сіз ештеңе білмей, про­грамманы, операциялық жүйені арзан­ға орнаттым деп, масаттанып жұмыс істей бересіз. Дәл сол уақытта компью­теріңіз біреулердің сайтының қол­да­нушылар санын арттырып жатады. Дәл сол уақытта компьютеріңізде кейлог­-гер вирустар өзінің қожайынына ас­тыр­тын әдіспен әрбір басқан мәтініңіз­ді жіберіп жатады. Сіз поштаңызға кірдіңіз, банк картасының кодын тер­діңіз – мұның барлығы компьютері­ңіздің белгісіз «екінші қожайынына» жіберіліп жатады. Осы жерде бір қызық жәйт бар. Кредит картасының нөмірін ұрлатып, ақшасынан қағылғандар мен пошта жәшігінен айырылғандар поли­ция­ға жүгіреді. Оларға «сіз өз еркіңіз­бен заңсыз программа пайдаланып­сыз, ренжімеңіз» деп басу айтсаңыз, өзін емес, бүкіл жүйені қарғап-сілейді. Тіпті антивирустың өзін пираттық сайт­тардан алатын адамдар туралы не деуге болады? Тоқетері, тұрмыстық пират­-тық бағдарламалар нағыз індет боп тұр. 
Үшіншіден, қарақан бастың қамын үкіметке «аутсорсингке» беріп қою. Кешіріңіз, бірақ мұндай жәйт басқа ешбір елде жоқ. Егер орманнан бұрын ғылымға белгісіз жемісті тауып алып, оны жеп көріп, өліп кетсеңіз, мұнда үкіметтің, құқық қорғаушылардың кінәсі жоқ. Егер «Елизавета пат­ша­йымның өзі батасын берген Король банкінен» несие алуға өз еркіңізбен ақша апарып берсеңіз, үкіметтің, құқық қорғаушылардың кінәсі жоқ. Ком­пьютер де солай. Түрлі келісімшарт­тар мен ескертулерді тәрк етіп, белгілі банктің белгісіз көшірмесіне кредит картаңыздың нөмірін терсеңіз, кеші­рі­ңіз, үкіметті тағы кінәлай алмайсыз. Ендеше, тағы бір фактор – қамсыздық. Ол қамсыздыққа «неғылған батпан құйрық» деп күдіктенбей, айдалада жатқан құйрықты көтере салатын, ар­занның сорпасы татымайтынын естен шығарып ала беретін көрсеқызарлықты қосыңыз. Осымен, киберқыл­мыскер­лердің қызығуының басты үш себебін айттым деп ойлаймын, олар: сайтқа қатысты минимум техникалық талап­-тар үшін қаржы бөлмеу, не тіпті ондай мәселе барын білмеу; пираттық про­грамманы қолдану мен кәдімгі дүние­қоңыздық. 
– Мұндай шабуылдарды болдыр­мас үшін қарапайым қолданушы қа­лай сақтана алады?
– Біріншіден, толықтай лицензия­-лы программаларды пайдалану керек. Екіншіден, антивирустық қауіпсіздік­ті қадағалап отыру, жылт еткен ес­керт­пелерді жаба салмай, оқу, мән беру қа­жет. Үшіншіден, дербес компьютерге немесе гаджетке интимді дүние ретін­-де қарау, мейлінше тек бір адамның мен­шігінде болғаны дұрыс. Үшіншіден, жеке мәдениетті қалыптастыру, дү­ние­де ештеңенің ғайыптан пайда болып, ғайыпқа жоқ боп кететінін пәлсапалық тұрғыдан қабылдау. Яки тегін нәрсе – болмаған, болмайды да. Төртіншіден, жұмыс пен жеке қолданыста түрлі ак­каунттар пайдалану. Бесіншіден, әлеу­меттік желілер мен пошталардың қа­уіпсіздігі үшін дұшпаның түгілі досың білмейтін телефон нөмірін қолдану. Алтыншыдан, тіркелуді талап ететін жүйелердегі жеке бас құпиясын сақтау саясатын оқу және онымен саналы түрде келісу немесе келіспеу. Осы прак­тикалық алты ұстаным кесапаттың 95 пайызының алдын алатынына се­німдімін. Себебі қатардағы қолдану­шыларды шабуылдауға техникалық және интеллектуалдық күшті топтар мүдделі деп ойламаймын. Арнайы ша­буылдар ірі саяси, экономикалық се­бептермен ұйымдастырылады. Ал одан қорғану – мемлекеттің құзырын­дағы іс.
– Ақпараттық қауіпсіздікті ұлттық деңгейде сақтау үшін не істеу керек? 
– Егер БАҚ саласындағы қауіпсіз­-дік емес, жалпы, қолданушылардың қауіпсіздігі туралы айтып тұрсаңыз, бұл мүмкін емес. Жалпы, шекаралар тек біз­дің санамызда ғана ғой. Жер ана о баста шекараларға бөлініп жаралса, о баста демаркациялық сызықтары­мен жаралар еді ғой, жер дауы деген бәле атымен болмас еді. Сол сияқты интернетте әлденені ұлттық деңгейде қорғау, сақтау мүмкін емес. Ақпарат­-тық қауіпсіздік тек жекеленген жауап­кершілікте болады. Ұлттық деңгейде сақ­таудың бір жолы – қауіпсіздік бо­йынша жеке адамдардың сауатын арт­тыру. Әйтеуір, мемлекеттің зайырлы формасында ұлттық деңгейдегі ақпа­рат­тық қауіпсіздіктің мүмкін емес екені риторикалық қорытынды. Біз – жа­һанның бөлігіміз. Осыған орай біз қа­шанда қандайда бір тәуекелдердің ал­дында үнемі тұрамыз.
– Әңгімеңізге рақмет! 

Әңгімелескен Кәмшат ТАСБОЛАТ