Какую информацию будет собирать госкомпания по принципу "закона Яровой"
Скандал с использованием программного комплекса Pegasus израильской компании NSO GroupTechnologies Ltd для слежки за президентом Казахстана Касым-Жомартом ТОКАЕВЫМ, премьер-министром Аскаром МАМИНЫМ, акимом Алматы Бакытжаном САГИНТАЕВЫМ и порядка 2 тысяч абонентов из Казахстана, среди которых фигурируют имена журналистов, оппозиционеров и общественных деятелей, только разгорается.
Названы лишь несколько имён и пока не известно главное - кто был заказчиком сбора цифровой информации и в каком объёме она собиралась.
А пока все запасаются попкорном в ожидании громких разоблачений по Pegasus, АО "Казтелерадио" совершенно спокойно разместило на сайте госзакупок объявление о покупке системы оперативно-розыскных мероприятий (СОРМ) за 32 млн тенге. Приём заявок на конкурс от потенциальных поставщиков начнётся 30 июля 2021.
Для тех, кто не знает, акционерное общество "Казтелерадио" — национальный оператор в области телерадиовещания Республики Казахстан, обеспечивающий население республики приемом программ телевидения и радиовещания по эфирным и спутниковым сетям.
Оно занимается внедрением цифрового эфирного телевидения, которое входит в государственную программу "Цифровой Казахстан" как один из элементов развития цифрового пространства республики и обеспечения возможности равноправного доступа населению страны к информации, в том числе к государственным услугам и информационным ресурсам отечественного телерадиовещания.
Что такое система оперативно-розыскных мероприятий или СОРМ, думаем, особо рассказывать не нужно. Это сбор информации о человеке, в большинстве случаев проводимый без его ведома. Удивительно, что Казтелерадио не заморачивается и выставило полную техспецификацию о закупке СОРМ в открытый доступ.
"Установка на сети АО "Казтелерадио" аппаратно-программного комплекса (далее АПК) Системы оперативно-розыскных мероприятий, а также сбора и хранения служебной информации об абонентах (далее СИА), отвечающей требованиям Технического регламента "Общие требования к телекоммуникационному оборудованию по обеспечению проведения оперативно-розыскных мероприятий, сбора и хранения служебной информации об абонентах", утвержденный приказом Председателя КНБ РК №91 от 20 декабря 2016 г. (далее ТР91) и СТ РК 2267- 2012 "Средства телекоммуникационного оборудования для обеспечения проведения оперативно-розыскных мероприятий", - указано в документации к конкурсу.
Приказ председателя КНБ РК№91 и СТ РК 2267- 2012 – это своего рода аналог российского "закона Яровой", который обязывает собирать и хранить всю информацию об абонентах на всех сетях коммуникаций. А уж как будет использоваться эта информация и для достижения каких целей – отдельная история.
Кстати, владеть собранной информацией будет не только Казтелерадио.
В техспецификации прописано следующее: "Взаимодействие с сетью АО "Казтелерадио" осуществляется через FTP-сервер,организованный на стороне поставщика. На указанном FTP-сервере для СИА организуется отдельная папка, куда выгружаются файлы, содержащие абонентскую базу АО "Казтелерадио", а также файлы CDR коммутационных систем. Полнота и своевременность выгрузки данных является зоной ответственности АО "Казтелерадио".
То есть поставщик, который одержит победу в конкурсе, тоже будет иметь доступ к информации по абонентам. Но самое интересное, что Казтелерадио не скрывает, какую информацию оно будет собирать об абонентах.
"АПК должен самостоятельно учитывать изменения в данных и сохранять исторические данные в системе.
Формат полей с датой: dd.mm.yyyy
Порядок полей данных абонента:
'ID абонента' |
'Фамилия' |
'Имя' |
'Отчество' |
'ИИН' |
'Дата рождения' |
'страна' |
'область, регион' |
'город' | 'район города' |
'улица' |'дом' | 'квартира' |
'Тип документа' |
'Номер документа' |
'Дата выдачи документа' |
'Дата истечения документа' |
'Орган выдачи документа' |
'Email'
Пример строки csv: 12345 | Иванов | Иван | Иванович | 123456789009 | 12.11.1981 | Казахстан | ~ | Алматы | Алмалинский | ул.Абая | д.43||2. | кв.3 | Удостоверение | 09283188890 | 23.10.2012 | 23.10.2022 | МЮ РК | test@test.kz».
Разумеется, будет собираться информация и о времени заключения договора и всех телефонах абонента.
Также отдельные файлы должны содержать все необходимые данные, описанные в стандарте СТ РК 2267-2012 и обеспечивать сбор сведений о соединениях абонентов в сетях телефонной связи: "Для осуществления сбора голосовых данных будет реализован медный канал связи поставщиком по протоколу tcp/ip с выделением внутреннего ip из сети АО "Казтелерадио" с маршрутизацией по всей сети АО "Казтелерадио". Также будет организовано отдельное соединение поставщиком по SPAN/RSPAN c трех точек зеркалирования на коммутаторе Cisco 2960 находящийся в центральном аппарате АО "Казтелерадио".
Кроме того, поставщик должен будет "сопровождать проведение опытной эксплуатации, устранять замечания уполномоченного органа и довести систему до приемки ее в эксплуатацию КНБ РК". Также он несёт ответственность за сопряжение предложенного решения с действующим оборудованием КНБ РК.
Кстати, если кто-то наивно полагает, что с помощью Pegasus и прочих приложений-шпионов некто без проблем отслеживает смартфоны чиновников высшего звена, это не совсем так. Специалисты службы безопасности постоянно занимаются выявлением таких приложений на всей электронике, используемой руководством Казахстана.
Кстати, РГП "Инженерно-технический центр Управления Делами Президента Республики Казахстан" в настоящее время также проводит конкурс на закупку программного комплекса для системы анализа исходных кодов. На эти цели выделено 55,5 млн тенге.
Вот что указано в техспецификации к закупаемому программному комплексу: "Система должна позволять эффективно выявлять уязвимости и недекларированные возможности и подсвечивать их в коде; осуществлять статический анализ исходного кода, и исполняемых файлов (бинарного кода) без файла debuginfo. Система должна позволять выявлять уязвимости не только в сканируемом коде, но и в компонентах на основе свободного ПО и сторонних библиотек; позволять выявить недекларированные возможности в исходном коду по наличию одной из характерных базовых конструкций: прописанных учетных записей, скрытой сетевой активности, временных бомб и т.д."
Анализ должен поддерживаться абсолютно для всех приложений, написанных на популярных языках программирования или скомпилированных в различных форматах исполняемых файлов, в том числе для Google Android, AppleiOS и Apple macOS. То есть, по сути, всего того, что имеется на современных смартфонах. Кроме этого "система должна предоставлять рекомендации для специалистов информационной безопасности, содержащие детальные описания найденных уязвимостей и НДВ, включая способы их реализации".
Так что проблемой противодействия сбору информации в государственных органах озабочены на самом высшем уровне. Точно также, как и сбором аналогичной информации обо всех абонентах Казтелерадио.
Фото: Ⓒ AP /Danlella Cheslov.
