От кода к коду
Юлия Степанова о балансе между правдой и безопасностью
Иногда журналисты кажутся просто волшебниками: стоит только взглянуть в сторону проблемы, как она вдруг исчезает. Если где-то была дыра в безопасности или открытый сервер, они закрываются, и доказать существование недочета порой может только вовремя сделанный скриншот. Казалось, так и произошло с новостью об утечке исходного кода портала госуслуг (см. “Ъ” от 27 декабря) — выяснилось, что он хорошо защищен и остается тайной.
Но история имела продолжение. 28 декабря обнаруживший утечку специалист по кибербезопасности Владислав Хорохорин связался с “Ъ” и заверил: заявления Минцифры о том, что проверка инфраструктуры электронного правительства не выявила несанкционированного доступа к исходным кодам портала госуслуг, «не соответствуют действительности». Министерство накануне комментировало, что исходный код регионального портала пензенских госуслуг, который оказался в открытом доступе, не соответствует коду федерального, поэтому не повлияет на его безопасность.
Федеральные и региональные подразделения используют одинаковую кодовую базу примерно на 70%, утверждает Владислав Хорохорин. По его словам, утечка произошла через сайт Фонда реновации департамента строительства города Москвы fr.mos.ru, который использовал совместный с пензенским подразделением госуслуг репозиторий (хранилище). «В том же репозитории находился код других правительственных ресурсов»,— говорит господин Хорохорин.
Возникает вопрос, кому верить: обнаружившим утечку экспертам или Минцифры? Причем министерство не просто опровергло данные, а воспользовалось излюбленным способом отработки кризисных ситуаций, а именно: разослало свою версию событий в другие СМИ, прежде чем ответить на запрос “Ъ”. Схему практикуют многие организации и ведомства, которым невыгодна публикация новости: например, после заметки “Ъ” об атаках, предположительно, северокорейских хакеров Kimsuky (см. “Ъ” от 23 ноября) в редакцию обратились представители посольства Северной Кореи и заявили, что опровержение этой информации уже опубликовано на новостных лентах от лица одного из экспертов.
Впрочем, в случае с утечкой исходного кода госуслуг было бы странно, если бы Минцифры признало проблему, и дело тут не в особенностях российского менталитета, традиционно не доверяющего властям. Возможно, министерство следует принципу «не навреди» — ключевому не только для врачей, но и для специалистов по информбезопасности. Ведь хуже новости о том, что данные федерального портала под угрозой, может быть только официальное признание проблемы, которое привлечет к ней внимание злоумышленников и вызовет панику и возмущение пользователей.