Код в сапогах: как предотвратить утечки информации о военных разработках
Сотрудник российской компании, занимающейся разработкой БПЛА, задержан за попытку слива конфиденциальных данных о предприятии. Утечку в этот раз удалось предотвратить. Подробности — в материале «Известий».
Сделал публичным достоянием
Программист компании «Кронштадт» задержан по подозрению в разглашении секретных сведений. СМИ сообщали, что 36-летний мужчина выложил часть кода, относящегося к информации о критической инфраструктуре РФ, и что расследование проводится по соответствующей статье Уголовного кодекса (ч. 4 ст. 274.1). «Известия» уточнили информацию.
— Бывший сетевой инженер компании «Кронштадт» действительно осуществлял распространение сведений конфиденциального характера, находясь при исполнении должностных обязанностей. На сайт github.com он выкладывал составляющие коммерческую тайну персональные и технические учетные записи, а также действующие пароли к ним. В этой связи было возбуждено уголовное дело по ч. 2 ст. 183 УК РФ («Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну»), — сообщили «Известиям» в пресс-службе компании. В организации особенно отметили, что правонарушение было своевременно выявлено службой безопасности, а утечка сведений, составляющих коммерческую тайну, была предотвращена.
Группа «Кронштадт» — одна из ведущих компаний России в области беспилотной техники, занимается разработкой и эксплуатацией комплексов БПЛА более 10 лет, производством иного бортового и наземного оборудования — более 25 лет. Один из последних проектов компании — разведывательный БПЛА большой продолжительности полета «Орион». Заявлено, что единственный в своем роде проект подходит для выполнения задач военного и гражданского назначения. Также компания работает над разработкой разведывательного дрона «Сириус» и тяжелого БПЛА «Гром».
Умысел или неосторожность
Подобные случаи происходят достаточно регулярно, говорит эксперт центра аналитики внешних цифровых рисков Solar AURA, ГК «Солар» Александр Вураско. Однако, по его словам, значительная часть утечек кода происходит не злонамеренно, а из-за того, что разработчики либо неправильно настраивают права доступа к гитам, находящимся на публичных сервисах типа GitHub, либо по ошибке синхронизируют репозиторий со своим публичным аккаунтом на GitHub.
— Но бывает и так, что программисты сознательно используют фрагменты кода, создаваемого в интересах работодателя, в сторонних публичных проектах. За прошедшие с момента запуска сервиса Solar AURA полгода мы выявили более 2,2 тыс. случаев попадания в публичные репозитории фрагментов программного кода, несущего угрозы для российских организаций, — отметил Александр Вураско.
Помимо утечек проприетарного кода организаций, в последнее время участились случаи публикации на GitHub и иных подобных площадках вредоносных скриптов, предназначенных для атак на информационную инфраструктуру российских предприятий, говорит Вураско.
— В тексте данных скриптов зачастую присутствуют домены и адреса серверов российских компаний и органов государственной власти. То есть их даже не требуется конфигурировать, они сразу готовы к использованию. Подобные инструменты крайне популярны в среде хактивистов, так как позволяют осуществлять, скажем, DDoS-атаки силами большого количества не имеющих специальных технических познаний пользователей, — пояснил собеседник.
По мнению эксперта, не стоит отбрасывать и проблему внедрения злонамеренных закладок в open-source-проектах, используемых для разработок.
Правовая близорукость
— Первичная проблема в том, что программист часто не понимает, что данные (конфиденциальные они или нет) ему не принадлежат, — говорит адвокат Олег Бекасов. — Даже если он их создал, он создал их как исполнитель или работник. Соответственно, и права распоряжения данными у него нет.
Некоторые считают возможным тайно переместить информацию или данные без всяких на то правовых оснований, констатирует собеседник «Известий». Между тем порядок работы со служебными сведениями должен быть определен внутренними локальными актами организации.
— Неуполномоченное перемещение информации или данных, если они принадлежат другому физическому или юридическому лицу, а уж тем более если это охраняемая законом тайна (государственная, банковская, налоговая, медицинская, адвокатская, коммерческая и др.), — неправомерно, — говорит адвокат Бекасов. — Факт перемещения без надлежащих полномочий данных на серверы или хранилища, расположенные за пределами РФ, может только усугубить ситуацию.
Умысел доказан
Пока мотивы, которыми руководствовался подозреваемый, публике неизвестны. В то же время в России уже есть судебная практика по делам в отношении лиц, передававших секретную информацию иностранным спецслужбам, в частности украинским.
В Омской области в июне силовики задержали бывшего сотрудника оборонного предприятия, который передавал секретные сведения спецслужбам Германии.
В мае сотрудниками ФСБ за шпионаж был задержан инженер-конструктор оборонного предприятия в Ростове-на-Дону. «По полученным данным в период с февраля по апрель 2023 года этот гражданин России в ходе переписки в интернет-мессенджерах с сотрудником ГУР МО Украины выполнял его задания, а также инициативно передавал информацию о расположении предприятий ОПК, а также средств ПВО и личного состава ВС РФ, размещенных на территории г. Ростова-на-Дону», — говорится в официальном сообщении спецслужбы. Он обвинен в госизмене.
Примерно в это же время вступил в силу приговор суда в отношении гражданина Украины Андрея Петкевича, он искал и вербовал россиян из числа сотрудников предприятий, работающих на силовые ведомства. Суд назначил мужчине в качестве наказания 16 лет колонии строгого режима. Этот случай наглядно говорит о том, что персонал высокотехнологичных предприятий, работающий на оборону страны, представляет существенный интерес для разведок недружественных стран.
Работать автономно
Безопасная и конфиденциальная работа на предприятиях подразумевает использование для управления разработкой исключительно внутренних гитов, тем более если речь идет о таких чувствительных секторах, как госуправление, оборонная промышленность, говорит Александр Вураско. Еще один вектор обеспечения защиты — профилактика.
— Она подразумевает регулярный мониторинг публичных площадок на предмет обнаружения фрагментов закрытого кода, который в силу каких-либо причин оказался в общем доступе, — говорит эксперт Вураско. — Опыт Solar AURA показывает, что такая работа может вестись весьма эффективно и приносить свои плоды.
