Блог Абдрасилова

Продолжение истории В дополнение к предыдущей уязвимости с Face ID в Egov Mobile, имеются серьезные проблемы ИБ на более раннем этапе - при получении ЭЦП в ЦОН-ах. Есть две критические проблемы в ЦОН при получении госуслуг: 1️⃣ При оказании услуг в ЦОН-ах используется биометрия подтверждающая личность получателя госуслуг, в том числе и при получении ЭЦП. Система Face ID тут уже от другого поставщика. Это решение, в отличии от Egov Mobile, сверяется с базой Минюста, но … не делает проверку liveness (технология защиты от мошенничества). То есть достаточно показать в камеру фото или видео человека, например из социальных сетей, и оператор ЦОН получает доступ к любому личному кабинету. 2️⃣ Право модератора в БМГ (база мобильных граждан), в которой указан мобильный номер граждан для второго фактора безопасности и получения доступа к личному кабинету, тоже у оператора ЦОН. Объясню на безобидном примере. Чтобы прописать в любой квартире любого человека, операторы могут менять мобильные номера владельца квартиры и прописываемого в базе на свои, а далее через СМС или личный кабинет дать разрешение на госуслугу. После процедуры вернуть старые номера телефонов. Менее безобидные кейсы можете придумать сами.

Сегодня поговорим о баге в Egov Mobile и почему ИБ надо отделить от цифровизации Все знают, что в мобильном приложении Egov Mobile госуслуги можно получить с помощью Face ID (распознание лица). Но не все знают о том, что при оказании услуг через Face ID, приложение не сравнивает лицо получателя услуг с базой Министерства юстиции, а сверяется с локальной базой лиц в смартфоне. Egov Mobile доверяет KYC (Know Your Client) стороннему сервису. Объясню простым языком. В настройках моего iPhone в разделе Face ID имеется меню «Альтернативный внешний вид». Если добавить туда лицо любого другого человека, он сможет не только получать от моего имени госуслуги, но и подписывать документы через сервис QR подписания посредством Egov Mobile. Для подтверждения, сдал эту уязвимость на Bug Bounty платформу от TSARKA. Теперь это официальная бага №3052 и можно отслеживать когда и как ее исправят. А еще интересно посмотреть, будут ли претензии и отказы по уже подписанным документам, так как доказательств легитимности подписания на стороне eGov нет. Согласно условиям Bug Bounty я не должен раскрывать найденную уязвимость, иначе не смогу получить вознаграждение. Поэтому прошу считать данную публикацию официальным отказом от выплаты, мой интерес исследовательский. А теперь главные вопросы. Почему такое прошло в продакт? Куда смотрело ИБ? Ответ прост. Быстрые победы важнее, а безопасность можно игнорировать пока она в прямом подчинении. P.S. Наша цифровизация как сосиски. Выглядит хорошо, но лучше не знать как сделано.

Президент подписал закон по вопросам связи, цифровизации, улучшения инвестиционного климата Документ, в том числе, вводит запрет на ввоз в Казахстан оборудования для обеспечения функционирования сетей связи, центр управления которыми расположен за пределами страны. К таким сетям относится и StarLink от Илона Маска. Прямо сейчас МЦРИАП реализует пилотный проект обеспечивая интернетом отдаленные школы терминалами StarLink. Я уже писал ранее, что пилот вызвывает множество вопросов о его законности. Тогда, для разъяснения ситуации, МЦРИАП признал, что установка и использование терминалов StarLink незаконна и наказывается штрафом. При этом пообещали в будущем исправить законодательство, чтобы узаконить StarLink. Теперь, чтобы окончательно всех запутать, сделали наоборот - приняли закон запрещающий ввозить не только терминалы, но и другое оборудование StarLink. Действуют против собственного проекта. Сценаристы сериала «Игра престолов» нервно курят в сторонке. Чтобы всех шокировать окончательно, осталось подписать меморандум о взаимопонимании со SpaceX. Как тебе такое, Илон Маск? Теперь главные загадки: 1. Понимая, что длительность пилотных проектов не более одного года, какая будет судьба у купленных Казахстаном нескольких тысяч терминалов StarLink? 2. Школы снова отключат от интернета или проведут другие каналы связи? 3. Пилотные проекты это временные обходы законов и возможны только для госуслуг из реестра (ст.22 Закона о госуслугах). Оказание услуг связи вообще из другой истории и, строго говоря, такое не подлежит пилотированию. Получается, что это обычное нарушение Закона и превышение полномочий?

Экспорт любит тишину 28-29 марта 2024 года в Астане прошел региональный форум МСЭ ООН «ITU Regional Forum on Digital Government». В программе мероприятия своим опытом поделился и Рашад Халигов - Заместитель Председателя Агентства инноваций и цифрового развития Республики Азербайджан. В своем докладе Р.Халигов рассказал о развитии eGov и, в том числе, применяемом методе авторизации и подписания. Инновационным, по общему признанию участников, оказалось использование единого ключа ЭЦП для авторизации и подписания. Через месяц, 30 апреля 2024 года, Казахстан по примеру Азербайджана, изменил формат ЭЦП. В этой истории замечательно все, кроме одного. Забыли поблагодарить или сделать отсылку на азербайджанских коллег при внедрении опыта. Во-первых, потому, что так принято. Во-вторых, мы сами это требуем от стран использующих наш опыт и активно пиарим такое при каждом поводе, и без повода тоже. Свежий пример. В случае с Таджикистаном, излишний пиар отпугнул от развития сотрудничества с Казахстаном. Первое рабочее касание начали пиарить как экспорт нашего eGov и стратегическое партнерство. Это привело к недовольству в таджикском Правительстве и охладило желание работать с любителями хайпа. Медвежья услуга настоящим экспортерам. В итоге не дождавшись, что отдел международного сотрудничества отработает протокол пришлось самостоятельно поблагодарить коллег из Азербайджана во время последней поездки в Баку. Им было приятно, но никакой пиар акции не последовало. Я вижу много крутых, лучше чем у Казахстана, решений в Азербайджане, Кыргызстане и Узбекистане которые нам можно и нужно скопировать. В этом нет ничего плохого. Все готовы делиться опытом, надо просто перенимать и не забывать говорить спасибо публично. И конечно нужно экспортировать свой опыт, но делать это нужно тихо и скромно.

Трудности перевода 30 мая 2024г. в Астане принял участие в мероприятии посвященном вопросам ИИ - Qazaq Forum. Спикеры выступали на казахском и английском (для тех кто не владеет казахским) языках. Поднял там, в том числе, вопрос о правильном переводе. Если перевести «Artificial Intelligence» на русский, а потом снова на английский, получится уже «Artificial Intellect». В английском это два разных понятия, intelligence - набор измеримых через IQ-тест знаний (в данном контексте), а intellect - более ёмкое, неизмеримо и связано с критическим, теоретическим, философским, абстрактным мышлением и осознанием себя. Поэтому страх экспансии человечества «искусственным интеллектом» больше, чем страх от «Artificial Intelligence». Первых пугает искусственная личность - конкурент человека, а вторые понимают из названия, что это инструмент сбора и обработки информации (знаний) - конкурент Google и эволюция OSINT. Как результат, стратегии развития технологии тоже отличаются. Лингво-психология и лингво-экономика на практике. Так вот, хотя в казахском языке достаточная емкость для правильного прямого перевода с английского, за основу взяли российский перевод. Ошибку перенесли и в казахстанский понятийный аппарат. На казахский язык «Artificial intelligence» перевели, через русский, как «Жасанды Интеллект», хотя правильнее перевести с оригинала как «Жасанды ақыл». Мне кажется, при правильном переводе задачи и цели AI более понятны и менее пугающи. Понимаю, что с учетом происходящего, это не так важно. Но мой интеллект заставляет об этом задуматься.

В тему предыдущего поста продолжу рассуждения о данных. Регламентируя Data Driven Government регулятор продолжает политику Technology & Equipment Management, намерено оставляя важное за скобками. Нас фокусируют на технологиях и оборудовании, отвлекая и сохраняя вакуум в регуляции данных. С одной стороны, это делает возможным опасные эксперименты с данными. Один из них - проект Smart Data Ukimet. Имея полный доступ к персданным, минцифры начинает играть в социальный рейтинг и массовый СОРМ. Необходимо срочно вынести проект за юрисдикцию минцифры, а лучше и Премьера - бывшего силовика. Безопаснее и полезнее передать проект в Бюро национальной статистики. С другой стороны, такая политика позволяет регулятору увеличивать и контролировать ИТ-бюджеты. Искусственный интеллект и суперкомпьютер яркие тому примеры. Кстати, начинать создание ИИ без регуляции данных опасно вдвойне. ИИ умеет обучаться, но не умеет обратного - забывать или «де-обучаться». Придется либо «убивать» его, либо мириться с отсутствием механики забвения - цифровой тоталитаризм. В Казахстане технократы превратили слова теоретик и гуманитарий в ругательные. Хотя именно эти люди должны определять границы дозволенного, не давая технократам чрезмерно увлекаться. К тому же, именно гуманитарии в лице писателей-фантастов пишут технические задания для инженеров будущего. Вспомните хотя бы Айзека Азимова. P.S. На видео один из моих любимых спикеров, Александр Аузан - декан факультета экономики МГУ - рассуждает о экономической ценности данных, опасности потери контроля и признаках тоталитарного государства. Риски на которые он указывает, уже реализуются в Казахстане. * Для тех кому интересно, приложу ссылку на полное интервью А.Аузана у А.Соколовского. ** Из рассказов А.Азимова рекомендую почитать цикл «Серия о роботах». Например рассказы «Логика» (1941г.) и «Выход из положения» (1945г.)

Про Закон об ИИ На прошлой неделе подписчик попросил изучить Закон об ИИ и дать точку зрения. Изучил. 1. Цикл хайпа Генеративный ИИ сейчас находится на пике цикла хайпа по Gartner (Рис.1). Регулятор последние годы гнался за хайпом, в результате этот вид технологий удостоился - международного договора, супер ЦОДа, суперкомпьютера, отдельного Закона, статьи в Законе об информатизации и др. Мы пользователи, а не изобретатели. Поэтому логичнее дождаться выхода технологий на плато продуктивности и не вестись на хайп. 2. Непоследовательность Из разработанной МЦРИАП Концепцией развития ИИ, о которой я уже писал, следует, что нам нужны - стратегия, видение, люди, зрелость и этика (Рис.2, 3). Вопреки себе, вместо перечисленного пишут Закон. Одновременно с разработкой Закона об ИИ ведется разработка Цифрового Кодекса, в котором ИИ посвящен отдельный раздел. Соответственно, принятие Кодекса повлечет отмену Закона об ИИ. 3. Разногласия Первая же статья Проекта Закона об ИИ противоречит Закону об информатизации. В ней говорится, что «Искусственный интеллект - система…», должно быть «информационная система». Согласование понятийного аппарата растворит Закон об ИИ. ИИ окажется обычной информационной системой и объектом информатизации. Даже выделение ИИ внутри Закона об информатизации было излишне. 4. Выводы Проект Закона об ИИ не содержит никаких новелл. Он не нужен по той-же причине, по которой не нужны Закон об TCP/IP, Закон об 5G или Закон об StarLink. ИИ - очередная технология. Не надо под каждую технологию писать свой Закон. Законы должны быть вне контекста технологий. 5. Эпилог Если не знаешь причину, причина в деньгах, - говорит народная мудрость. Все идеи крутятся вокруг операторства и прямого финансирования. Все просто и прозаично.

* Забыл отчитаться по NYC Культура съедает стратегию на завтрак Принял участие в работе Комитета ООН в Нью-Йорке как канадский эксперт. При этом был в азербайджанской делегации, но работал в зоне Казахстана. Организаторы отметили Азербайджан, дав высокую оценку моей работе и выразили уверенность в успехе проекта. Наша команда тратит много ресурсов в г.Баку на стратегию, видение, миссию и ценности. Это не просто формальность, они определяют культуру и придают смысл для достижения понятных целей. На стратсессиях, линейному персоналу уделяем больше времени, чем руководству. 60 сотрудников прошедших курс дали больше чем топ-менеджеры. Горизонтальное сотрудничество и благоприятная культура стратегически выгоднее вертикального ручного управления. Уверен, Азербайджан до 2026 года войдет в клуб стран с высшим рейтингом EGDI. * Проект «Central Asia as a Platform» нацелен на развитие и синергию стран ЦА. На наш регион приходится 1% населения Земли и 0,3% экономики. Это значит рост х3 - просто статистика.

Минцифры вышло из подполья, чтобы обсудить проект Цифрового Кодекса Профессиональное сообщество встретило жесткой критикой, а инициатор законопроекта не смог ответить на базовые вопросы: Зачем? и Для чего? Участники отметили, что многочисленные замечания и предложения остались без внимания. Также эксперты указали на явные противоречия с действующими нормами. Настроение 2-х часового совещания можно передать одной из рекомендаций:

«Пользуясь отставкой министра избавьтесь от его амбре - наследия в виде бесполезного Цифрового Кодекса».

Уверенность вице-министра А.Жамбакина в том, что документ к сентябрю будет готов к обсуждениям в Мажилисе никто не разделил, назвав поход с таким проектом самоубийством. Весь спектр интеллектуального юмора и сарказма экспертов сложно передать, но вице выдержал позор. Или просто не понял. От себя добавил, что Кодекс был отозван из НПП Атамекен, членом ИТ-Комитета которого я являюсь. Получил ответ, что мнение НПП и рынка носит лишь характер рекомендации и не будет учитываться.