e-Government без страха и упрека
По пути концентрации информационных ресурсов в виртуальном облачном пространстве в ИТ движется все, включая электронные госуслуги»
В рамках VI Петербургского международного инновационного форума, состоявшегося в начале октября в городе на Неве, Комитет по информатизации и связи Санкт-Петербурга совместно с журналом IT Manager провел круглый стол, посвященный информационной безопасности. На этот раз темой для дискуссии экспертов в области защиты информации стала безопасность использования государственных электронных услуг.
Открывая круглый стол, Иван Громов, председатель Комитета по информатизации и связи Санкт-Петербурга, особо подчеркнул важность избранной для дискуссии темы. «Переоценить значимость структурных изменений в ИТ-отрасли с точки зрения информационной безопасности крайне сложно. Основной тренд развития отрасли — облачные технологии. По пути концентрации информационных ресурсов в виртуальном облачном пространстве в ИТ движется все, включая электронные госуслуги», — подчеркнул председатель Комитета. По его словам, централизованное хранение данных в облаках и доступ к ним неизбежно выводит на первый план вопросы защиты информации.
В свою очередь Юрий Шойдин, председатель комитета по информационной безопасности Российского союза ИТ-директоров уточнил, что, по его опыту, во многих в российских организациях на ИТ выделяется не более 2–3% годового бюджета, при этом безопасность как направление испытывает острую нехватку ресурсов. По мнению Юрия Шойдина, чрезвычайно важно отдавать себе отчет в том, что без использования соответствующих средств обеспечить надежную защиту информации невозможно.
Болевые точки
О ключевых проблемах и трудностях, характерных для текущего этапа развития электронных госуслуг, в своем выступлении на круглом столе рассказал Алексей Сабанов, заместитель генерального директора компании «Аладдин Р.Д.», член экспертного совета по вопросам совершенствования электронного документооборота в органах государственной власти при Министерстве связи и массовых коммуникаций РФ. Он подчеркнул, что, поскольку государственные услуги в электронном виде интенсивно развиваются, неизбежно возникают вопросы доверия к участникам электронного взаимодействия, а также появляется реальная необходимость придания электронным документам юридической силы наравне с бумажными. К наиболее актуальным задачам безопасности в сфере электронных госуслуг Алексей Сабанов относит повышение достоверности идентификации и аутентификации сторон при электронном взаимодействии, развитие практики применения электронной подписи, обеспечение юридической силы электронному документу. Для этого необходимо формирование единого пространства доверия (ЕПД) при электронном взаимодействии в качестве основы доверия как к электронной подписи, так и к электронным документам для обеспечения их юридической силы. Для создания ЕПД технологии и готовые решения имеются, необходимо создание нормативно-правовой базы и осуществление ряда организационных мер.
«К сожалению, в российской нормативной базе нет документов, которые отражали бы реальное положение вещей и были привязаны к конкретным технологиям информационной безопасности, используемым на рынке. Между тем, таких технологий довольно много, и все они обеспечивают разный уровень защиты. Кроме того, в разных нормативных документах существуют разные определения, что способствует путанице и разночтениям», — поделился своим мнением Алексей Сабанов. Также, по его словам, есть проблема частой смены ответственных лиц. Еще год назад в «Ростелекоме», который пока еще сохраняет статус единственного исполнителя работ по дальнейшему созданию и развитию элементов инфраструктуры и систем электронного правительства РФ, был специальный сотрудник, отвечавший за безопасность электронных госуслуг. «Кто конкретно сейчас курирует данное направление — неизвестно. За безопасность каждой ГИС (государственная информационная система) должно отвечать конкретное лицо, в противном случае за проблемы никто не несет ответственности, и не с кого спросить», — убежден Алексей Сабанов.
Электронные госуслуги на практике
Начальник отдела проектирования и развития государственных электронных услуг Санкт-Петербургского информационно-аналитического центра Дмитрий Налбандян рассказал о реализации электронного правительства в Северной столице. По его словам, на текущий момент в городе на Неве уже работает 33 стационарных и 3 мобильных Многофункциональных центра предоставления государственных и муниципальных услуг (МФЦ), в которых граждане могут получать госуслуги, в том числе в электронной форме, по принципу «одного окна» (то есть в рамках однократного обращения за предоставлением госуслуг). Кроме того, функционирует городской портал электронных госуслуг, и на его базе реализована электронная приемная граждан. Также все ведомства города подключены к системе межведомственного электронного взаимодействия, предусматривающей обмен документами между различными ведомствами исключительно в электронной форме. Во всех МФЦ и некоторых городских объектах установлены электронные терминалы для доступа к госуслугам, а для некоторых услуг созданы мобильные приложения. «Мы стремимся к максимальному отказу от личного участия человека в процессе предоставления госуслуг», — подчеркнул Дмитрий Налбандян.
Стой, кто идет?
Владимир Колосов, начальник управления защиты информации и информационной безопасности Санкт-Петербургского информационно-аналитического центра, отметил, что в процессе осуществления проекта всплывают и очевидные трудности. Основная проблема текущего этапа развития электронных госуслуг заключается в невозможности дать ответы на все запросы, в электронном виде направленными гражданами, — через портал госуслуг. Причина заключается в аутентификации и идентификации заявителя — в настоящий момент данные аспекты реализованы недостаточно надежно. «При обращении гражданина через портал мы не можем достоверно утверждать, кто именно обращается за госуслугой. Проекты УЭК и карты электронного правительства направленые именно на решение этой проблемы, к сожалению не дают ощутимого эффекта», — констатирует Владимир Колосов. Он также отмечает, что многие пользователи заинтересованы, прежде всего, в мобильных версиях сервисов. Однако «мобилизация» госуслуг развивается крайне медленно, в первую очередь из-за того, что инфраструктуры электронного правительства к этому попросту не готовы. Тем не менее, по оценке Владимира Колосова, в настоящий момент запросы, направленные в электронные госуслуги через открытые интернет-каналы, практически безопасны, поскольку не предполагают передачу персональных данных. Однако лучший способ воспользоваться такими услугами в полной мере — обратиться в МФЦ.
На порталах большинства ведомств, оказывающих электронные услуги, для доступа граждан к сервисам предусмотрена простая аутентификация посредством многоразового пароля. Так сделано и на портале Федеральной налоговой службы при доступе к личному кабинету, и на большинстве региональных порталов госуслуг. «Это говорит о том, что ведомства либо не уделяют должного внимания защите информации, либо оценивают возможные риски утраты таких данных как крайне низкие», — отметил в ходе своего выступления Игорь Орлов, технический директор ОАО «УЭК Ленинградской области». По его словам, средства строгой аутентификации, которые обеспечивали бы безопасность доступа пользователей госуслуг, используются очень редко. А там, где используются, их применение, зачастую, бессистемно. Примером является Единый портал государственных услуг(ЕПГУ), где не делают различия между простой и строгой аутентификацией, разрешают все варианты, что в корне дискредитирует идею безопасного удаленного доступа к госуслугам. Портал «Российская общественная инициатива» использует аутентификацию ЕПГУ как основание юридически значимой законодательной инициативы. Это уже очень серьезно. У поставщиков госуслуг нет политики разграничения доступа в зависимости от способа аутентификации, степени доверенности терминала доступа и т.д.
Поступательное движение
В своем докладе Сергей Петренко, директор Центра систем кибербезопасности ООО «Энвижн Специальные проекты», уделил внимание истории и тенденции развития центров реагирования на компьютерные инциденты и инциденты информационной безопасности. Первое такое учреждение было создано 25 лет назад на базе частного университета и исследовательского центра Карнеги-Меллон в Питтсбурге (штат Пенсильвания, США), а сегодня в мире насчитывается несколько сотен государственных и коммерческих центров. В России, по словам Сергея Петренко, аналогичные инициативы реализуют крупнейшие операторы связи, а также некоторые технопарки. «При этом один из четырех официально зарегистрированных центров уже уполномочен принимать ответные действия в отношении органов исполнительной власти, в случае нереагирования на уведомления о каких-либо инцидентах в области кибербезопасности», — подчеркнул Сергей Петренко.
В свою очередь Евгений Родыгин, заместитель генерального директора по развитию ООО «М-СТАНДАРТ холдинг», напомнил участникам круглого стола о вступлении в силу нового приказа ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». В соответствии с этим документом, для обеспечения защиты сведений, содержащихся в информационной системе, должны применяться лишь средства, прошедшие обязательную сертификацию на соответствие требованиям по безопасности информации. В своем докладе Евгений Родыгин подробно рассказал об участниках процесса сертификации и об основных схемах осуществления данной процедуры. «Знания в области сертификации позволяют избежать рисков, связанных с принятием на себя дополнительных затратных задач, ответственности третьих лиц, в том числе соисполнителей при участии в конкурсах, НИР, ОКР содержащих требования по сертификации продукции», — резюмировал Евгений Родыгин.
Свет в конце тоннеля
В завершение круглого стола, Илья Медведовский, генеральный директор компании Digital Security, в ходе доклада под названием «Безопасность Государственных Информационных Систем. Есть ли свет в конце тоннеля?» наглядно продемонстрировал многие уязвимости порталов государственных ведомств, доступные даже начинающим пользователям Интернета. По его оценке, основными потенциальными злоумышленниками, заинтересованными в получении закрытой информации в рамках предоставления госуслуг, являются, прежде всего, злоумышленники, заинтересованные в манипуляции с тендерами и электронными торгами или получении доступа к персональным данным граждан, и в потенциале, возможно - зарубежные спецслужбы, для которых подобные системы могут являться источником ценной информации как о гражданах, так и о компаниях.
«Нужно отдавать себе отчет в том, что от конкретных атак никакими законами или только повышением уровня ответственности для преступников защититься невозможно — для этого необходимы «правильные» законодательные инициативы, которые учитывают технические особенности и специфику ГИС на практике. Только тогда мы сможем реально подойти к решению проблемы безопасности», — убежден Илья Медведовский. По его мнению, одной из ключевых мер обеспечения безопасности ГИС является соблюдение правильного подхода к организации жизненного цикла информационной системы, при котором, в частности, анализ безопасности должен проводиться на каждом этапе этого цикла. «Только тогда мы получим приемлемый уровень защищенности. В противном случае электронные госуслуги могут быть полностью дискредитированы кем угодно и, что самое печальное, для этого не нужно обладать высокой квалификацией», — уверен Илья Медведовский.
Опубликовано 29.10.2013