Веб-приложения госуслуг: вызовы и решения
В начале эры автоматизации государственные системы проигрывали производственным и коммерческим в скорости переведения процессов в электронный вид: когда в банках, телекоммуникационных, энергетических и машиностроительных компаниях внедряли системы автоматизации учета, управления товарными потоками, конструирования и тому подобное, в государственных учреждениях еще стояли одинокие АРМы, не объединные в единую сеть.
Однако традиционно государственные организации были лидерами в информационной безопасности — руководили информационной безопасностью в таких организациях бывшие или даже действующие сотрудники спецслужб, натренированные защищать государственную тайну и, в отличие от принципа «всё, что не запрещено, — разрешено», царившего в коммерческих организациях, исповедовали принципы, пришедшие из охраны государственной тайны: «всё, что не разрешено, — запрещено».
Об эффективности государственных процессов никто особенно не думал, а вот о безопасности заботились в первую очередь: сказывались не только подходы специалистов, которых учили защищать государственную тайну, но и историческая закрытость государственных систем. Новинки автоматизации появлялись там, где эффективность ставилась во главу угла, информационная безопасность в подобных системах рассматривалась как неизбежное «зло», тормоз автоматизации, впрочем, как метко высказался на одной из конференций докладчик, «это тот самый тормоз, который не дает автомобилю на повороте слететь с дороги». В государственных системах «тормоз» нажимали гораздо чаще, чем в коммерческих.
Так было до тех пор, пока государственные информационные системы, вслед за другими корпоративными системами, не стали выворачиваться «изнутри наружу», то есть начали переходить от автоматизации закрытых внутренних процессов к автоматизации процессов коммуникации с внешними пользователями — нами, гражданами, с помощью веб-технологий, а позже и мобильных приложений.
Эволюция государственных веб-приложений
Можно легко проследить эволюцию веб-решений государственных организаций. Сначала, в 2000-х, это были информационные страницы, на них находилась информация общего пользования — новости, адреса офисов и время приема граждан, правила заполнения анкет и тому подобное — словом, никакой закрытой информации на них не было. Внимание уделялось разным дизайнерским изыскам, а не функционалу — в конце 1990-х, например, в одном из технических заданий автор видел требование «флаг ведомства должен развеваться как бы под воздействием ветра». Поэтому и модель угроз была простая: владельцы веб-сайта опасались, прежде всего, недоступности сайта. Ночным кошмаром администраторов первых государственных сайтов был дефейс — изменение содержимого страниц, проводившийся в основном из хулиганских побуждений. У начинающих хакеров считалось «гусарством» написать что-нибудь неприличное на главной странице популярного сайта, и на эту тему ходила популярна шутка: «Требуются хакеры, резюме размещать на главной странице сайта microsoft.com». Никакой цели, кроме демонстрации собственных умений и недостаточной квалификации разработчиков и защитников, хакеры не преследовали.
Всё изменилось, когда сайты стали оказывать государственные услуги, то есть выдавать гражданам какую-то информацию по их запросам. Подобный функционал подразумевает онлайн-связь с базами данных, хранящими такие сведения и авторизацию пользователя. То есть через веб-приложение стало возможным получить доступ к не предназначенной для открытой публикации информации, а она, особенно в консолидированном виде, часто имеет высокий спрос на рынке. Поэтому вектор атак сменился — целью стали данные. Для их получения хакерами начали использоваться различные уязвимости, в том числе и оставшиеся из-за невнимательности разработчиков сайта, а также неаккуратность инженеров при настройке элементов инфраструктуры.
Всё еще больше осложнилось, когда через веб-приложения государственных услуг стали проводить финансовые транзакции: граждане получили возможность оплачивать налоги, пени и штрафы, платить госпошлины и т. п. В результате под угрозой оказались не только данные, но и деньги налогоплательщиков — удобство совершать транзакции, не выходя из дома, компенсируется риском совершения неавторизованных транзакций, некорректных списаний денег с привязанных к учетной записи кредитных карт, появились и другие атаки, раньше характерные только для сайтов электронной коммерции и интернет-банкинга.
Прогнозы развития государственных веб-сервисов
Поскольку государственные системы отстают в своей функциональности от коммерческих на три — пять лет, можно ожидать, что скоро функционал государственных веб-приложений сравняется с функционалом веб-приложений финансового сектора и сектора электронной коммерции, то есть станет полноценным веб-интерфейсом к интегрированному приложению, автоматизирующему процессы государственных организаций. И такое изменение — сильнейший вызов информационной безопасности государственных организаций.
Государственные организации обретают опыт не только защиты информационных систем, но и их быстрого создания, полностью меняющий структуру взаимодействия подразделений разработки, информационной безопасности и служб эксплуатации самих систем. Подход, при котором за отсутствие уязвимостей в заказном программном обеспечении отвечала ФСТЭК и заказчик мог на месяц или больше отдать приложение в испытательную лабораторию, уже не срабатывает при создании веб-приложений, хотя еще и используется при проектировании внутренних ведомственных систем.
Государственные системы в отстающих
Стоит признать, что, пожалуй, впервые в истории информационная безопасность государственных организаций, как по опыту отражения атак, так и по наличию инструментов защиты, уступает информационной безопасности коммерческих и финансовых институтов. Знания и навыки оборонного ведомства и различных спецслужб не дают преимущества в понимании процессов информационной безопасности — ни спецслужбы, ни армия, не занимались постоянным противодействием атакам из всемирной Сети. Поэтому сотрудникам служб информационной безопасности государственных организаций, которые начали оказывать государственные услуги на основе веб-приложений, приходится учиться «на лету».
Конечно, модель угроз государственного веб-приложения отличается от модели угроз электронного магазина или интернет-банка. Не существует конкуренции государственных услуг, поэтому гражданин, который не смог получить услугу через соответствующий сайт, не пойдет на конкурирующий сайт за той же услугой, как в случае с электронным магазином. Он просто направится за услугой в офис соответствующего ведомства и создаст там дополнительную очередь, живую или электронную, не так важно. Количество персонала в офисах при этом останется неизменным, производительность их также не увеличится. Поэтому если необслуженных через веб-приложение государственных услуг граждан станет слишком много, это ухудшит определенные показатели работы офиса ведомства, например время ожидания услуги. Кстати, за обслуживание в офлайновых офисах обычно отвечает определенный сотрудник, и именно на него будут переложены риски защитников веб-приложений.
Риски недоступности государственных услуг емко выразил один из участников конференции по информационной безопасности: «Страховать сервис так, чтобы при недоступности сайта страховая компания выплачивала компенсацию, нам неинтересно. даже не уверен, что мы принять такую выплату сможем. Вот если бы страховая могла возвращать должности…»
Риски растут
Так получилось, что практически одновременно с запуском полнофункциональных веб-приложений государственных услуг обострилась политическая обстановка вокруг России. В киберпространстве сейчас идет полноценная война, без кавычек, и сегодня сайты государственных услуг — лакомая добыча не только для различного рода кибермошенников и «хактивистов», как называют политически мотивированных хакеров, но и для киберармий других государств.
Описанная ситуация привела к тому, что, с одной стороны, риски атак на государственные веб-приложения выросли, а с другой — в государственных услугах еще не накоплен опыт успешного противодействия подобным ударам. Для противостояния хакерским нападениям нужно новое поколение «практических безопасников», которых не готовили к защите государственной тайны в закрытых вузах. Призывать таких «белых хакеров» на госслужбу — непростая задача, а переманить их из компаний, хорошо знающих, как пресекать веб-атаки, практически невозможно: такие специалисты ценят свободный или плавающий режим работы, возможность удаленного сотрудничества, отсутствие дресс-кода и излишней бюрократии, что пока практически не встречается в государственных организациях. И, что греха таить, они предпочитают и более высокую зарплату в коммерческих компаниях, чем та, которую молодым специалистам могут предложить в государственных организациях.
Догнать и перегнать
Поэтому пассивный подход к информационной безопасности веб-систем в государственных системах малоприменим. Он подразумевает, что создается большой центр управления информационной безопасности, куда стекаются сведения обо всех событиях, данные анализируются специалистами, и на основе полученных результатов принимаются решения о мерах по защите. И если государственная организация еще может позволить себе закупку дорогостоящих инструментов для сбора и анализа информации, то содержать в штате несколько дежурных смен профессионалов для круглосуточного дежурства ей точно будет в тягость.
Конечно, нужно работать с кадрами, искать возможности нанимать и удержать профессионалов в штате государственных структур. Также можно укрупнять дата-центры, обслуживающие приложения государственных услуг для того, чтобы меньшими силами защищать больше приложений. Но проблема с кадрами в государственных организациях вряд ли будет решена системно, поэтому одна из стратегий обеспечения безопасности веб-приложений государственных услуг — переориентироваться на технические средства, обеспечивающие активную защиту. Это также важно при приближении следующего витка кибервойны, который вот-вот начнется — в Сети уже начинают действовать полностью автоматизированные бот-сети, способные самостоятельно находить цели для атаки, сканировать их на уязвимости, генерировать эксплойты к этим уязвимостям, атаковать, похищать информацию и загружать ее на сайты своих владельцев. Скорость, с которой они это реализуют, делает невозможной использование пассивных средств защиты, лишь информирующих об атаках, делегируя дежурной смене экспертов информационной безопасности работу по их отражению. Эффективно противодействовать роботам могут только роботы.
У защитников государственных информационных систем сегодня есть шанс «перепрыгнуть через ступеньку» огромных центров управления безопасности (SOC — security operation center), сегодня появляющихся в коммерческих организациях. Концепция «мониторить тысячи информационных систем, сводить результаты мониторинга в центры обработки, но при этом не отражать атаки, а лишь сообщать о них и перекладывать ответственность на их отражение на дежурных экспертов», практически исчерпала себя. Поэтому сейчас самое время перейти к автоматизированной активной защите, которая не только компенсирует недостаток квалифицированного персонала, традиционно испытываемый государственными организациями, но и выведет защиту государственных информационных систем на один уровень с коммерческими.
Опубликовано 27.06.2016
