Власти России потратят 1,5 млрд руб. на поиск «дыр» в государственных информсистемах
Власти вложат 1,45 млрд руб. в проведение независимого анализа защищенности ГИС. На первом этапе был проведен аудит систем Минцифры. Сейчас начался эксперимент по проверки защищенности информационных систем других ведомств.
Анализ защищенности ГИС
Федеральный проект «Информационная безопасность» национальной программы «Цифровая экономика» предполагает достижение результата в виде проведения независимого анализа защищенности государственных информационных систем (ГИС). Куратором мероприятия является Минцифры. На соответствующие цели федеральный бюджет выделит в 2021-2024 гг. 1,45 млрд руб.
Предполагается проведение анализа приоритетных угроз информационной безопасности, оценку защищенности ГИС и мобильных приложений для них, поиск уязвимостей периметра и проведение тестирования на проникновения. Также по результатам анализа должны быть разработаны методические рекомендации по устранению выявленных уязвимостей ГИС и направлены в адрес операторов ГИС рекомендации по их устранению.
Как пояснил CNews федеральный чиновник, знакомый с ходом реализации проекта, ГИС традиционно создавались на основе сразу двух методичек в области информационной безопасности — за авторством ФСБ и Федеральной службы технологического и экспортного контроля (ФСТЭК). Однако уязвимости в ГИС все равно присутствуют. Задача проекта — собрать экспертов, которые смогут найти уязвимости в ГИС для предотвращения их использования злоумышленниками.
Представители Минцифры рассказали CNews, что на первом этапе, в конце 2021 – начале 2022 гг. был проведен независимый анализ защищенности 20 ГИС самого ведомства и его подведомственных учреждений. Это связано с тем, что в ведении Минцифры находятся наиболее социально-значимые ГИС, такие как ЕПГУ (Единый портал государственных и муниципальных услуг), ЕСИА (Единая система идентификации и аутентификации) и др. Соответственно, ведомству необходимо было провести анализ защищенности на собственной информационной инфраструктуре.
В мае 2022 г. Правительство приняло постановление «О проведении эксперимента по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти (ФОИВ) и подведомственных им организаций». Согласно постановлению, эксперимент проводится Минцифры совместно с ФСБ и ФСТЭК. ФОИВы получили возможность на добровольной основе присоединиться к данному эксперименту.
Для проведения анализа защищенности ГИС выбранных ФОИВов в августе 2022 г. Минцифры провело конкурс, победителем которого стало ООО «Визум». Сумма контракта составила 337 млн руб. Информационные системы каких именно ФОИВов будут проверяться, в открытых документах к конкурсу не сообщается.
Два типа нарушителей
При проведении анализа защищенности ГИС рассматриваются два типа нарушителей. Первый — внешние, не имеющие права доступа в контролируемую зону или полномочий по доступу к ГИС и компонентам систем и сетей, требующим авторизации. При проведении анализа защищенности в сценарии внешнего нарушителя исполнитель не располагает какими-либо предварительными данными о ГИС и используемой инфраструктуре. Исполнитель проводит тестирование возможности нелегитимного проникновения из интернета в ресурсы ГИС с использованием методики проведения анализа защищенности ГИС в режиме «черный ящик».
При проведении тестирования на проникновение наряду с ручными методами анализа защищенности должны применяться инструментальные проверки. В рамках выполнения работ по анализу защищенности внешнего периметра ГИС должны быть решены следующие задачи: сбор информации об инфраструктуре каждой ГИС для последующего анализа и уточнения областей поиска уязвимостей; получение информации о топологии веб-приложений, используемом ПО, логике работы компонентов ГИС; определение текущего уровня защищенности ГИС; тестирование на проникновение; сканирование узлов периметра ГИС; поиск, идентификация уязвимостей сетевых служб; выявление наиболее опасных факторов и значимых угроз информбезопасности, воздействующих на ГИС; анализ мобильных приложений ГИС (без анализа исходного кода); анализ используемых технологий и средств защищенного обмена информацией между пользователями и ГИС; анализ парольной политики и стойкости аутентификационных данных администраторов и пользователей ГИС (эвристический анализ, подбор паролей, Brute Force); определение возможных векторов атак на основании выявленных уязвимостей; проверка возможных векторов атак.
Второй тип нарушителей — внутренние. Они имеют права доступа в контролируемую зону и полномочия по автоматизированному доступу к ГИС и компонентам систем и сетей. Целью данного типа нарушителя является выявление уязвимостей, позволяющих провести атаки, направленные на получение несанкционированного доступа, повышение привилегий и пр., с развитием на внутренние компоненты ГИС. При проведении анализа защищенности в сценарии внутреннего нарушителя исполнителям предоставляются типовой доступ, набор типового ПО, используемого в анализируемой ГИС, а также доступ в серверные помещения оператора ГИС и его подведомственных организаций.
В рамках выполнения работ по анализу защищенности внутреннего периметра должны быть решены следующие задачи: идентификация уязвимостей сетевых служб; анализ защищенности инфраструктурных служб и приложений (DNS, электронная почта и т. д.); установление наличия или отсутствие уязвимостей инфраструктурных служб и приложений; поиск и анализ информации из открытых источников, содержащей чувствительные сведения, способствующие проведению атак на рассматриваемые ГИС (информация из баз утечек аутентификационных данных, информация о выявленных ранее уязвимостей, конфигурационные файлы и файлы журналов аудита, размещенные на общедоступных ресурсах); обогащение собранной информации об уязвимостях ГИС сведениями о наличии эксплойтов для соответствующих уязвимостей; оценка защищенности сети от атак на канальном уровне; проверка возможности эксплуатации наиболее опасных уязвимостей с целью выхода за границы заданного сегмента ГИС; инвентаризация узлов, доступных из текущего сегмента ГИС, без сканирования на наличие уязвимостей, определение типов устройств, операционных систем, приложений по реакции на внешнее воздействие; выявление недостатков в управлении доступом: должны быть выявлены ресурсы, к которым удалось получить доступ с использованием согласованного вектора атаки.
Проверка мобильных приложений
В случае наличия в ГИС мобильных приложений проводится анализ их защищенности методом «черного ящика». В рамках выполнения работ должны быть решены следующие задачи: выявление наиболее опасных воздействующих факторов и значимых угроз информационной безопасности, возможных путей их реализации, в том числе проверка настроек безопасности ОС, с использованием моделей внешнего интернет-нарушителя; проверка наличия программных уязвимостей и ошибок конфигурации ГИС, влияющих на информационную безопасность; проверка типовых и поиск новых уязвимостей ГИС; выявление ошибок при проверке подлинности пользователей (Insufficient authentification); поиск уязвимостей, связанных с некорректной работой с памятью; проверка наличия известных уязвимостей в сторонних компонентах приложения; проверка уязвимостей, связанных с недостатками архитектуры ГИС; проверка реализации механизма контроля доступа; поиск прочих недостатков и уязвимостей, влияющих на конфиденциальность, целостность, доступность информации. Работы проводятся в случае, если мобильные приложения разработаны для данной ГИС.
Учитывая, что анализ защищенности будет проводиться для ГИС, исполнитель должен оценить возможности нарушителей, характерные для хакерские (преступных) группировок, террористических организаций и спецслужб, а также внутренних пользователей информационной системы, которые могут вступать в сговор с внешними нарушителями.
В Минцифре уверены, что реализация указанного мероприятия позволит получить объективную и независимую оценку текущего уровня защищенности ГИС ФОИВов, что позволит существенно снизить угрозы для безопасности системы информационного управления России в целом.
Мнения экспертов
«Уровень цифровизации в России достаточно высок, и проникновение информационных технологий в госуправлении тоже, — говорит советник гендиректора Positive Technologies Артем Сычев. — Граждане привыкли, что большую часть государственных услуг они получают в электронном виде. Поэтому важно сохранение доверия к госуслугам в электронном виде, к качеству и безопасности данных, обрабатываемых государственными системами. Наиболее эффективный метод поддержания безопасности в актуальном состоянии — регулярный контроль защищенности и последующая корректировка защитных мер».
«Если мы хотим улучшать безопасность сервисов, повышать сохранность данных, необходимо сначала выявить проблемы, понять, чем они обусловлены — недостатками при разработке, уязвимым окружением или же внутренними угрозами со стороны инсайдеров, — объясняет руководитель аналитического центра Zecurion Владимир Ульянов. — Сложно превратить разнородные системы, разрабатывавшиеся а разные периоды времени с разными требованиями и разными командами, в хорошие и безопасные, не понимая особенностей их работы, взаимодействия и существующих проблем. Для постановки корректной задачи и нужны изыскательские работы».
Центр проверки мобильных приложений для госсектора
Параллельно с мероприятием по анализу защищенности ГИС в федпроекте «Информационная безопасность» заложено другое схожее мероприятие — создание Центра проверки мобильных и веб-приложений с целью повышения защищенности информационных систем. В первую очередь речь идет о приложении для госсектора.
Затраты федерального бюджета на реализацию данного мероприятия за период до 2024 г. составят 700 млн руб. Подрядчиком по реализации данного проекта был выбран подведомственный Минцифре НИИ «Восход». Предприятие займется анализом исходного кода мобильных приложений для госсектора.