2013 год стал временем бурного ускорения множества госпроектов. Некоторые - стартовали, другие – получили мощный импульс. Появились и первые очевидные успехи. Какие аспекты госинформатизации стали наиболее заметны сегодня?
Информационная безопасность (ИБ) – одна из наиболее актуальных тем сегодняшнего дня. Внимание к ней особенно возрастает тогда, когда случаются Инциденты с большой буквы. Например, такие как кража 50 млн. учетных записей пользователей скидочного сервиса LivingSocial, включая их данные, позволяющие осуществлять платежи без участия владельца платежной карты.
В числе наиболее громких публичных скандалов последних лет можно отметить кражу данных из судебной системы штатов Флорида и Вашингтон, получение хакерами доступа к данным на сайте полиции ЮАР, задержание греческого программиста, подозреваемого в попытке продажи персональных данных (ПДн) 83% граждан своей страны. Такого рода примеры, пусть и менее впечатляющие, можно найти и в России. Например, в Тюмени агентство воздушных сообщении выложило на сайте ПДн пассажиров авиарейсов с 2005 по 2013 г.г. и было оштрафовано на 5 тыс. руб.
“Безопасники” ждут приказа
Регулятивных мер по части ИБ сегодня явно недостает. “Как ни странно, сами регуляторы отчасти усугубляют ситуацию, проводя весьма легкие, неполноценные проверки, ориентируясь на «галочки»,” - удивлен Игорь Ляпунов, директор Центра ИБ, «Инфосистемы Джет». “Ситуация изменится, когда наказание для виновного будет зависеть от причинённого ущерба третьим лицам, ведь штрафы за нарушение закона «О персональных данных» сейчас малы,” - уверен Денис Андриков, зам. технического директора компании «Открытые Технологии».
Описанные выше происшествия заставляют усомниться в том, что тренд централизации и консолидации данных – самоочевидное, неоспоримое благо. Насколько надежно можно защитить персональные данные в государственных системах?
“Госкомпании обрабатывают персональные данные граждан и поэтому довольно часто становятся целью для хакеров,” - подчеркивает Александр Василенко, глава представительства VMware в РФ и СНГ, делая акцент на важность защиты гособлаков. “Рост электронного изобилия госуслуг приведет к увеличению ценности "электронной личности" (digital identity), и, как следствие, к повышению спроса на различные базы персональных данных на черном рынке,” - ищет закономерности Оксана Гузиенко, исполнительный директор компании «РосИнтеграция».
Годовой оборот киберпреступников стремительно приближается к отметке в пол-триллиона долларов. По данным ресурса www.sicherheitstacho.eu, расставившего по всему миру ловушки для хакеров («honeypot»), в феврале 2013 г. Россия заняла первое место по числу зафиксированных атак. Такого рода сведения актуальны для РФ в преддверии выдачи электронных паспортов, основанных на УЭК, создания единого реестра граждан, в связи с быстрым ростом числа случаев мошенничества с кредитными картами в нашей стране.
В начале 2014 г. должен начать действовать №161-ФЗ «О национальной платежной системе» (НПС), имеющий схожую с ПДн проблематику в разрезе обеспечения ИБ. “Когда один орган государственной власти говорит – «вот здесь мое, а здесь ваше», возникает вакуум контроля над информационным обменом. Разные ведомства имеют, порой, несопоставимый уровень ИТ и ИБ зрелости и дело тут не в отдельных системах типа DLP. Пока зрелость разная, утечки конфиденциальных данных неизбежны,” - констатирует Дмитрий Дудко, руководитель проектов Центра компетенции ИБ компании «АйТи» и подчеркивает, что при введении закона об НПС возникнет похожая ституация с платежными агентами, которые долго еще будут “плестись в хвосте” у банков по части ИБ.
“Банковское сообщество, обсуждая тему НПС, давно пришло к выводу, что оптимальным решением является специализированная фрод-машина, анализирующая банковские транзакции на предмет мошенничества,” - предлагает конструктивный выход Игорь Ляпунов. Роман Кругляков, гендиректор компании “Армада”, считает, что для защиты ПДн нужен иной подход - моделирование реальной атаки, что российским ОГВ пока несвойственно.
“До недавнего времени большинство операторов ПДн старались обеспечить, скорее, формальное соответствие требованиям, нежели защиту интересов субъектов ПДн. Такой подход объяснялся тем, что требования, которые содержались в первой редакции закона, в «четырехкнижии» ФСТЭК, в «трехглавом» приказе, а затем в 58-м приказе, плохо соотносились с современными реалиями. Есть надежда, что после выхода 21-го приказа ФСТЭК подход операторов изменится,” - полна оптимизма Мария Каншина, менеджер по развитию бизнеса компании «Информзащита».
Роль личности в ИБ
История со Сноуденом актуализировала тему кибербезопасности, вознеся ее на госуровень. Она заставила с новой силой обратить внимание на страну происхождения того или иного ПО, используемого при создании решений. В тоже время, системы типа СМЭВ эксплуатируются в закрытом контуре, поэтому важен и человеческий фактор.
Одно из возможных объяснений августовского сбоя СМЭВ такое: причина кроется в шине Oracle. “Обнаруженные компанией Digital Security новые уязвимости продуктов Oracle, о которых мы рассказали на конференции BlackHat в конце июля, характерны для подавляющего большинства больших ИС, представляющих из себя переплетение множества различных компонентов и технологий, - предостерегает Алексей Тюрин, директор департамента аудита защищенности Digital Security. - Теоретически, мы можем предположить и существование различного рода уязвимостей в системах межведа. Без должного внимания к ИБ, это может привести к серьёзным последствиям. Корректно внедрить проекты такого масштаба – дело чрезвычайно сложное”. Остается добавить, что очень хорошо, что и у нас в стране есть специалисты по ИБ такого уровня.
Преступник может подписать ЭП платежные документы, если жертва попросту зайдет на вредоносный сайт. Поэтому, “простое усложнение” средств аутентификации не является решением всех проблем. Например, зараженный компьютер точно так же, “сам” все заверит и при помощи квалифицированной ЭП. После чего злоумышленник получит доступ туда, где недостаточно ЭП обычной. Особенно актуально это для граждан, обычно использующих компьютер и для доступа к госуслугам, и для серфинга по интернету.
Ищем платежи сами
С 1 января 2013 г., в соответствии со ст.7 210-ФЗ, органы государственной власти и местного самоуправления при предоставлении госуслуг не могут требовать от граждан подтверждения их оплаты.
Федеральное казначейство находит и отмечает платежи по уникальным идентификатором начислений (УИН). По состоянию на конец лета, Почта РФ не подключилась к ГИС «О государственных и муниципальных платежах» (ГИС ГМП), которая автоматизирует процесс предоставления сведений о платежах граждан. Сбербанк хронически проставлял значение УИН в поле для комментариев, что усложняло жизнь интеграторов. Между тем, через этот канал идет основная масса сведений о начислениях. Дополнительный хаос вносит идентификация самих граждан по СНИЛС, который помнят наизусть отнюдь не все.
До 6 ноября 2013 г. к ГИС ГМП должны подключиться все финансово-кредитные организации. Делают банки это несколько неохотно, но им угрожают надзорными мерами.
Значительную часть перечислений приходится сейчас искать вручную, работа чиновника на глазах становится трудной и тяжелой. Расходы на ГИС ГМП в прошлом году включили в бюджет не все, кому это следовало бы сделать. Стали востребованы недорогие программы типа адаптера к СМЭВ, которые можно развернуть даже на ноутбуке.
Работать через СМЭВ с ХML-сообщениями можно при помощи программы-адаптера
Источник: Линк-сервис, 2013
Администраторы доходов узнают об оплате при помощи веб-сервиса СМЭВ. Все должно работать в режиме он-лайн, но пропускать такие потоки транзакций СМЭВ пока не может. Судя по некоторым высказываниям чиновников, можно предположить, что для этих целей будет разработано что-то вроде асинхронного сервиса, позволяющего не терять, а гарантированно доставлять сообщения.
“Наша компания может предложить решение, позволяющее участнику СМЭВ выполнить минимум требуемых от него, по закону, действий. Например, импортировать в сервис СМЭВ документ или экспортировать из него какие-либо данные. Интеграция с ИС ОГВ, в минимальном варианте, может заключаться в обмене с ИС на уровне XML-файлов. Дальнейшая интеграция зависит от конкретной ситуации и требований заказчика,” – поделился практикой работы с ГИС ГМП директор компании "Линк-сервис" Вячеслав Абисалов.
Многоликость документооборота
Использование всякого рода временных решений типа адаптера для СМЭВ стало достаточно характерным. СЭД/ECM, там где она есть, не всегда поспевает за нарастающими темпами госинформатизаци. Скан-образы из МЭДО, сообщения из СМЭВ, “бумага” и электронные документы с ЭП имеют тенденцию к причудливому переплетению в рамках документооборота, становящегося многоликим и полуручным. “Межведомственный документооборот пока не может решить вопросы глубокой интеграции», - констатирует Борис Славин, директор по исследованиям и инновациям «АйТи».
“Нам известно, что в некоторых случаях документ, приходящий через СМЭВ, распечатывается и регистрируется в канцелярии подразделения органа власти. Далее он может быть отсканирован и т.д.,” – сожалеет гендиректор компании «АйДиСистемс» Андрей Федорец. “За каждым сервисом должна стоять ведомственная ИС, а их на региональном и муниципальном уровне сегодня катастрофически не хватает. В то же время, запрос сведений в ФОИВ должен выполняться непосредственно из ведомственной ИС, из того ее раздела, в котором эти сведения используются специалистом для выполнения своих должностных обязанностей,” – обоснованно считает Александр Лопарев, директор региональных проектов «Корпорации ПАРУС». “Продвинутые субъекты и органы власти идут по пути тесной автоматизированной интеграции ИС, участвующих в предоставлении услуг, со СМЭВ. Для этого, на уровне Минкомсвязи, должны вестись и координироваться все форматы обмена,” - подчеркивает Евгений Оноприенко, директор по развитию BSS Engineering.
В госсектор постепенно проникают облачные сервисы “о7” и др., но по-настоящему популярны локальные решения, построенные на базе ПО зарубежных вендоров. Опубликованное на сайте госзаказов конкурсное предложение Минкомсвязи создать “национальную” СЭД за 45 млн. руб. вызвало большое оживление в среде разработчиков и интеграторов.
Согласно подписанной Дмитрием Медведевым дорожной карте «Повышение качества регуляторной среды для бизнеса», бумажные и электронные документы предстоит уравнять в правах уже в следующем году. Хотя “электронные” пока что не всегда хорошо вписываются в уникальные процессы, наработанные российскими канцеляриями.
“Никто еще не отменял сдачу бумажной переписки в Росархив. ГОСТ устанавливает для документа такие обязательные атрибуты, как номер и дата. При этом электронной (или собственноручной) подписью документ часто подписывается до проставления этих атрибутов, что не доставляет сложностей в случае бумажного документа. Видоизменять же электронный документ нельзя – иначе подпись станет неверной,” – привел типичный пример проблемы, отравившей жизнь многим интеграторам, Владимир Кохан, директор по развитию бизнеса компании Digital Design. Глубокая автоматизация нужна не всегда: “Порой оказывается, что сохранить «полуручную» обработку просто дешевле,” – считает спикер.
Но порой оказывается и по-другому. Роман Кругляков приводит в качестве примера московский проект «Базовый регистр»: “Он нужен для формирования массива юридически значимой информации, на основе которой решения сможет принимать уже сама система. Это не только и не столько формирование очередного хранилища, сколько формирование набора правил (регламентируется качество данных, согласованность информации, наличие подписи ответственного лица и пр.),” – подчеркнул он.
«Гособлака» обязаны стать правдой
“Об этом столько говорят, что «гособлака» просто обязаны стать правдой,” - описал ситуацию с облаками в госсекторе Вячеслав Елагин, зам. директора департамента по работе с госорганизациями компании «Ай-Теко».
Вопрос лишь в том, в чем же она заключается? В связи со СМЭВ, федеральные чиновники неоднократно заверяли муниципалов в том, что накопленные ими данные так и останутся в их ИС. И жаловались в начале этого года на избыточное количество дата-центров, построенных для этой системы. После чего запускается “в серию” строительство других, новых ЦОДов, нужных для консолидации информационных ресурсов ведомств-передовиков госинформатизации. Идея задействовать уже построенное в голову при этом, почему-то, никому не пришла.
Планируется, что “новострой” станет основой для единой вычислительной и телеком-инфраструктуры, которая будет предоставляться органам власти безвозмездно, чтобы у них отпала необходимость строить свои дата-центры. Казалось бы, этим все сказано? Строится “гособлако”, которое постепенно вберет в себя все данные, начиная с уровня ОМС? Нет, такой вывод вы пока можете сделать только сами, на свой страх и риск, поскольку от самих чиновников вы этого не услышите.
Экономический аспект централизации данных понятен. “Применение облачных технологий позволит государственным организациям в несколько раз сократить издержки и сроки внедрения новых ИТ-систем,” – поясняет Александр Василенко.
В случае же лоскутного строительства “феодальных” дата-центров экономии может и не быть. “Не нужно забывать о том, что в 2-3-летней перспективе стоимость владения некоторыми собственными системами становится сравнимой со стоимостью использования облачных решений, а, порой, и ниже стоимости использования облаков,” – напомнил Владимир Кохан.
ЦОДы имеет сегодня большинство регионов. Но действительно ли дальнейший “облачный самострой”, от которого федералы хотят уберечь органы власти, приобрел там широкий размах? “Если говорить о взаимодействии государство-граждане, то любые сервисы госуслуг с web- или мобильным интерфейсом, в принципе, можно называть облачными. А вот использования облачных ресурсов для повседневной деятельности госучреждений (так, чтобы несколько ведомств использовали систему документооборота из облака, хранилище данных или рабочие столы чиновников) — нет. Слышал об отдельных проектах регионального или муниципального уровня, но это в настоящее время ещё совсем не тренд, - утверждает Максим Захаренко, гендиректор компании «Облакотека». - На уровне идеи, централизовать государственные ИТ-ресурсы и выдавать их по требованию очень эффективно. Ведь не надо заниматься внедрениями, модернизациями, бесконечными закупками оборудования и ПО в каждое ведомство. Все, что нужно сделать - обеспечить повсеместно качественный интернет, а это не выглядит неразрешимой задачей.”
Пока в Микомсвязи думают, как именно им привлечь средства на строительство гособлака, ИТ-компании включились в соревнование, кто за это больше заплатит. На момент написания обзора, последней в этом филантропическом списке оказалась компания “Крок”, предложившая Минкомсвязи почти 4 тыс. руб. за возможность спроектировать единую инфраструктуру, уложившись в срок до 18 ноября. Рекорд «Энвижн Груп», доплатившей больше 7 млн. руб. за спроектированную компанией единую сеть передачи данных, пока не побит. Тем не менее похоже на то, что спонсорство, в деле строительства гособлака, постепенно становится доброй традицией.
“Еще совсем недавно можно было бы долго спорить о том, какой именно из госпроектов наиболее показателен. Но события вроде аукциона на создание ИТ-инфраструктуры Федерального центра обработки данных в г.Дубна и Резервного центра обработки данных в г. Городец Нижегородской области для Федеральной налоговой службы и Федерального казначейства, естественно, прекращает все возможные споры. Буду с большим интересом следить за ходом реализации такого масштабного и технологически сложного проекта,” - пообещал Андрей Синяченко, технический директор департамента инфраструктурных решений компании «АйТи».
Весна надежд
Реализация концепции СМЭВ встретила на своем пути столько организационно-технических трудностей, что идея свести разрозненные базы ОМС в федеральное облако приходит почти всякому, кто хоть немного разбирается в ИКТ. В том же направлении заставляет двигаться мысли и долголетний опыт развития многих других проектов вроде ГАС “Управление”, к которой с 1 января 2013 г. должны были подключиться федеральные и региональные власти.
Многочисленные вопросы, вроде актуальных проблем ИБ, упомянутые в начале статьи, дают основания предоположить, что движение государства в сторону централизации будет весьма осторожным, обдуманным и небыстрым. Вполне может быть, что мы вступаем в эпоху незаметного расцвета Security Operations Center и прочих специализированных СЦ, призванных повысить уровень безопасности в ОГВ. В любом случае, в ближайшие годы нас ждут многочисленные пилотные запуски и настоящая лавина “облачных” нормативных актов.
“Минкомсвязи работает над нормативно-правовым обеспечением использования облачных технологий ОГВ и ОМС, – рассказывает Михаил Марголин, гендиректор компании ENSPACE (ГК MAYKOR). - Тем не менее, нормативное регулирование вопросов обеспечения безопасности и конфиденциальности информации, передаваемой поставщику облачных услуг, пока находится на стадии формирования. Не закреплены нормы, четко определяющие ответственность поставщика облачных услуг и устанавливающие основные правила использования облачных технологий”.
“Размещение приложений в облаке без изменения процессов – кто и как запрашивает услуги, кто отвечает за уровень сервиса, кто и как определяет и учитывает стоимость – редко приносит ощутимую выгоду для компании, – делится опытом VMware, накопленным в корпоративном сегменте, Александр Василенко. - Одним из первых шагов является консолидация ресурсов и автоматизация, и многие из заказчиков готовы сделать временную паузу после этого шага – для более детальной проработки концепции сервиса из облака”.
“Как только облачные проекты ОГВ будут реализовываться по всем направлениям, так сразу и станет понятно, что не имеет смысла вкладываться в инфраструктуру, если можно использовать готовые сервисы. Важно только, чтобы поставщиками услуг по базовым сервисам должны выступить не коммерческие структуры, а профильные государственные институты и учреждения, так как базовые сервисы должен предоставлять регулятор,” - раскрывает специфику российского госсектора Александр Семенов, генеральный директор ГК «КОРУС Консалтинг».
Немного больше о гособлаке мы должны узнать не позже марта следующего года, когда профильные министерства сформулируют свои предложения по поводу размещения там государственных ИС. Планируется, что федералы перейдут на единую инфраструктуру в 2016-м, а регионы и муниципальные органы – в 2018 г. Будем надеяться, что весной ситуация прояснится.
Лидеры и аутсайдеры
Социально-ориентированный проект со СМЭВ затмил собой многие другие, ведущиеся сейчас в сфере госинформатизации в великом множестве. Может быть поэтому, межведом журналисты начали называть все подряд. Так, что только из контекста можно догадаться о чем речь: про СМЭВ или про МЭДО. Между тем, последняя система живет своею жизнью и развивается дальше. “ФОИВ перейдут на межведомственный безбумажный документооборот. В связи с чем реализуется пилотный проект по обмену документами по МЭДО, подписанными усиленной квалифицированной электронной подписью: при этом файл электронной подписи, в рамках «пилота», также передается по МЭДО,” - сообщил Владимир Кохан.
Впрочем про МЭДО акцентированный разговор в прессе заходит сегодня нечасто. А масштабный проект гособлака должен, скорее всего, потеснить УЭК, госпортал и СМЭВ на пьедестале общественного внимания точно также, как это последняя уже проделала с МЭДО.
Напоследок, вспомним про явных аутсайдеров. Пожалуй, меньше всего внимания респонденты CNews уделили “Национальному Фонду алгоритмов и программ для ЭВМ", который, согласно постановлению N 62 от 30.01.13, должен был как-то показать себя в деле с 1 июля 2013 г. Видимо это для них не главное. В чем-то схожая проблематика, описанная в знаменитом когда-то распоряжении №2299-р, оказалась забытой наиболее надежно. СПО для госсектора в 2013 г. уже явно не в моде, остались лишь отдельные упоминания и отблески былой славы этой темы.
Поделиться
