Спецпроекты

На страницу обзора
Чего не хватает госпорталам?
В прошлом году указом Президента Российской Федерации №31 обязанности по защите информационных ресурсов Российской Федерации были возложены на Федеральную службу безопасности. Нельзя сказать однозначно, является ли это их заслугой, но сообщения о проблемах с безопасностью государственных порталов в российской прессе действительно появляются редко. CNews разобрался, как обстоят дела в отрасли, и изучил подборку практических решений.

Деньги клиента через госпортал при обычных условиях похитить нельзя – это не канал дистанционного банковского обслуживания. Но по мере того, как электронные госуслуги становятся массовыми, а политическая ситуация – более напряженной, защита ресурсов становится все более актуальной в отношении персональных данных, обмена электронными документами, обеспечения бесперебойного доступа и предотвращения взлома с целью создания нужных новостных поводов.

Что интересует киберпреступников

Основной интерес для злоумышленников представляют собой порталы федерального уровня, крупнейшие как по объему данных, так и по возможности использовать их для влияния на общественное мнение.

В регионах проблема стоит менее остро. Например, по словам оперативного сотрудника Управления «К» БСТМ по Московской области полковника Дмитрия Милютина, за последние 10 лет через их отдел не проходило ни одного дела, связанного со взломом или хищением данных с государственных ресурсов. То есть можно предположить, что для областных госучреждений такой проблемы нет, либо она не настолько значительна, чтобы обращаться в правоохранительные органы.

Но в связи с обострением политической ситуации, взломщики могут проявить интерес и к регионам, стоит вспомнить недавний взлом сайта астраханской Госдумы с размещением объявления об отделении региона от России. Тем более, что проблемы у госпорталов действительно есть.

Наиболее распространенные уязвимости госпорталов

  • ошибки при обработке полученных от пользователя данных;
  • использование устаревших версий программного обеспечения;
  • ошибки при конфигурировании веб-приложения и его окружения.

Источник: «Информзащита», 2014

Иван Мелехин, технический директор компании «Информзащита»: «В ходе наших работ по анализу защищенности госпорталов обычно выявляется множество уязвимостей разных степеней критичности. Среди них есть уязвимости, приводящие к возможности выполнения злоумышленником действий от имени любого пользователя госпортала, выполнению атак типа «отказ в обслуживании», и позволяющие получить доступ к пользовательским данным и отладочной информации веб-приложения. Также встречаются уязвимости, приводящие к компрометации исследуемого ресурса».

По словам Александра Лямина, руководителя компании Qrator Labs, предлагающей передовые услуги защиты от DDoS-атак, их государственные заказчики в результате атак регулярно и аккуратно обращаются в компанию за экспертизой для предоставления в правоохранительные органы. Но госзаказчиков среди клиентов меньшинство. Александр отмечает: «Сейчас ситуация в отрасли по-прежнему оставляет желать лучшего, налицо так называемое lack of knowledge (отсутствие знаний). Вспомните многократные падения сайта Центрального банка, который «положили» любители с помощью элементарных приемов. Такая же ситуация была в государственных банках ВТБ, «Сбербанк». Считаю, что эти вопросы могло бы решить не техрегулирование, а независимые поставщики услуг, и в целом везде, где можно обойтись без государства, нужно обходиться без него – это приводит к наилучшим достижениям».

Организация Ресурс Шифрование данных: длина ключа, протокол
Google, все основные ресурсы, включая главную страницу www.google.com 256-бит, TLS 1.2
Microsoft Azure, консоль управления облаком azure.microsoft.com 256-бит, TLS 1.2
ФБР США, форма сообщения о преступлении www.fbi.gov 128 бит, TLS 1.2
Amazon AWS, консоль управления облаком aws.amazon.com 128 бит, TLS 1.2
Вконтакте www.vk.com 128 бит, TLS 1.2
ФСБ РФ веб-приемная www.fsb.ru Нет шифрования, HTTP
Президент РФ, формы для письма, сообщения о коррупции и жалобы www.kremlin.ru Нет шифрования, HTTP
Президент США, форма для отправки письма www.whitehouse.gov Нет шифрования, HTTP

Источник: CNews Analytics, 2014

Кстати говоря, лидерство коммерческих организаций подтверждается реальными и простыми примерами. По мнению многих, технологии взлома 128-битного шифрования уже существуют, но государственные органы иногда пренебрегают даже таким шифрованием. По мнению Алексея Раевского, генерального директора компании Zecurion, характерной проблемой госсектора является применение российских продуктов, имеющих сертификат, но отстающих от мировых лидеров по возможностям и соответствию желаниям заказчика.

С ним согласен и Игорь Корчагин, руководитель группы обеспечения безопасности информации компании ИВК, добавляя, что в таких сферах как защита виртуализации, облачных решений, мобильных устройств, SIEM и IDS/IPS отечественный рынок еще слишком молод и зачастую состоит из продуктов, являющихся переработкой решений open source.

Электронная подпись как средство защиты

В качестве позитивного примера можно отметить сдвиги в области аутентификации пользователей. Одной из главных мер станет переход всех порталов на систему ЕСИА (Единая система идентификации и аутентификации), то есть единых учетных данных пользователя для всех систем, что позволит избежать тех самых многочисленных желтых бумажек с паролями, наклеенных на монитор.

Илья Трифаленков, один из создателей ЕСИА, в настоящее время начальник отдела информационной безопасности ФБУ «ИТЦ ФСТ России», считает: «К сожалению, данная система не используется сейчас полностью, очень мало систем работают с надежными методами аутентификации, предпочитая пароли, защита которых достаточно безнадежна. В целом мы сегодня обладаем хорошей инфраструктурой в этой области – не хватает скорее компетенции и политической воли ее использовать. Вопрос нехватки кадров в госструктурах можно решить только одним способом: оставить в госструктурах службу заказчика услуг, а исполнение поручить квалифицированным операторам. Был проект с «гособлаком», но он заглох, был проект с облаком Госзнака, но его судьба сейчас также не определена. Основная проблема – в крайне низкой компетентности людей, принимающих сегодня решения в области государственных ИТ-систем».

Действительно, именно массовое распространение средств ЭЦП (выдача их каждому корпоративному пользователю и физлицу) позволит перейти на полноценный обмен защищенными электронными документами, что в масштабах страны значимо повысит производительность труда и сэкономит природные ресурсы.

В этой связи интересна позиция руководителя ФНС Михаила Мишустина, который высказался за бесплатность средств ЭЦП на октябрьском заседании правительственной комиссии по использованию ИТ для улучшения качества жизни и условий ведения предпринимательской деятельности под председательством Дмитрия Медведева. Это отражает мнение многих специалистов, считающих стоимость российских средств ЭЦП завышенной из-за низкой конкурентности этого сегмента. Например, при покупке через сеть «Такском» сертификат и USB-ключ обойдутся для физического лица в i2600, а для юридического в i5–10 тыс.

Для сравнения, розничная стоимость годового сертификата и USB-ключа у глобальных коммерческих поставщиков – i180 и i250 соответственно, а приложения генерации одноразовых паролей для мультифакторной аутентификации в облаке Amazon Web Services вообще распространяются бесплатно и могут быть установлены на любой популярный смартфон.

Дмитрий Тирский, эксперт направления аудита и консалтинга департамента информационной безопасности компании Softline: «На развитие возможностей применения решений ЭП влияет сам российский рынок, который пока что не может предложить 100% легитимные программные продукты для мобильных пользователей. С другой стороны – заметна определенная зарегулированность как области использования, так и требований к шифровальным (криптографическим) средствам».

Строгость законов компенсируется…

Что касается административных мер, то тут мнения в основном сходятся: необходимая нормативная база есть, вопрос заключается только в контроле за ее применением в госорганизациях.

Тем не менее Евгений Грязнов, заместитель начальника отдела компании «Анкад» критикует защиту государственных ИТ-систем и порталов за отсутствие внятной единой концепции. Каждое ведомство делает свои системы «как умеет», зачастую ориентируясь на цену в тендере, а не на долгосрочные преимущества и грамотное проектирование ведущими специалистами отрасли. Кроме того, низкая квалификация персонала приводит к тому, что защита систем подрывается неумышленной безграмотной настройкой систем.

Руководитель проектов направления информбезопасности департамента комплексных проектов «Ланит» Алексей Орешников видит проблему в пассивной позиции организаций: «На мой взгляд, необходимо усилить проверки прежде всего тех госорганизаций, где информбезопасность финансируется по остаточному принципу. Как правило, именно там соблюдаются не все требования законодательства, несмотря на то, что в последние годы они были детально проработаны и все необходимые системы и услуги на рынке присутствуют. Есть позитивная тенденция: многие ведомства (Центробанк, Минздрав, Министерство социальной политики) централизованно разрабатывают методическую базу, рекомендуемые проектные решения для своих структурных подразделений и подведомственных организаций. Контроль за выполнением требований законодательства является первоочередной задачей».

Дмитрий Тирский ссылается на то, что нормативная документация есть, нужно лишь выполнять ее требования: «Если говорить о правовом регулировании, то есть основной документ – приказ ФСБ и ФСТЭК от 31.08.2010 №416/489 «Об утверждении требований к защите информации, содержащейся в информационных системах общего пользования». Именно он описывает полный набор требований к защите информации на госпорталах. Есть также приказ №21 ФСТЭК, где обозначены требования к защите персональных данных. То есть, требования по защите информации есть, но они не всегда соблюдаются при выполнении работ по созданию системы защиты портала. Также стоит отметить и недостаточный контроль выполнения этих требований со стороны регуляторов».

Понятно, что для крупных интеграторов сложность требований к защите информации является скорее плюсом, возможностью для оказания услуг госзаказчикам и крупным корпорациям. В то же время организации небольшого размера, как правило, не могут позволить себе услуги дорогих специалистов, а значит, существуют массовые нарушения. Таким образом, зарегулированность является значительным препятствием в ведении бизнеса с рисками уголовного преследования руководства, поэтому нельзя исключить и высокие коррупционные риски.

Дмитрий Морозов, ведущий специалист по проектированию ИТ-инфраструктурных решений Custis, считает, что многое зависит и от подхода разработчика, который вынужден балансировать между безопасностью и другими параметрами продукта. Понятно, что чем быстрее ведется разработка, чем больше функционал – тем больше «дыр» в продукте, тем меньше времени остается на тестирование его защиты. Риски для заказчика в том, что, заказывая продукт у поставщика, ориентированного на некритичные отрасли, он может столкнуться именно с подходом «сегодня пишем максимум кода и закрываем контракт, дыры залатаем завтра».

Облака приказом не сдержать

В административно-законодательной плоскости основными нововведениями по защите госпорталов стали запрет на хранение персональных данных россиян за пределами РФ с 2015 года, а также находящийся сейчас на рассмотрении законопроект, который предусматривает перенос всех сайтов государственных и муниципальных органов РФ на территорию России – он призван упростить уголовное преследование взломщиков.

Следует отметить, что тенденция переноса сайтов и данных на территорию страны противоречит общемировому бурному спросу на размещение в трансграничных облачных центрах-гигантах, таких, как Amazon Web Services (AWS), Microsoft Azure и Google Cloud, которые позволяют заказчику сэкономить за счет своего большого масштаба и проработанных систем управления. Например, сотрудники европейского подразделения AWS говорят, что для разгрузки серверного оборудования у них в датацентрах буквально работают автопогрузчики, ежедневно в серверные стойки устанавливается столько оборудования, сколько необходимо было было для поддержки бизнеса Amazon.com, когда тот приносил 7млрд долл. Но хотя в США эта корпорация создала выделенное облачное пространство специально для госзаказчиков с соблюдением необходимых требований по изоляции данных и безопасности, открытие центров в каждой европейской стране пока что не предусматривается, провайдер будет держать минимальные цены именно за счет укрупнения дата-центров и экономии на масштабах.

Очевидно, что облачный тренд в полной мере настигнет нашу страну в ближайшие 1-3 года. Выгоды облачных систем для информационной безопасности очевидны: российские облачные провайдеры смогут обеспечить соответствие требованиям федеральных законов централизованно, на основе типовых планов, а поддержкой систем будут заниматься выделенные высококвалифицированные специалисты, что решит проблемы госорганизаций с их низкими зарплатами. Стоит отметить и упрощение доступа к данным для проведения кибер-расследований или сбора информации о террористической деятельности – когда все от электронной почты до отсканированных накладных и образов рабочих станций хранится в облаке, анти-террористической службе уже не нужен прямой доступ на территорию интересующей их организации.

Препятствиями для массового перехода госресурсов в российские облака пока что остаются их высокая стоимость, отсутствие действительно конкурентоспособных систем управления отечественного производства, а также кадровая проблема. Из опыта Евросоюза известно, что для переподготовки инженера на управление ресурсами в облачной системе требуется несколько недель курсов. Аспекты не только технические, но и организационные, требуется другой подход к планированию.

Взгляды участников рынка на известные облачные системы разнятся. Александр Лямин относится критически: «У крупных облачных провайдеров, таких, как Microsoft Azure, задачи защиты от DDoS атак не решены, ситуация overpromise-underdelivery («много обещаний – слабая реализация»). В том числе таким клиентам в таких облаках мы и предоставляем защиту с помощью своих систем. Но надо отметить и специфическую проблему российского рынка: в коррупционных схемах представителю заказчика выгоднее разово приобрести для организации дорогое оборудование, чем подписываться на относительно недорогой сервис с ежемесячной оплатой».

Вмешательство политики

Крупнейшее влияние на рынок также оказывают политические процессы в рамках которых российские организации ориентируют на импортозамещение. Комментирует Дмитрий Тирский: «Очевидная точка роста на сегодня – использование отечественных решений типа Web Application Firewall (межсетевой экран для защиты веб-приложений), а также защита от DDOS. Такие решения уже разрабатываются в России партнером Softline – компанией SolidLab, и мы готовы их предложить заказчикам. Если говорить о других подсистемах безопасности: защита от НСД, антивирусная защита, средства обнаружения вторжений, анализа защищенности, – то в той или иной степени альтернативные решения уже присутствуют на рынке и активно применяются. Единственное, что хотелось бы увидеть – это большее разнообразие, а также адаптацию технологий и средств защиты информации под мобильные устройства».

Проблема Решение Компания
Недостаточное распространение средств ЭЦП Снижение зарегулированности рынка, повышение конкуренции


Переход на бесплатные средства ЭЦП
ИТЦ ФСТ России, Softline, R-Style.

ФНС России, R-Style
Типовые уязвимости веб-порталов - Использовать при разработке ПО лучшие практики (OWASP Secure Coding Practices, Microsoft SDLC Guide);
- проводить регулярное обновление используемого ПО;
- проводить настройку веб-сервера и его окружения в соответствии с рекомендациями вендоров;
- не реже одного раза в год проводить анализ защищенности веб-приложений от наиболее опасных и популярных атак (согласно статистике и рекомендациям OWASP).
Информзащита
DDoS-атаки Как минимум – возможность отключать ICMP-трафик и вынесение DNS за пределы собственной площадки. Qrator Labs.
Слабое исполнение нормативных требований Дополнительные проверки государственных организаций регуляторами. Softline, «Ланит»
Все Максимально использовать возможности аутсорсинга в помощь штатной ИТ-службе. Все опрошенные.

Источник: CNews Analytics, 2014

Александр Лямин: «Что касается импортозамещения, то тут важен вопрос наличия элементной базы и инструментов для создания программных систем (компиляторов). Только в случае наличия этих собственных составляющих программа импортозамещения приведет к реальному укреплению безопасности».

В целом понятно, что госпорталы ожидают значительные перемены, и для достижения наилучших результатов по мнению участников рынка следует использовать тактики, сведенные в единую таблицу.

Артем Наумов

Подписаться на новости