Что не так с безопасностью государственных ИT-систем в Украине
Или как нельзя делать КСЗИ
Последние годы происходит активная диджитализация государства, как услуг, так и внутренних процессов. Безопасность государственных ИТ-решений призвана защищать комплексная система защиты информации (КСЗИ), однако общество продолжает беспокоится о надежности хранения своих данных. Какие существуют риски утечки информации, где их корни и как с этим бороться?
Что такое КСЗИ?
Комплексная система защиты информации (КСЗИ) — это совокупность технических и организационных мер для защиты информации ИТ-системы. Они обеспечивают конфиденциальность и целостность, управляют доступами и отслеживают все действия в системе.
В Украине КСЗИ для государственных ИТ-систем занимается Государственная служба специальной связи и защиты информации Украины. Сфера регулируется Законом Украины «О защите информации в информационно-телекоммуникационных системах».
Процесс создания КСЗИ является частью процесса разработки новой ИТ-системы. Классически это выглядит так:
1. Описывают требования по безопасности;
2. Внедряют;
3. Тестируют безопасность готовой системы.
Эти процессы достаточно стандартизированы. Подход в Украине адаптирован к международным стандартам и ничего уникального не содержит. В США также проходят нормативно-отрегулированные испытания на соответствие параметрам безопасности.
Где же риски?
Несмотря на универсальность, стандарты КСЗИ оставляют большое пространство для маневра.
1. Важно соблюдать разработку КСЗИ вместе с ИТ-системой. Каждый раз эксперты по безопасности должны оценить риски и продумать методику тестирования новой системы. Если же сначала разрабатывается ИТ-система, а затем КСЗИ на нее, риски утечки информации очень высоки.
2. Если у государственного органа есть КСЗИ на дата-центр или систему виртуализации, не стоит полагать, что и любое другое программное обеспечение на нем, будет автоматически защищенным. Достаточно допустить самую простую ошибку в настройках, и из системы могут «уплывать» данные, учетные записи пользователей и никакая защита дата-центра не спасет.
3. Еще одним явлением, о котором стоит помнить, является «флешнет». Это выглядит так. Если необходимо взаимодействие одной системы, у которой есть КСЗИ, с другой, у которой ее нет, напрямую такие системы не подключают. Известным решением является передача информации на флешке. Данные из одной системы копируют на флешку и загружают в другую. Такой подход создает максимальные риски. Отчет Kroll о глобальном мошенничестве подтверждает, что инсайдеры представляют наибольшую угрозу информационной безопасности. А при «флеш-подходе» уже готова удобная возможность для выгрузки информации. Остается только скопировать данные на свой ноутбук, и эта операция останется незамеченной.
Что с этим делать?
Подобных недочетов может быть множество, но стоит отметить и позитив. Платформа государственных услуг Дія — первая государственная система в Украине, которая для подтверждения безопасности даже запустила Bug Bounty. Белые хакеры проверяли систему на уязвимость и пока взломать ее никто не смог.
При этом Дія не хранит информацию о пользователях. Она отображает то, что уже есть в государственных реестрах. К сожалению, многие из них устарели и имеют разный уровень качества. Сфера КСЗИ нуждается в реформировании, чтобы глобально обезопасить персональные данные и заслужить доверие украинцев к государственной диджитализации. На что стоит обратить внимание:
1. Обеспечить разработку КСЗИ вместе с ИТ-системой в обязательном порядке;
2. Требования к программному обеспечению в рамках КСЗИ прорабатывать с архитекторами и разработчиками, а также четко указывать их в техническим задании на старте проекта;
3. В автотесты работоспособности системы обязательно включать тесты на безопасность;
4. Политики безопасности должны внедрять специализированные профессионалы.
- Оскарження в суді містобудівної документації як нормативно- правового акту Євген Морозов 10:50
- Містобудівна документація: генеральний план населеного пункту Євген Морозов вчора о 20:35
- Legal instruments to combat stalking, based on international experience Руслана Абрамович вчора о 17:39
- Спрощення процедур чи посилення контролю? Нове Положення НБУ під час воєнного стану Світлана Приймак вчора о 16:35
- Ключові тренди сталого інвестування та ESG для добувної галузі у 2025 році Ксенія Оринчак вчора о 14:54
- Як забезпечити стабільність та вигоду на енергоринку України у 2025 роци? Ростислав Никітенко вчора о 13:31
- Право на здоров’я та трансплантацію: фундаментальне благо і виклик сучасного суспільства Дмитро Зенкін вчора о 13:17
- Як змусити інтер’єр працювати на ваш бренд? Алеся Карнаухова вчора о 11:48
- Успіх компанії залежить від ефективності кожного працівника Катерина Мілютенко 23.12.2024 23:55
- Поділу доходів отриманих другим із подружжя від зайняття підприємницькою діяльністю Євген Морозов 23.12.2024 20:34
- Скасування повідомлення про підготовчі роботи: юридичні аспекти Павло Васильєв 23.12.2024 17:22
- Судова практика: сервітут без переговорів – шлях до відмови в позові Світлана Приймак 23.12.2024 16:11
- Доцільність залучення експерта у виконавчому провадженні Дмитро Зенкін 23.12.2024 13:14
- 2025. Рік економічного відновлення, репатріації та інтеграції військових. Чи буде так? Сергій Лабазюк 23.12.2024 11:43
- Розпорядження майном "цивільного подружжя" при поділі спільного сумісного майна Євген Морозов 22.12.2024 20:34
- Україна сировинний придаток, тепер офіційно? 1431
- Когнітивка від Psymetrics – прогнозований бар’єр для Вищого антикорупційного суду 729
- Вчимося та вчимо дітей: мотивація та управління часом 379
- 2025. Рік економічного відновлення, репатріації та інтеграції військових. Чи буде так? 248
- БЕБ, OnlyFans та податкова істерика: хто насправді винен? 139
-
П'ятірка найкасовіших різдвяних фільмів в історії: класика святкового кіно
Життя 8156
-
Кабмін продовжив на місяць усі бронювання через кібератаку на реєстри
Бізнес 5370
-
Укренерго дало команду на екстрені відключення світла: причина
оновлено Бізнес 5182
-
В окупованих Росією містах з'явилися компанії з великими оборотами: хто ними володіє
Бізнес 4660
-
Індекс "різдвяного кошика": вартість святкового столу зросла на 23% за рік
Бізнес 4319