Беспокоятся ли госучреждения о безопасности?

        Считаю, что ситуации, аналогичные той, в которую в феврале 2010 года попала латвийская Служба Госдоходов (имеется в виду утечка налоговых деклараций), могут быть вполне типичными как для госучреждений, так и коммерческих компаний, причём для госучреждений даже в большей степени. Конечно, я не могу говорить за компьютерные инфраструктуры абсолютно всех учреждений, — я лично знаю примеры проектов, реализованных и поддерживаемых на весьма достойном уровне. Но большинство опрошенных мною специалистов, работающих в или сотрудничающих с государственными учреждениями, сходятся во мнении, что уровень именно компьютерной безопасности во многих из них находится ниже критического уровня.

        На самом деле, проблемы, связанные с проникновениями в компьютерные системы либо вирусными поражениями, случались и раньше, да и сейчас происходят постоянно, просто они либо остаются необнаруженными, либо не выносятся на суд широкой общественности, их последствия стараются ликвидировать по-тихому.

        Например, в этом месяце работа компьютерной сети одного из госучреждений (2500 машин!) прервалась на два дня. Что конкретно стало причиной сбоя, так до конца и не было обозначено — были основания полагать, что причиной стало вирусное заражение.

        Система электронного декларирования — не первая система с дырой, эксплуатировавшейся людьми из Интернета. Пару лет тому обратно точно такая же дыра была обнаружена в одной из систем расчёта страховок, о ней знали несколько человек. ZeusNT сумел убедить разработчика в наличии проблемы, и со временем та была устранена.

        Считаю, число инцидентов подобного рода будет только увеличиваться, и некоторые ошибки известны уже сейчас. Например, для того, чтобы предоставить программу работы с цифровыми подписями eParakstitajs своим пользователям, мы вынуждены существенно снижать уровень безопасности своей сети. Проблема только достучаться сначала до самих разработчиков, затем убедить их, что ошибка имеет место быть.

        Ещё до введения проекта цифровых подписей eParaksts я обозначал проблему: система вселатвийского масштаба должна поддерживаться и быть понятной не только её разработчикам, но и всем, кто с ней будет работать — в первую очередь, ИТ-персоналу на местах. И тут мы упираемся в оборотную сторону медали: системных администраторов, способных грамотно обращаться с проектами такого уровня, очень мало. По приблизительным оценкам, не более 5% администраторов понимают, что такое цифровые подписи и как с ними должно обращаться в первую очередь с точки зрения безопасности.

        На мой взгляд, недостаточное финансирование — не единственная и, возможно, не самая главная проблема. Наоборот, иной раз имеющегося финансирования более, чем достаточно — вспомните скандалы c «золотыми» государственными веб-проектами, которые выглядят студенческими наколенными поделками. Кроме вопросов финансирования, современные факторы риска — низкой уровень компетентности ИТ-персонала (системных администраторов) с одной стороны; того, насколько руководство предприятий готово к пониманию важности процедур ИТ-безопасности, с другой. Также приходится констатировать, что большое количество разработчиков программных систем по разным причинам не готово вовлекать специалистов по компьютерной безопасности в детали процесса разработки.

        Полностью убрать риски невозможно, они будут всегда, и идеальной защиты не существует. Но существенно эти риски снизить, не допускать совершенно глупых ошибок — это возможно. Мир компьютерных технологий стремительно развивается, и современные условия требуют не пускать уровень компьютерной грамотности на самотёк.

        Все стороны должны обучаться. Проблемы, как правило, не происходят из-за одной ошибки. А вот сумма ошибок приводит к проникновению, взлому и утечке информации.

1. Нужны не столько командировки на семинары с умными словами, сколько практические тренинги по безопасности как для технического персонала, так и руководителей предприятий, разработчиков и даже конечных пользователей, так как именно пользователи, которые уже допущены к системе, обычно представляют собой наибольшую угрозу.
2. Также, как мне кажется, руководителями ИТ-отделов должны быть не только люди умные и ответственные, но практикующие. Должно поменяться отношение к ИТ в целом.

        И, конечно, принимать экзамены, чтобы человек не мог просто отсидеться на тренинге и пойти дальше. В настоящий момент «специалистом» зачастую может назваться вообще кто угодно. И работать, как угодно. И руководство даже не может проверить качество работы ИТ-персонала — то есть, мы все являемся немножко заложниками специалистов. В идеале, где-то в своих мечтах, я вижу принудительную сертификацию ИТ-персонала.

        Часть данного интервью озвучена в передаче DeFacto на LTV1, мои фрагменты на 0:58 и 04:52 ..)

Last Content Update: 23-Feb-2010