Поддержать
В декабре россияне нанесли масштабную кибератаку на базовые реестры Минюста, в частности Государственный реестр актов гражданского состояния, Единый государственный реестр юридических лиц и Государственный реестр прав. Все они имеют статус так называемых базовых регистров в Украине. Поэтому в мгновение ока остановились любые действия в сфере недвижимости и бизнеса, государственные программы «єОселя» и «єВідновлення», торги на бирже, назначение людей на государственную службу, государственные закупки, оформление отсрочок, рассмотрение части судебных дел, работа нотариусов и еще куча е-услуг в «Дії» и других государственных приложениях. Что нужно сделать, чтобы подготовиться к следующим возможным атакам рассказал Роман Ланской в статье «Горячие атаки и холодные копии данных: как разгрести последствия декабрьского реестрапада?»
«Время атаки враг выбрал неслучайно... Традиционно конец декабря — это время, когда всевозможные государственные институты осуществляют много важных закупок, иногда на двузначные проценты своих годовых бюджетов. 30 декабря работу нескольких систем уже возобновили. Поэтому самое время на холодную голову получше оценить ситуацию, которая сложилась», – пишет автор.
По его словам, в сложной структуре госорганов сложно понять, кто ответственен за безопасность реестра. И хотя эта роль якобы принадлежит Министерству юстиции, однако там сейчас новая команда, а проблемы с ГП «Национальные информационные системы» досталась ей в наследство, переходя из рук в руки каждому следующему руководителю ведомства. Поэтому, отметил Ланской, гораздо конструктивнее вместо разговоров, кого стоило бы уволить, было бы поговорить о том, на каких этапах и как подготовиться к следующим подобным атакам. И первым шагом автор называет конкурентные закупки IT-услуг.
«В украинском GovTech есть старая традиция вендорлока или обычным языком – монополии поставщика. Многие украинские ведомства работают с определенными подрядчиками, злоупотребляющими эксклюзивным положением. Они намеренно монополизируют доступ к системам», – пишет автор.
В частности, это делается из-за разработки сервисов на уникальных и редких технологиях. Иногда это малораспространенные языки программирования, такие как Elixir, которыми владеют максимум несколько сотен специалистов. Иногда используют другие трюки, например, делают свою «кастомизацию» языка программирования, которым владеет только эта компания. Часто способ еще более банальный – избегают написания документации, передачи прав на продукт или просто саботируют передачу паролей/доступов другим подрядчикам. Нередко в этом замешаны коррупционные договоренности с самими заказчиками, подчеркивает Ланской.
«Эта монополия разрушает системы изнутри. Ибо, с одной стороны, разработчики не имеют мотивации работать над качественными сервисами и их защитой. А с другой стороны, сам заказчик даже при наличии политической воли не имеет рычагов влияния на подрядчика, когда хочет продукт лучшего качества», – объясняет автор.
По словам Ланского, нужно активно бороться с монополией. В частности, важно дать возможность работать над системой другим или изменить компанию, если она не выполняет требования по качеству.
Второй шаг, как отмечает автор, это установление нормальных сроков разработки. Украинские реалии запуска электронных систем таковы, что продукты заказывают «на вчера». Короткое окно возможностей, телефонный запрос из высшей инстанции или офиса президента, внезапное изменение кадров и приход реформаторов на руководящие должности вызывают запрос на быстрые релизы.
«При таких условиях разработчики, даже если они профессионалы, в лучшем случае урезают этап тестирования. А в худшем – и функционал системы. Соответственно, в релиз часто идут сырые продукты, в частности, поверхностно оттестированные с точки зрения безопасности», – говорится в статье.
В комбинации с недобродетельным вендором, который не мотивирован к качественной работе и его невозможно к ней заставить, этот технический долг обречен до бесконечности накапливаться.
Третьим шагом Ланской называет надлежащую проверку государственных IТ-систем. По словам автора, все пораженные реестры, очевидно, прошли экспертизу комплексной системы защиты информации и аттестаты соответствия. Но между аттестатом и реальной безопасностью — если не пропасть, то очень большое расстояние. Основные документы, такие как Закон Украины «О защите информации в информационно-коммуникационных системах», были приняты еще в 1990-х и 2000-х годах. При этом обновляли их лишь отчасти.
«В большинстве своем все нормы были придуманы в то время, когда еще не было ни облачных технологий, ни распределенных баз данных. Эта законодательная база ориентирована на традиционные физические и программные методы защиты. Которые все еще необходимы, но их недостаточно. Проще говоря, правила по кибербезопасности отстают от современных тенденций и в основном сфокусированы на том, чтобы «выдать бумажку». Они нуждаются в заметном обновлении как стандартов безопасности, так и подходов к ее оценке», – добавляет автор.
И четвертым шагом Ланской называет политики безопасности по кадрам и их инструментам. Ведь защищать нужно не только продукт, но и рабочие места, внутренний периметр. Автор добавил, что многие ведомства не уделяют достаточно внимания защите компьютеров, почты, программ и других инструментов, с которыми работают люди.
«Условно говоря, у вас может быть очень защищенная система, но если хакер получил доступ к компьютеру администратора, все это бесполезно. Часто даже с компьютера простого работника, обладающего очень скромными правами доступа, можно получить много всего. К примеру, «слить» все данные, внести недостоверные. Это дополнительное окно проникновения в систему», – пишет Ланской.
Он также подчеркнул, что кибербезопасность имеет человеческое измерение. В случае с Минюстом уже звучали заявления о том, что атака на его реестры произошла из аккаунта наивысшего уровня. Всегда остается риск, что люди могут быть завербованы из-за подкупа или угрозы. Также человек может быть не тем, за кого себя выдает и иметь нежелательные связи. Для этого есть полиграф и другие проверки. Они должны быть введены не только в оборонной сфере.
Подытоживая все вышенаписанное, автор отметил, что, во-первых, вендорлок – это зло. Только здоровая конкуренция между потенциальными вендорами государственных органов породит здоровое предложение и функциональные продукты. Заказчикам, по совам Ланского, давно пора избавиться от зависимости от компаний, разобраться в рынке GovTech и разнообразить списки подрядчиков через конкурентные тендеры. После привлечения лучших вендоров для создания продукта требуется лучшее планирование: запланированное время на полноценное тестирование и настройки безопасности.
Во-вторых, добавляет автор, реформа Госспецсвязи перезрела. Пока прогресс в этой теме есть, но он слишком медленный.
В-третьих, даже самая лучшая система не застрахована от человеческого фактора. Проверять людей и иметь четкие политики по средствам их работы (техники, программ и т.п.) — это не просто совет по личной информационной безопасности, это о национальной безопасности в условиях войны.
Напомним, 19 декабря Россия осуществила одну из самых масштабных кибератак на государственные реестры Украины. В результате временно приостановили работу Единые и Государственные регистры, которые находятся в компетенции Министерства юстиции Украины.
Только 30 декабря Минюст сообщил о возобновлении работы первых трех реестров. В частности, заработали Единый реестр доверенностей, Наследственный реестр и Единый реестр специальных бланков нотариальных документов.
Следить в Телеграмме
Войти с помощью Facebook
Войти с помощью Twitter
Войти с помощью Google