Экономика

Спасение атакуемых

"Гриценко, не спи!" — этот вызывающий призыв летом 2005 года появился на главной странице сайта Министерства обороны. Его взлом стал,

"Гриценко, не спи!" — этот вызывающий призыв летом 2005 года появился на главной странице сайта Министерства обороны. Его взлом стал, пожалуй, первым громким скандалом, связанным с безопасностью государственных информационных ресурсов Украины.

Взломщика вряд ли можно было подозревать в намерении нанести ущерб обороноспособности страны: он ограничился лаконичным обращением к тогдашнему министру обороны. Таким радикальным способом удалось, наконец, привлечь внимание министерства к наличию уязвимостей на сайте, о которых программисты Ukrainian PHP Group неоднократно предупреждали Минобороны и СБУ.

Дыру в сайте Минобороны, разумеется, "залатали". Но безопасность государственных сайтов с тех пор не стала лучше. Атаки и взломы происходят все чаще.

Разгон Евромайдана спровоцировал в конце ноября — начале декабря 2013 г. серию DDoS-атак на сайты президента, Кабмина и МВД. Атаки продолжились и в начале 2014 г. 17 января не работал сайт МВД Украины.

В двадцатых числах января были зарегистрированы DDoS-атаки на сайты Луганского облсовета и президента, что вызвало замедление его работы. 27 января взломали сайт мэрии Запорожья, разместив на нем видеоролик разгона местного Евромайдана, снятый накануне.

"ВД" выяснила, какие меры предпринимаются для защиты сайтов государственных органов и почему они не достаточно эффективны.

Два тендера — один поставщик

По стечению обстоятельств как раз в разгар массовых протестов конца прошлого года, когда хакеры атаковали государственные web-ресурсы, некоторые госорганы подво­дили итоги тендеров и заключали договоры на поставку решений по их защите.

Кабмин заключил договор с ЧАО "Информационные компьютерные системы" ("Инком") на услуги защиты Единого web-портала органов исполнительной власти от DDoS атак, потра­тив на это около 350 тыс. грн.

Еще более щедрым оказалось Управление делами Верховной Рады, купившее за 2,3 млн грн. у той же компании межсетевой экран и за 1,8 млн грн. некую систему противодействия и уменьшения влияния от DDoS-атак.

Компания "Инком", 73% акций которой принадлежит руководителю экспертной комиссии партии "Сильная Украина" Александру Кардакову, — традиционный поставщик IТ-решений для государственных органов.

Без сомнения, имя компании — весомое на рынке. Но, даже несмотря на это, она несколько раз фигурировала в тендерах с завышенными ценами.

Это, в частности, дало НГО "Центр противодействия коррупции" повод оспорить в прошлом году два выигранных этой компанией тендера, общая сумма которых составила 6,67 млн грн. На момент сдачи номера в печать комментарии от компании "Инком" не поступили.

Дороговизна закупленных решений обращает на себя внимание и в этот раз. В Управделами Верховной Рады "ВД" отказались уточнить, какие именно решения информационной безопасности были закуплены, объяснив это конфиденциальностью.

"Эта информация раскрывает состояние защищенности и технологию защиты локальной сети и информационных ресурсов Верховной Рады", — аргументировали в Управделами ВР.

Судя по уровню цен, для защиты сайтов Верховной Рады может применяться межсетевой экран класса Enterprise и аппаратное устройство для защиты от DDoS-атак Arbor Peakflow SP Threat Management System. Трудно было бы выбрать более дорогие решения.

Так, межсетевые экраны класса Enterprise применяются в дата-центрах интернет-провайдеров и других масштабных системах, рассчитанных на большое — до 10 тыс. и более — количество пользователей.

Для защиты сайтов Единого веб-портала органов исполнительной власти, как сообщили "ВД" в Кабмине, закупили облачное анти-DDoS решение Kaspersky DDoS Prevention. Таким образом, за аренду облачной защиты от DDoS-атак придется платить каждый год (в случае продолжения сотрудничества, контракт заключен на год — прим. "ВД").

Кроме того, работа Kaspersky DDoS Prevention основана на перенаправлении трафика в центры фильтрации Kaspersky DDoS Prevention, которые находятся, в том числе, в России.

Такое решение само по себе создает еще одну угрозу информационной безопасности Единого веб-портала органов исполнительной власти. Для правительственных сайтов логичнее было бы использовать решение, расположенное в Украине.

Насколько эффективной оказалась закупленная защита? Сайт Кабмина в январе не всегда был доступен. Согласно договору с "Инкомом", защита от DDoS-атак уже должна была работать: решения следовало поставить еще в конце декабря, а перебои в работе сайта отмечались 27 января. Правда, в Кабмине "ВД" заверили, что перебои в работе правительственного портала не связаны с продолжением атак.

"Правительственный портал 27 января кратковременно был недоступен по техническим причинам, не связанным с DDoS-атаками. DDoS-атак в это время зафиксировано не было", — сообщил Сергей Нагорянский, директор Департамента информации и коммуникаций с общественностью Секретариата Кабмина.

Риски для данных

Как бы там ни было, сама по себе защита от DDoS-атак не решит всех проблем — остаются риски взлома и инфицирования сайтов. Эксперт по информационной безопасности Евгений Докукин постоянно обнаруживает уязвимости государственных сайтов, которые могут использоваться для инфицирования. Но они, похоже, мало интересуют гос­органы.

Так, обнаружив в прошлом году несколько уязвимых мест на сайте НБУ, он проинформировал о них администрацию сайта, но проблемы долгое время не были устранены.

Такая же история случилась ранее, в 2008 году, когда об уязвимости на сайте Национального банка даже сообщали в выпусках новостей канала "1+1". Лишь после этого администрация сайта устранила ее.

Киберпреступления затрагивают не только сайты Верховной Рады и Единого веб-портала органов исполнительной власти, но и многочисленные сайты местных органов власти, значительная часть которых сделана с использованием программного обеспечения с открытым кодом, уязвимости которого хорошо известны.

"Почему-то считается, что на веб-ресурсах госорганов нет конфиденциальной информации, а недоступность сайта в результате атаки — не проблема, ее можно потерпеть какое-то время", — пожимает плечами Алексей Денисюк, специалист по информационной безопасности компании "Софтлайн Интернешнл".

Кроме, собственно, веб-сайтов в защите нуждаются почтовые и файловые сервера, внутренние ресурсы, доступ к которым пытаются получить взломщики, и другие информационные ресурсы. К примеру, в декабре 2013 года хакеры взломали почтовый сервер mail.voladm.gov.ua, получив доступ к большому количеству почтовых аккаунтов госслужащих.

Незадолго до этого той же группой были взломаны почтовые аккаунты и мобильные устройства председателя Верховной Рады Владимира Рыбака и министра внутренних дел Виталия Захарченко. Как заявили анонимные хакеры, эти взломы заказал заместитель главы Верховной Рады Игорь Калетников.

Хакеры также утверждали, что для того же заказчика в 2012 году они взломали Единый государственный реестр избирателей. В Государственной службе специальной связи и защиты информации, которая вместе с Центральной избирательной комиссией обеспечивает защиту Реестра, не подтвердили эту информацию.

Впрочем, в Госспецсвязи не отрицают, что проблемы, связанные с несанкционированным доступом к информации (в том числе и к персональным данным), собственником которой является государство, имеют место.

По словам Евгения Докукина, из-за плохой защиты государственных информационных ресурсов утечки персональных данных происходят постоянно, и число их растет, хотя об этом никогда не сообщают. В отличие от стран с развитым законодательством, касающимся защиты персональных данных, в Украине допустивший утечку госорган или коммерческая структура не обязана уведомлять о ней.

Вопросы утечек должны были бы интересовать Госслужбу по вопросам защиты персональных данных, но, по словам Евгения Докукина, обращаться в эту службу с сообщениями об утечках бесполезно — она игнорирует не только их, но и уведомления об уязвимостях на сайте самой службы.

Продолжение следует

Недавними закупками решений по защите от DDoS-атак органы власти не ограничатся. С 2012 г. Госспецсвязи разрабатывала целую Программу защиты государственных информационных ресурсов, которую представила в январе с. г., попросив выделить на ее реализацию 21,9 млн грн. (подробнее — см. блиц-интервью с Иваном Соколовым).

В этом нет ничего удивительного — объемы финансирования расходов на информационную безопасность web-ресурсов госорганов далеки от идеальных. Судить о том, по каким ценам будут закупать решения по защите от кибератак, пока рано.

Другое дело, что даже самого дорогого решения, представленного на рынке, может быть недостаточно для обеспечения безопасности государственных информационных ресурсов. В идеале необходима комплексная программно-аппаратная система защиты, разработанная и поддерживаемая специалистами самих госструктур.

"Распространенные аппаратные решения информаци­онной безопасности хорошо известны, и любому специалисту, прошедшему соответствующие курсы и изучившему необходимую документацию, обойти систему защиты, построенную на их основе, сложно, но можно, — считает Сергей Алейников, специалист по информационной безопасности. — Другое дело — программная часть, написанная под конкретного заказчика. В силу своей уникальности, она не имеет известных уязвимостей".

Взломать решение, имеющее не только аппаратную, но и специально написанную программную часть гораздо сложнее.

Такая система, безусловно, требует серьезного финансирования — как на сами решения, так и на нормальные зарплаты для системных администраторов и других специалистов, поскольку сейчас квалифицированные айтишники в большинстве госструктур не задерживаются. Но не менее важна и серьезность подхода.

Построить такую систему гораздо сложнее, чем купить готовое решение. Ее можно было бы создать в рамках централизованной структуры, которой будут переданы функции по защите госресурсов. Сегодня ответственность за них лежит на госорганах, которым они принадлежат. Перефразируя классика, спасение атакуемых — дело рук самих атакуемых. А у них до кибербезопасности руки зачастую не доходят.

Организационные проблемы

Одной из основных проблем информационной безопасности на уровне государства является отсутствие четкой координации в этой сфере. Разные ее аспекты закреплены за разными ведомствами — Госспецсвязи, СБУ, МВД, Мин­обороны, СВР. При желании к органам, отвечающим за информационную безопасность, можно отнести даже Госкомтелевидения, считает один из экспертов, опрошенных "ВД".

Согласно своим положениям, Госкомтелевидения "разрабатывает мероприятия по предотвращению внутреннего и внешнего информационного воздействия, которое угрожает информационной безопасности государства, общества, личности". Поскольку термин "информационное воздействие" законодательно не определен, сюда можно отнести и внешние атаки на сети.

Значительная часть координирующих функций возложена на Госспецсвязи, отвечающую за формирование и реализацию государственной политики в сферах защиты государственных информационных систем. Преступлениями, совершенными с помощью информационных технологий, занимается МВД, а теми из них, которые угрожают национальной безопасности — СБУ.

Это не способствует согласованности действий чиновников в вопросах обеспечения безопасности государственных информресурсов.

Читайте также: Иван Соколов: В Украине лишь немногие госорганы имеют комплексную систему защиты информации с подтвержденным соответствием

Дмитрий Дубов: Необходимо выработать системный подход к кибербезопасности в целом