Иван Соколов: В Украине лишь немногие госорганы имеют комплексную систему защиты информации с подтвержденным соответствием
Руководитель команды реагирования на чрезвычайные компьютерные происшествия Украины (CERT-UA), начальник отдела Государственного центра защиты информационно-телекоммуникационных систем Госспецсвязи Украины Иван Соколов отвечает за совершенствование защиты государственных информационных ресурсов — это одна из основных задач CERT-UA.
В интервью "ВД" он рассказал, на что ведомство просит дополнительное финансирование в рамках программы защиты информресурсов государства.
В начале января Госспецсвязи представила на заседании правительства Программу защиты государственных информационных ресурсов от противоправного вмешательства в их деятельность. Что она предусматривает?
— Программа предусматривает защиту серверов, обеспечивающих функционирование веб-сайтов, электронной почты, баз данных и других госресурсов. Ее выполнение рассчитано на 2014-2015 годы и требует дополнительного финансирования из госбюджета в объеме 21,9 млн грн.
Она затрагивает не только защиту от кибератак, но и такие вопросы, как лицензирование в сфере технической и криптографической защиты информации.
Вопросы безопасности будут решаться комплексно, что, в числе прочего, предполагает усовершенствование нормативно-правовой базы, а также закупку программно-аппаратных комплексов и другие меры. Будут проведены тендерные процедуры и выбраны максимально современные и наиболее эффективные технические решения.
То есть речь идет не о разработке специализированной программно-аппаратной системы киберзащиты, а о закупке готовых решений?
— Госспецсвязи не только покупает оборудование у вендоров, но и сама разрабатывает решения. Специалисты команды CERT-UA пишут программное обеспечение, которое позволяет осуществлять мониторинг защищенности госресурсов и выявлять их уязвимые места.
Благодаря этому, а также взаимодействию с добровольцами, которые сообщают нам об инцидентах информационной безопасности, мы собираем и обобщаем данные об уязвимости ресурсов, которые принадлежат субъектам координации Госспецсвязи, прежде всего — госорганам.
Обобщая эту информацию, мы даем субъектам координации независимо от форм собственности рекомендации по устранению выявленных уязвимых мест. Мы стараемся обеспечивать безопасность государственных информационных ресурсов без лишних финансовых затрат, в том числе закупок, используя уже существующие возможности.
Мы понимаем, что проблемы должны быть решены в минимальный срок, поэтому оперативно даем такие рекомендации, которые администратор может выполнить сразу же.
А почему же тогда они так долго не решаются?
— По законодательству, ответственность за защиту информации лежит на ее владельцах, распорядителях. Они обязаны информировать Госспецсвязи в случае, если безопасность их ресурсов была нарушена.
Но мы часто сталкиваемся с тем, что сайт какого-либо госоргана взломан, а представители этого госоргана либо вообще не в курсе, что он взломан, либо не знают, как решить эту проблему, либо знают, но долго не решают.
За безопасность некоторых госресурсов отвечает и Госспецсвязи, но это не снимает ответственности и с тех госорганов, которые разместили свои ресурсы на технических мощностях Госспецсвязи.
Сколько у нас государственных ресурсов с "дырами" в киберзащите?
— Защищенным может считаться только такой ресурс, для которого построена комплексная система защиты информации с подтвержденным соответствием.
В Украине лишь немногие госорганы уделяют должное внимание ее созданию, а большинство этого не делают, ссылаясь на отсутствие финансирования на проведение таких работ. Обычно говорят — дайте денег, и мы все построим.
Вопрос в том, что лучше — давать деньги точечно, владельцам информации, или централизованно применять единые технические решения, которые обеспечат надежную защиту госресурсов. Общемировая практика основана на двух разных подходах к обеспечению защиты на государственном уровне — централизованном и децентрализованном.
К сожалению, участившиеся проблемы с информационной безопасностью госорганов Украины все ярче свидетельствуют о недостаточной эффективности децентрализованного подхода. Наверное, надо что-то менять, ведь далеко не всегда специалисты госорганов могут и хотят обеспечить должный уровень информационной безопасности, и причин этому множество.
А что касается количества госресурсов с "дырами" в киберзащите, то лично я считаю, что уязвимы практически все веб-ресурсы (и не только веб-ресурсы). Вопрос лишь в средствах, которыми располагает злоумышленник.
