Госконтроль: необходимые для существования Эстонии данные недостаточно защищены

Янар Хольм.

ФОТО: LIIS TREIMANN/PM/SCANPIX BALTICS

Аудит Государственного контроля показал, что обеспечение безопасности и сохранности критичных баз данных Эстонского государства требует большего внимания: не хватает правовых рамок, в нескольких критичных базах данных имеются существенные недостатки в вопросах обеспечения информационной безопасности, например при анализе логов, тестировании проникновения, защите мобильных средств. До настоящего времени не установлены специальные требования, необходимые для защиты критических данных.

В отношении примерно половины аудита Государственного контроля установлено ограничение доступа – определенные разделы предназначены только для внутриведомственного пользования. Государственный контроль опубликовал фрагменты отчета, затрагивающие общие проблемы. Для того, чтобы не подвергать опасности критичные данные и базы данных, более детальные замечания и рекомендации по организации защиты информации Государственный контроль передал учреждениям в виде отдельного документа для внутриведомственного пользования.

Замечания Государственного контроля

В Эстонии сейчас идентифицировано десять баз данных, имеющих критичное значение с точки зрения государственности: электронное досье, крепостная книга, коммерческий регистр, информационная система Riigi Teataja, земельный кадастр, информационная система государственной казны, регистр субъектов налога, регистр народонаселения, регистр удостоверяющих личность документов и государственный регистр пенсионного страхования. Поскольку условия для выбора критических баз данных не определены, отсутствует уверенность, что в процесс вовлечены все необходимые базы данных.

Запасные копии аудитированных баз данных, т.е. пяти баз данных один раз в квартал физически переносят с помощью резервированной медиа в иностранные посольства Эстонии, но удастся ли с их помощью и реально восстановить работу информационных систем, не протестировано. Владельцы критичных баз данных выразили в ходе аудита мнение, что, скорее всего, эти копии невозможно легко и быстро сделать функционирующими, поскольку для восстановления работы и услуг необходимо, чтобы действовали прикладное программное обеспечение и различные опорные услуги.

В пяти базах данных из десяти сейчас в случае уничтожения нынешних центров данных не было бы обеспечено сохранение данных, необходимых для существования государства. В некоторых учреждениях еще не полностью осознали, от каких угроз следует защищать базы данных и к каким сценариям опасностей готовиться.

Для решения проблемы резервирования и сохранения Министерство экономики и коммуникаций планирует создать посольство данных, т.е. свое место на сервере в государственном центре данных иностранного государства, и начать резервировать данные в иностранном государстве электронно, при посредничестве канала связи данных. Это позволило бы, кроме хранения данных, обеспечить также способность оперирования услугами, т.е. если какой-либо центр данных в Эстонии окажется утрачен, его услуги будет возможно оказывать дистанционно.

Для достижения этой цели уже сделаны определенные шаги: заключен договор с центром данных в Люксембурге, решаются вопросы, связанные с оборудованием, каналами связи и т.п. В конце июня планируется запустить посольство данных, т.е. будет готово оснащенное оборудованием помещение сервера для резервирования критичных баз данных. Изначально там хранятся только запасные копии, но в дальнейшем планируется также обеспечить возможность оказывать услуги из посольства данных. Создание других посольств пока не планируется, эту тему будет анализировать и решать Министерство экономики и коммуникаций после проекта в Люксембурге.

Поскольку сейчас еще не оговорены детали, связанные с деятельностью посольств данных (например, что, каким образом и какими методами будут резервировать), также отсутствует калькуляция, во сколько обойдется электронное резервирование критичных баз данных в посольстве данных Люксембурга (например, для каждого владельца базы данных).

Для осуществления концепции критичных баз данных Эстонии не утверждены план действий, а также требования, отсутствуют детальный анализ рисков и план действий на будущее. Оговоренные дополнительные меры для защиты критических баз данных, в т.ч. конкретный план действий и сроки не определены официально ни в одном документе. Отсутствует юридически обязательный регламент. Действия до настоящего времени частично основаны на информальной активности.

Государственный контроль предполагал, что государство определило стороны, связанные с содержанием критических баз данных (например, центральный координатор, владелец критической базы данных), а также их роли (права, обязанности). Аудит показал, что до настоящего времени вся процедура описана только в меморандуме, который рабочая группа критических информационных систем создала в марте 2017 года. Ни в одном правовом акте регламент назначения и содержания критических баз данных официально не определен и не урегулирован.

С требующейся частотой аудит соблюдения обязательной системы защиты информации ISKE в Эстонских государственных учреждениях проведен только в двух критичных базах данных из десяти. В двух базах данных с критичным значением аудит защиты данных ISKE проводился только во время действий аудита со стороны Госконтроля в конце 2017 года, т.е. на 7 лет позже (sic!), чем его нужно было проводить в подобных базах данных.

Во многих критических базах данных выявились существенные недочеты при обеспечении защиты информации, например при анализе логов, защите мобильных устройств, при криптовании жестких дисков. Государственный контроль посчитал, что следует использовать также средства проверки целостности файлов. Следует ограничить использование разъемных устройств в компьютерной сети, связанной с критической базой данных.

Часть владельцев критичных баз данных проводили тестирование безопасности и сканирование внутренней сети, но были и такие критические базы данных, где не проводились регулярные внешние тесты на проникновение или не проверяли, удастся ли взломать базу данных и изменить или уничтожить имеющиеся там данные. Также не стоит недооценивать необходимость в физической защите критических баз данных.

Критические базы данных:

  • Электронное досье, крепостная книга, коммерческий регистр, Riigi Teataja – владельцем является Министерство юстиции и администратором – Центр регистров и информационных систем Министерства юстиции (RIK).
  • Земельный кадастр – владельцем является Земельный департамент и администратором – Центр инфотехнологии Министерства окружающей среды.
  • Информационная система государственной казны – владельцем является Министерство финансов и администратором – Центр инфотехнологии Министерства финансов (RMIT).
  • Регистр субъектов налога – владельцем является Налоговый и Таможенный департамент и администратором – RMIT.
  • Регистр народонаселения – владельцем является Министерство внутренних дел и администратором – Центр инфотехнологии и развития Министерства внутренних дел.
  • Регистр удостоверяющих личность документов – владельцем является Департамент полиции и пограничной охраны (PPA) и администратором – Центр инфотехнологии и развития Министерства внутренних дел.
  • Государственный регистр пенсионного страхования – владельцем является Департамент социального страхования (SKA) и администратором – Центр информационных систем здоровья и благополучия (TEHIK).

Государственный контролер Янар Хольм прокомментировал результаты аудита:

«Безусловно, нет причин для паники – мы как электронное государство установили для себя довольно высокие требования при обеспечении сохранности данных, и при возникающих проблемах нельзя делать вывод, что критические базы данных не защищены. Если мы хотим принадлежать к числу самых развитых электронных государств, то помимо предъявления к себе высоких требований мы должны уметь их и сами выполнять. Особенно это важно в случае критических баз данных. Тем более, что многие базы данных у нас уже полностью дигитализированы, т.е. у нас уже не хранятся данные на бумажных носителях, с помощью которых можно было бы восстановить уничтоженную информацию.

Обеспечение безопасности баз данных, несомненно, не является такой популярной темой, на которую министерства могли бы делать эффектные пресс-релизы, как при распределении из госбюджета всевозможных пособий для той или иной группы интересов. Или, например, в сфере ИТ можно привлечь больше внимания и одобрения с помощью какой-нибудь новой и заманчивой электронной услуги. Защита информации, к сожалению, является одной из таких тем в жизни государства, в случае которой трудно завоевать похвалу (и голоса) от общественности, когда все хорошо, но в то же время можно многое потерять, если воплотится какой-либо риск безопасности.

«Невидимость» решений в сфере защиты информации создала ситуацию, когда многие чиновники правительственных учреждений, отвечающие за сохранность информации, жалуются аудиторам Госконтроля, что они не способны разъяснить необходимость в инвестициях или простейших мерах предотвращения рисков руководству своего учреждения или политикам наряду с другим выборами. В ходе аудита выяснилось, что существует достаточно причин для того, чтобы принять эти меры всерьез и требовать их выполнения.

Министерство экономики и коммуникаций определило свою деятельность к настоящему моменту как пилотный проект, в ходе которого пока еще идет поиск более подходящих технических и правовых решений для организации резервирования. Большей результативности движения в правильном направлении мы бы достигли, если бы у ответственных лиц были точнее определены цели и план действий в этом проекте. Польза была бы от создания четких правовых рамок и долгосрочного финансового планирования».

НАВЕРХ