Госконтроль: безопасность доверенных самоуправлениям данных не обеспечена

Об этом Госконтроль сообщил BNS в переданном во вторник пресс-релизе, отметив, что ожидаемого развития не обеспечили ни информационная деятельность государства, ни финансовая поддержка.

«Ни в одном из проверенных самоуправлений не была оценена потребность в защите информации, содержащейся в их базах данных. В некоторых самоуправлениях имеются сложности с применением мер безопасности даже самой низкой степени защиты, - сообщил Госконтроль. - Во многих местах ИТ-пользователям необдуманно предоставлены неограниченные права, часто отсутствовал и обзор, кто и к чему вообще имеет доступ, управление паролями было неудовлетворительным, установка патчей часто была предоставлена пользователям, легальность программного обеспечения в рабочих компьютерах не проверялась».

«В отношении некоторых местных самоуправлений у аудиторов Госконтроля создалось впечатление, что они напоминают «дикий Запад», на который слухи о действующих в Эстонии требованиях к содержанию инфосистем еще не дошли», - отметил государственный контролер Янар Хольм.

Связанные с ИТ-защитой риски по-прежнему не осознаются, хотя существует множество примеров, когда в инфосистемы самоуправлений были совершены препятствующие оказанию услуги хакерские атаки, система была заражена вирусом и повреждены сайты.

Госконтроль пришел к заключению, что общая культура инфозащиты в самоуправлениях низкая как на уровне служащих, так и на уровне руководства. Часто отсутствуют инструкции по обращению со средствами ИТ, работников с ними не знакомили или в реальной жизни их не соблюдают; обучение и информационная работа по исполнению требований ИТ внутри учреждений не проводится.

«Самое большое беспокойство как раз вызывает тот факт, что в местных самоуправлениях аудиторы встретили и таких ответственных чиновников, для которых необходимость применения системы защитных мер, в т.ч. необходимость защиты данных, осталась настолько же непонятной, как и инвестиция в туристическую поездку на Марс – нечто далекое, чего в их жизни все равно не произойдет. В то время, когда количество известных случаев киберзащиты в Эстонии уже превышает 10 000 в год, наивно и опасно по-прежнему думать, что «с нами этого не случится»», – отметил государственный контролер Янар Хольм.

Выяснилось также, что проверенные Госконтролем самоуправления не считают себя ответственными за безопасность информации баз данных, размещенных за пределами их учреждения, регистрацию баз данных в системе управления государственной инфосистемы баз данных (RIHA) и за подключение к X-пути, и не требуют этого от тех, у кого получают услугу. Это в какой-то мере объясняет, почему в самоуправлениях отсутствует полный обзор собираемых данных, не проведен анализ их безопасности, предоставляющий право на их сбор процесс согласования не пройден и не учитывается доступность данных из других баз данных. Для граждан, предпринимателей и самих чиновников самоуправлений это часто означает двойную нагрузку по представлению данных.

Причина может заключаться в недостаточном количестве ИТ-специалистов в самоуправлениях. Обычно в небольших самоуправлениях сфера ИТ передана в сферу ответственности специалиста какой-либо другой области, в средних самоуправлениях ИТ-служба состоит максимум из двух специалистов. В основном они способны оказывать техническую поддержку, но специалистов (напр. по инфозащите) мало. При применении системы мер безопасности назначение руководителя по инфозащите или исполняющего его обязанности является обязательным и в самоуправлениях. Поскольку не всегда целесообразно нанимать для этого отдельного человека, то, по мнению Госконтроля, самоуправления могли бы больше сотрудничать с частным сектором или другими самоуправлениями.

Причины проблем можно найти и в действиях государства. Например, Госконтроль установил, что в реальной практике согласования баз данных не проверяется состав данных каждой базы данных, а согласование дается в ходе регистрации т.н. «коробочного продукта». Согласно объяснениям Инспекции по защите данных, просмотр каждой регистрации был бы бессмысленной тратой времени, поскольку в целом это то же самое программное решение, которое используют многие учреждения для ведения своих баз данных.

Госконтроль пришел к заключению, что в части т.н. «коробочного продукта» требования государства по ведению баз данных являются непродуманными, поэтому их применение приводит к неразумному дублированию как в самоуправлениях, так и в надзорных учреждениях. Госконтроль считает, что в улучшении ситуации могли бы сыграть роль министерства, которые самовольно возложили обязанность создания баз данных на самоуправления.

Соответствующие министерства могли бы дать самоуправлениям инструкции в сфере ведения баз данных (в т.ч. в сфере инфозащиты) по всем вопросам, которые их интересуют. Госконтроль считает, что министерство могло бы и само разработать программное обеспечение для выполнения этой задачи и выступить в роли ответственного обработчика – так государство сможет взять на себя определение потребности в защите данных, заказ аудита этого соответствия и т. п.

Министр предпринимательства и инфотехнологии согласился с Госконтролем, что при ведении схожих и однотипных баз данных нужно исходить из единых основ, и процедуры не должны дублировать друг друга. Министр обещал рассмотреть рекомендации аудита в ходе пересмотра инструкций по RIHA, X-пути и выполнению юридических требований системы мер безопасности (постановление о системе мер безопасности, инструкция применения ISKE, инструкция по ISKE-аудиту).

Кроме того, Госконтроль в своем аудите отметил, что, учитывая нынешнюю ситуацию с инфозащитой в самоуправлениях, проведенный в существующем объеме государственный надзор нельзя считать достаточным. Среди аудитированных самоуправлений были и такие, где чиновники сами признались, что из-за несуществующего по сути надзора самоуправления особенно не напрягаются.

Как Департамент государственной инфосистемы (RIA), так и Инспекция по защите данных в своих ответах на рекомендации Госконтроля сказали, что более масштабный надзор в самоуправлениях осуществляется в соответствии с приоритетностью и возможностями. По словам RIA, они уже планируют после административной реформы провести в самоуправлениях проверки и информационную работу.

До сих пор государство содействовало повышению уровня инфозащиты в самоуправлениях в основном через информационную деятельность и финансовую поддержку. Однако результаты аудита Госконтроля не показывают, чтобы это способствовало ожидаемому улучшению ситуации с инфозащитой в самоуправлениях.

В ходе аудита выяснилось, что Министерство экономики и коммуникаций и Министерство финансов не считают поддержку соответствия требованиям системы мер безопасности инфосистем инфраструктуры ИКТ в самоуправлениях из средств Европейского союза таким уж жизнеспособным решением – защита данных не может зависеть от наличия финансовой поддержки.

По оценке Госконтроля, информационные мероприятия были для самоуправлений доступны. Причина, почему ситуация в самоуправлениях не улучшилась, может заключаться в том, что целевая группа, которая участвовала в обучении, состояла из специалистов ИТ, а не руководства учреждения.

В своем ответном письме RIA указал, что интерес высших руководителей к участию в таких обучениях низок. Госконтроль в своем отчете подчеркивает, что прохождение такого обучения не является выборочным для руководителей учреждений. Если внутри учреждений обучения не проводятся, то руководство может участвовать в соответствующих обучениях, организованных RIA.

Госконтроль рекомендовал самоуправлениям назначить исполнителя обязанностей руководителя инфозащиты или заказать услугу руководства инфозащитой; установить требования к применяемым для ведения баз данных стандартным программным решениям, исходя из потребности в защите вводимых данных; убедиться, чтобы решение было совместимо с X-tee, и в договоре с услугодателем договориться об организации аудита мер безопасности.

По имеющимся у Госконтроля данным, в местных самоуправлениях происходили, например, следующие инциденты:

В 2017 г. были взломаны камеры видеонаблюдения в четырех МСУ Харьюмаа. Для этого использовались незалатанные защитные отверстия камер и неограниченность доступа к устройству.

В 2017 году работник Вильяндиской музыкальной школы из-за неосведомленности разрешил доступ к своему компьютеру в ответ на телефонный звонок, в котором позвонивший сказал на английском языке, что он является представителем Microsoft и ему нужен доступ к компьютеру, поскольку компьютер кишит вирусами. К тому времени, когда ИТ-специалисты установили причину, на компьютер был уже установлен пароль. Однако на этот раз мошенники данных не получили.

В 2017 году произошла масштабная утечка пользовательских данных (более 550 пользовательских аккаунтов) через установленный в компьютеры Тартуского центра профессионального образования т. н. «клавиатурный шпион».

В 2014 году во многих местных самоуправлених произошел «фишинг», когда служащим было отправлено электронное письмо на эстонском языке, в котором призывали обновить и исправить свои контакты, а также контакты коллег и учреждения в одной базе данных.

В 2013 году несколько школ столкнулись с подсаженными на веб-сервер школы порносайтами, сайтами, распространявшими вирусы и сайтами по продаже лекарств.

В 2010 году неизвестные мошенники получили доступ к серверам Нарвской Кесклиннаской гимназии, через которые было перенаправлено около 3700 звонков телефонных пользователей Майами и Кубы. Гимназии был представлен счет на 24 000 евро, который был оплачен из бюджета города Нарвы.

Три из десяти прошедших аудит Госконтроля самоуправлений столкнулись с атакой хакеров-вымогателей. В двух случаях удалось восстановить все зашифрованные данные рабочего компьютера, но в одном не удалось, поскольку часть данных не была архивирована. Через веб-сайт одного из прошедших аудит самоуправления мошенники смогли отправлять спам, поскольку программная версия сайта не была обновлена.

Сами самоуправления также отмечали, что сканирование портов внутренней сети и попытка попасть в устройства (например, в брандмауэр) с помощью предварительно установленных паролей – это обычное явление. Были примеры, когда во внутреннюю сеть МСУ в течение одного месяца пытались попасть с помощью 4000–5000 внешних устройств.

Госконтроль отметил, что успешное функционирование публичного сектора все больше строится на инфотехнологии и данных, которые собирают государственные учреждения и местные самоуправления. Наряду с возможностью развивать лучшие, более удобные и дешевые публичные услуги растет и связанный с количеством данных риск, что данные попадут к посторонним лицам, будут уничтожены, повреждены и т. д. От этого не защищены и самоуправления. Базы данных самоуправлений и государства обмениваются друг с другом данными через X-tee, это означает, что оставленные в самоуправлениях без внимания недостатки передаются дальше и могут причинить более масштабный ущерб.

Чтобы обеспечить взаимодействие применяемых в государстве инфосистем, в Эстонии к ведению баз данных установлены различные требования – все они образуют единый набор для обеспечения работы государственной инфосистемы. Требования, связанные с обеспечением безопасности данных, интегрированы, прежде всего, в применение следующих принципов:

Все базы данных должны быть находимыми (частично и согласованными) в системе управления государственной инфосистемой (RIHA).

Обмен данными с входящими в государственную инфосистему базами данных и между входящими в государственную инфосистему базами данных должен осуществляться через слой обмена данными государственной инфосистемы (X-tee).

Применение системы мер безопасности инфосистем (ISKE) (в т. ч. аудитирование) обязательно при ведении всех баз данных государства и местных самоуправлений (в т. ч. для нужд внутреннего трудового распорядка организации или рассмотрения документов разными учреждениями).

Как отметил Госконтроль, целью аудита было оценить деятельность самоуправлений в применении мер инфозащиты и деятельность государства в улучшении ситуации с инфозащитой в самоуправлениях.

В 10 волостях и городах оценивалось планирование ИТ-защиты и выполнение установленных требований (напр., архивирование данных, использование паролей, предоставление прав ИТ-пользователей, проведение обновлений в сфере защиты, борьба с вирусами). Аудит проводился в следующих самоуправлениях: волость Куусалу, волость Рапла, волость Вильянди, город Пайде, город Валга, волость Выру, волость Аудру, город Кохтла-Ярве, волость Авинурме, волость Вихула.

В части четырех государственных баз данных анализировалось, что предпринял держатель базы данных, чтобы обеспечить безопасность обмена данными, осуществляемого при участии самоуправления. Такими базами данных были курируемый Министерством внутренних дел Регистр народонаселения, э-досье Министерства юстиции, инфосистема образования Эстонии (EHIS) Министерства образования и науки (HTM), система адресных данных Земельного департамента (ADS).

Анализировалась также деятельность Департамента государственной инфосистемы (RIA), Инспекции по защите данных (AKI) и Министерства экономики и коммуникаций (MKM), которые отвечали за действующий надзор по вопросам ИТ-защиты. Рассматривались также предлагаемые самоуправлениям информационные мероприятия и пособия.