“На сегодня уровень защиты государственных интересов в сфере информационных технологий (ИТ) мы оцениваем как низкий. Согласно статистике команды реагирования на компьютерные инциденты CERT-UA в государственном секторе скомпрометировано 40% IP-адресов. Под компрометацией мы подразумеваем или факты несанкционированного доступа, или вирусную активность”, – сообщил председатель Государственной службы специальной связи и защиты информации, Владимир Зверев.
Первая и основная причина – систематическое невыполнение большинством владельцев государственных информационно-телекоммуникационных систем требований информационной безопасности. Сейчас эти требования регламентируются почти 150 нормативными документами Госспецсвязи, каждый из которых призван повысить уровень защиты этих систем. Однако все требования могут привести к созданию дополнительных неудобств в работе администраторов и пользователей ИТС. В условиях отсутствия контроля они стараются избегать выполнения этих требований.
Вторая причина – Госспецсвязи уполномочена проверять исполнение требований вышеупомянутых документов, но ни Служба, ни учреждение, которое проверяется, обычно не имеют ресурсов для проверки фактического состояния дел – аудита информационной безопасности. За прошлый год было проведено лишь 11 таких аудитов, за текущий – 4. Это капля в море. Без выделения средств на аудиты может быть проверено только формальное выполнение требований по документам. Госспецсвязи неоднократно требовала обязательного аудита безопасности ИТС хотя бы центральных органов власти и объектов критической инфраструктуры, но в текущей экономической ситуации у государства и ее учреждений другие бюджетные приоритеты.
Третья причина – фактическое отсутствие ответственности за нарушение требований информационной безопасности. Если при проверке выявлены нарушения, Госспецсвязи имеет право потребовать их устранения и проверить этот факт по документам. Но если ИТС государственного органа была взломана или атакована, согласно действующему законодательству ответственного за это лицо найти трудно. Технические специалисты государственного органа, в котором произошел инцидент, в своих докладных записках фиксируют форс-мажорную ситуацию и отмечают, что их предыдущие докладные записки о необходимости модернизации ИТС не были удовлетворены по причине отсутствия бюджетных средств. Максимальная ответственность – выговор. Уголовную ответственность за несанкционированный доступ или препятствования деятельности ИТС должны нести хакеры. Однако, если их деятельность не привела к существенному материального ущербу, уголовные дела по таким статьям, как правило, не доходят до суда из-за недостатка доказательств.
“Отсутствие ответственности, возможность формального выполнения требований ИБ и отсутствие бюджетных средств приводят к систематическому повторению киберинцидентов в государственных органах. Мы надеемся, что принятие Верховной Радой закона “Об основных принципах обеспечения кибернетической безопасности Украины”, проект которого подготовлен при участии Госспецсвязи, сдвинет ситуацию для усиления ответственности за безопасность информационно-телекоммуникационных систем государственных органов”, – говорит Владимир Зверев. (Новости/NovostIT)