На пути доверия к госуслугам
Один из основных IT-трендов сегодня — «облака». А там, где есть «облака», там во весь рост встает вопрос доверия. Как сопоставить электронную подпись и подпись реального человека? К сожалению, на сегодняшний день нет нормативных документов, которые бы нормировали вопросы аутентификации.
«Дело в том, что этот вопрос лежит на стыке компетенций ФСО и ФСТЭК», – рассказал в ходе круглого стола «Информационная безопасность государственных электронных услуг» член экспертного совета по вопросам совершенствования электронного документооборота в органах государственной власти при Министерстве связи и массовых коммуникаций РФ.
Дмитрий Налбандян, начальник отдела проектирования государственных услуг Санкт-Петербургского информационно-аналитического центра, прежде чем говорить о перспективах, осветил текущее состояние дел с электронными услугами в Санкт-Петербурге. «В городе работают 33 стационарных и три мобильных офиса, которые позволяют гражданам получать госуслуги, – сказал он. – В чем их особая прелесть? В том, что человек может обратиться в наиболее удобный для него офис, где ему расскажут, какие услуги предоставляются, и помогут подготовить документы. Вторая часть — это портал системы госуслуг». Г-н Налбандян отметил, что в СПб ГУП «СПб ИАЦ» стремятся максимально минимизировать количество личных визитов гражданина в госучреждение, тем не менее существует ряд проблем, которые, по его словам, не дают возможности отправить заявку по Интернету и получить результат обращения также по Интернету.
В будущем в СПб ГУП «СПб ИАЦ» планирует максимально упростить людям «электронное общение» с государством, то есть создать короткие и легкие для заполнения формы. «Сейчас существуют госуслуги, где для подачи заявления нужно заполнить десятки и даже сотни полей», – посетовал Дмитрий Налбандян. Кроме того, будет расширен спектр услуг, осуществляемых через мобильные устройства. «Перспективы большие, но везде стоит вопрос обеспечения безопасности», – подчеркнул он.
Игорь Орлов, технический директор УЭК Ленинградской области, также углубился в вопросы аутентификации граждан. «Вот смотрите, – сказал он, – сайт Федеральной налоговой службы предлагает вводить для аутентификации пароль. То есть ФНС считает, что ценность налоговой информации невысока. Парольная идентификация используется для того, что не очень важно и не очень надежно».
Игорь Орлов привел в пример сайт «Российская общественная инициатива», где можно проголосовать за тот или иной законопроект. «Как они предлагают провести аутентификацию? С помощью пароля, по USB-ключу/смарт-карте или через карту УЭК — на выбор. Но если можно просто набрать пароль, то кто будет заморачиваться с более сложными методами?» – задал риторический вопрос г-н Орлов.
После Евгения Родыгина, заместителя директора компании «М-Стандарт-холдинг», рассказавшего о сертификации средств защиты информации для государственных информационных систем, выступил Илья Медведовский, генеральный директор компании Digital Security.
«Посмотрим на государственные ИС с точки зрения хакера, с точки зрения злоумышленника, - сказал г-н Медведовский. - Мы говорили о сертификации, аутентификации, шифровании... Но давайте посмотрим на все в комплексе, и увидим целый айсберг – от уязвимостей публичных до уязвимостей, найденных с помощью исследований. Даже с помощью поисковой системы Google можно много чего найти, не напрягаясь: от ошибок государственных ИС до служебных документов. К чему это ведет? К получению доступа. Причем его может получить даже ребенок — так это легко и просто».
В целом Илья Медведовский охарактеризовал происходящее как «полную вакханалию». «А кто у нас потенциальный злоумышленник? – спросил он. – Спецслужбы других стран. В Пентагоне уже не полки, а дивизии хакеров. Кроме того, конкурентная борьба, попытки заработать деньги...». «Сейчас в ФСТЭК приходят практики, которые понимают, что от хакеров никакими бумагами и законами не защититься», – добавил ложку меда Илья Медведовский. «Надо понимать, что сейчас, в наш век, кибербезопасность — это вопрос доверия. Надо вкладывать 10% от IT-бюджета в безопасность. Хотелось бы, чтобы у нас были не только законы, но и методы стимуляции выполнения этих законов. Если мы не займемся кибербезопасностью, наши госуслуги могут быть полностью дискредитированы», – завершил свое выступление гендиректор Digital Security.
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 10.10.2013