Госконтроль: безопасность доверенных самоуправлениям данных надлежащим образом не обеспечена
Аудит Госконтроля показал, что безопасность доверенных аудитированным самоуправлениям данных надлежащим образом не обеспечена: риски, связанные с ИТ-защитой, не осознаются, поэтому плохо выполняются и установленные государством требования, хотя к настоящему времени они действуют уже почти 10 лет. Ожидаемого развития не обеспечили ни информационная деятельность государства, ни финансовая поддержка, сообщает Госконтроль.
Ни в одном из аудитированных самоуправлений не была оценена потребность в защите информации, содержащейся в их базах данных. В некоторых самоуправлениях имеются сложности с применением мер безопасности даже самой низкой степени защиты. Во многих местах ИТ-пользователям необдуманно предоставлены неограниченные права, часто отсутствовал и обзор, кто и к чему вообще имеет доступ, управление паролями было неудовлетворительным, установка патчей часто была предоставлена пользователям, легальность программного обеспечения в рабочих компьютерах не проверялась. Комментируя результаты аудита, государственный контролер Янар Хольм сказал: ”В отношении некоторых местных самоуправлений у аудиторов Госконтроля создалось впечатление, что они напоминают ”дикий Запад”, куда слухи о действующих в Эстонии требованиях к содержанию инфосистем еще не дошли”.
Связанные с ИТ-защитой риски по-прежнему не осознаются, хотя существует множество примеров, когда в инфосистемы самоуправлений были совершены препятствующие оказанию услуги хакерские атаки, система была заражена вирусом и повреждены сайты.
Госконтроль пришел к заключению, что общая культура инфозащиты в самоуправлениях низкая как на уровне служащих, так и на уровне руководства. Часто отсутствуют инструкции по обращению со средствами ИТ, работников с ними не знакомили или в реальной жизни их не соблюдают; обучение и информационная работа по исполнению требований ИТ внутри учреждений не проводится. ”Самое большое беспокойство как раз вызывает тот факт, что в местных самоуправлениях аудиторы встретили и таких ответственных чиновников, для которых необходимость применения системы защитных мер, в т. ч. необходимость защиты данных, осталась настолько же непонятной, как и инвестиция в туристическую поездку на Марс — нечто далекое, чего в их жизни все равно не произойдет. В то время, когда количество известных случаев киберзащиты в Эстонии уже превышает 10 000 в год, наивно и опасно по-прежнему думать, что ”с нами этого не случится””, — отметил государственный контролер Янар Хольм.
Выяснилось также, что аудитируемые самоуправления не считают себя ответственными за безопасность данных баз данных, размещенных за пределами их учреждения, регистрацию баз данных в системе управления государственной инфосистемы баз данных (RIHA) и за подключение к X-пути, и не требуют этого от услугодателя. Это в какой-то мере объясняет, почему в самоуправлениях отсутствует полный обзор собираемых данных, не проведен анализ их безопасности, предоставляющий право на их сбор процесс согласования не пройден и не учитывается доступность данных из других баз данных. Для граждан, предпринимателей и самих чиновников самоуправлений это часто означает двойную нагрузку по представлению данных.
Причина может заключаться в недостаточном количестве ИТ-специалистов в самоуправлениях. Обычно в небольших самоуправлениях сфера ИТ передана в сферу ответственности специалиста какой-либо другой области, в средних самоуправлениях ИТ-служба состоит максимум из двух специалистов. В основном они способны оказывать техническую поддержку, но специалистов (напр. по инфозащите) мало. При применении системы мер безопасности назначение руководителя по инфозащите или исполняющего его обязанности является обязательным и в самоуправлениях. Поскольку не всегда целесообразно нанимать для этого отдельного человека, то, по мнению Госконтроля, самоуправления могли бы больше сотрудничать с частным сектором или другими самоуправлениями.
Причины проблем можно найти и в действиях государства. Например, Госконтроль установил, что в реальной практике согласования баз данных не проверяется состав данных каждой базы данных, а согласование дается в ходе регистрации т. н. ”коробочного продукта”. Согласно объяснениям Инспекции по защите данных, просмотр каждой регистрации был бы бессмысленной тратой времени, поскольку в целом это то же самое программное решение, которое используют многие учреждения для ведения своих баз данных.
Госконтроль пришел к заключению, что в части т. н. ”коробочного продукта” требования государства по ведению баз данных являются непродуманными, поэтому их применение приводит к неразумному дублированию как в самоуправлениях, так и в надзорных учреждениях. Госконтроль считает, что в улучшении ситуации могли бы сыграть роль министерства, которые самовольно возложили обязанность создания баз данных на самоуправления. Соответствующие министерства могли бы дать самоуправлениям инструкции в сфере ведения баз данных (в т. ч. в сфере инфозащиты) по всем вопросам, которые их интересуют. Госконтроль считает, что министерство могло бы и само разработать программное обеспечение для выполнения этой задачи и выступить в роли ответственного обработчика — так государство сможет взять на себя определение потребности в защите данных, заказ аудита этого соответствия и т. п.
Министр предпринимательства и инфотехнологии согласился с Госконтролем, что при ведении схожих и однотипных баз данных нужно исходить из единых основ, и процедуры не должны дублировать друг друга. Министр обещал рассмотреть рекомендации аудита в ходе пересмотра инструкций по RIHA, X-пути и выполнению юридических требований системы мер безопасности (постановление о системе мер безопасности, инструкция применения ISKE, инструкция по ISKE-аудиту).
Кроме того, Госконтроль в своем аудите отметил, что, учитывая нынешнюю ситуацию с инфозащитой в самоуправлениях, проведенный в существующем объеме государственный надзор нельзя считать достаточным. Среди аудитированных самоуправлений были и такие, где чиновники сами признались, что из-за несуществующего по сути надзора самоуправления особо не напрягаются. Как Департамент государственной инфосистемы (RIA), так и Инспекция по защите данных в своих ответах на рекомендации Госконтроля сказали, что более масштабный надзор в самоуправлениях осуществляется в соответствии с приоритетностью и возможностями. По словам RIA, они уже планируют после административной реформы провести в самоуправлениях проверки и информационную работу.
До сих пор государство содействовало повышению уровня инфозащиты в самоуправлениях в основном через информационную деятельность и финансовую поддержку. Однако результаты аудита Госконтроля не показывают, чтобы это способствовало ожидаемому улучшению ситуации с инфозащитой в самоуправлениях.
В ходе аудита выяснилось, что Министерство экономики и коммуникаций и Министерство финансов не считают поддержку соответствия требованиям системы мер безопасности инфосистем инфраструктуры ИКТ в самоуправлениях из средств Европейского союза таким уж жизнеспособным решением — защита данных не может зависеть от наличия финансовой поддержки.
По оценке Госконтроля, информационные мероприятия были для самоуправлений доступны. Причина, почему ситуация в самоуправлениях не улучшилась, может заключаться в том, что целевая группа, которая участвовала в обучении, состояла из специалистов ИТ, а не руководства учреждения. В своем ответном письме RIA указал, что интерес высших руководителей к участию в таких обучениях низок. Госконтроль в своем отчете подчеркивает, что прохождение такого обучения не является выборочным для руководителей учреждений. Если внутри учреждений обучения не проводятся, то руководство может участвовать в соответствующих обучениях, организованных RIA.
Госконтроль выражает признательность тем аудитированным самоуправлениям, которые уже в ходе аудита существенно изменили свое отношение к исполнению обязательств по обеспечению безопасности данных.
Госконтроль рекомендовал самоуправлениям
* назначить исполнителя обязанностей руководителя инфозащиты или заказать услугу руководства инфозащитой;
* установить требования к применяемым для ведения баз данных стандартным программным решениям, исходя из потребности в защите вводимых данных;
* убедиться, чтобы решение было совместимо с X-tee, и в договоре с услугодателем договориться об организации аудита мер безопасности.
Инциденты, касающиеся ИТ-защиты в самоуправлениях
Насколько известно, в МСУ происходили, например, следующие инциденты:
* В 2017 г. были взломаны камеры видеонаблюдения в четырех МСУ Харьюмаа. Для этого использовались незалатанные защитные отверстия камер и неограниченность доступа к устройству.
* В 2017 году работник Вильяндиской музыкальной школы из-за неосведомленности разрешил доступ к своему компьютеру в ответ на телефонный звонок, в котором позвонивший сказал на английском языке, что он является представителем Microsoft и ему нужен доступ к компьютеру, поскольку компьютер кишит вирусами. К тому времени, когда ИТ-специалисты установили причину, на компьютер был уже установлен пароль. Однако на этот раз мошенники данных не получили.
* Стоит упомянуть и произошедшую в 2017 году масштабную утечку пользовательских данных (более 550 пользовательских аккаунтов) через установленный в компьютеры Тартуского центра профессионального образования т. н. ”клавиатурный шпион”.
* В 2014 году во многих МСУ произошел ”фишинг”, когда служащим было отправлено электронное письмо на эстонском языке, в котором призывали обновить и исправить свои контакты, а также контакты коллег и учреждения в одной базе данных.
* В 2013 году несколько школ столкнулись с подсаженными на веб-сервер школы порносайтами, сайтами, распространявшими вирусы и сайтами по продаже лекарств.
Три из десяти аудитированных Госконтролем самоуправлений столкнулись с атакой хакеров-вымогателей. В двух случаях удалось восстановить все зашифрованные данные рабочего компьютера, но в одном не удалось, поскольку часть данных не была архивирована. Через веб-сайт одного аудитированного мошенники смогли отправлять спам, поскольку программная версия сайта не была обновлена. В своих интервью аудитированные также отмечали, что сканирование портов внутренней сети и попытка попасть в устройства (например, в брандмауэр) с помощью предварительно установленных паролей — это обычное явление. Были примеры, когда во внутреннюю сеть МСУ в течение одного месяца пытались попасть с помощью 4000–5000 внешних устройств.
***
Успешное функционирование публичного сектора все больше строится на инфотехнологии и данных, которые собирают государственные учреждения и местные самоуправления. Наряду с возможностью развивать лучшие, более удобные и дешевые публичные услуги растет и связанный с количеством данных риск, что данные попадут к посторонним лицам, будут уничтожены, повреждены и т. д. От этого не защищены и самоуправления. Базы данных самоуправлений и государства обмениваются друг с другом данными через X-tee, это означает, что оставленные в самоуправлениях без внимания недостатки передаются дальше и могут причинить более масштабный ущерб.
Чтобы обеспечить взаимодействие применяемых в государстве инфосистем, в Эстонии к ведению баз данных установлены различные требования — все они образуют единый набор для обеспечения работы государственной инфосистемы. Требования, связанные с обеспечением безопасности данных, интегрированы, прежде всего, в применение следующих принципов:
* Все базы данных должны быть находимыми (частично и согласованными) в системе управления государственной инфосистемой (RIHA).
* Обмен данными с входящими в государственную инфосистему базами данных и между входящими в государственную инфосистему базами данных должен осуществляться через слой обмена данными государственной инфосистемы (X-tee).
* Применение системы мер безопасности инфосистем (ISKE) (в т. ч. аудитирование) обязательно при ведении всех баз данных государства и местных самоуправлений (в т. ч. для нужд внутреннего трудового распорядка организации или рассмотрения документов разными учреждениями).
Целью аудита было оценить деятельность самоуправлений в применении мер инфозащиты и деятельность государства в улучшении ситуации с инфозащитой в самоуправлениях. В 10 волостях и городах оценивалось планирование ИТ-защиты и выполнение установленных требований (напр., архивирование данных, использование паролей, предоставление прав ИТ-пользователей, проведение обновлений в сфере защиты, борьба с вирусами). Аудит проводился в следующих самоуправлениях: волость Куусалу, волость Рапла, волость Вильянди, город Пайде, город Валга, волость Выру, волость Аудру, город Кохтла-Ярве, волость Авинурме, волость Вихула.
В части четырех государственных баз данных анализировалось, что предпринял держатель базы данных, чтобы обеспечить безопасность обмена данными, осуществляемого при участии самоуправления. Такими базами данных были курируемый Министерством внутренних дел Регистр народонаселения, э-досье Министерства юстиции, инфосистема образования Эстонии (EHIS) Министерства образования и науки (HTM), система адресных данных Земельного департамента (ADS).
Анализировалась также деятельность Департамента государственной инфосистемы (RIA), Инспекции по защите данных (AKI) и Министерства экономики и коммуникаций (MKM), которые отвечали за действующий надзор по вопросам ИТ-защиты. Рассматривались также предлагаемые самоуправлениям информационные мероприятия и пособия.