«На сегодня уровень защиты государственных интересов в сфере информационных технологий (ИТ) мы оцениваем как низкий. Согласно статистике команды реагирования на компьютерные инциденты CERT-UA в государственном секторе скомпрометировано 40% IP-адресов. Под компрометацией мы подразумеваем или факты несанкционированного доступа, или вирусную активность», — сообщил редакции «proIT» председатель Государственной службы специальной связи и защиты информации, Владимир Зверев.
Первая и основная причина — систематическое невыполнение большинством владельцев государственных информационно-телекоммуникационных систем требований информационной безопасности. Сейчас эти требования регламентируются почти 150 нормативными документами Госспецсвязи, каждый из которых призван повысить уровень защиты этих систем. Однако все требования могут привести к созданию дополнительных неудобств в работе администраторов и пользователей ИТС. В условиях отсутствия контроля они стараются избегать выполнение этих требований.
Вторая причина — Госспецсвязи уполномочена проверять исполнение требований вышеупомянутых документов, но ни Служба, ни учреждение, которое проверяется, обычно не имеют ресурсов для проверки фактического состояния дел — аудита информационной безопасности. За прошлый год было проведено лишь 11 таких аудитов, за текущий — 4. Это капля в море. Без выделения средств на аудиты может быть проверено только формальное выполнение требований по документам. Госспецсвязи неоднократно требовала обязательного аудита безопасности ИТС хотя бы центральных органов власти и объектов критической инфраструктуры, но в текущей экономической ситуации у государства и ее учреждений другие бюджетные приоритеты.
Третья причина — фактическое отсутствие ответственности за нарушение требований информационной безопасности. Если при проверке выявлены нарушения,
Госспецсвязи имеет право потребовать их устранения и проверить этот факт по документам. Но если ИТС государственного органа была взломана или атакована, согласно действующему законодательству ответственного за это лицо найти трудно. Технические специалисты государственного органа, в котором произошел инцидент, в своих докладных записках фиксируют форс-мажорную ситуацию и отмечают, что их предыдущие доклады о необходимости модернизации ИТС не были удовлетворены по причине отсутствия бюджетных средств. Максимальная ответственность — выговор. Уголовную ответственность за несанкционированный доступ или препятствования деятельности ИТС должны нести хакеры. Однако, если их деятельность не привела к существенному материального ущербу, уголовные дела по таким статьям, как правило, не доходят до суда из-за недостатка улик.
«Отсутствие ответственности, возможность формального выполнения требований ИБ и отсутствие бюджетных средств приводят к систематическому повторению киберинцидентов в государственных органах. Мы надеемся, что принятие Верховной Радой закона «Об основных принципах обеспечения кибернетической безопасности Украины», проект которого подготовлен при участии Госспецсвязи, сдвинет ситуацию для усиления ответственности за безопасность информационно-телекоммуникационных систем государственных органов», — говорит Владимир Зверев.