«Выбрось это старьё!» Об информационной безопасности на низшей ступени госструктур

BIS Journal №3(38)/2020

7 сентября, 2020

«Выбрось это старьё!» Об информационной безопасности на низшей ступени госструктур

В профессиональной среде много говорят о программно-аппаратных средствах защиты, утечках, мониторинге и прочих финансово затратных мероприятиях по предотвращению несанкционированного доступа к информации предприятий и персональным данным граждан.

А как обстоят дела в обыденной реальности? Не будем далеко ходить, остановимся на уровне московского района. Своими впечатлениями с нашим корреспондентом Анной Катанкиной поделился мелкий московский чиновник, по понятным причинам попросивший сохранить его имя в тайне.

– По образованию я инженер-программист, работал системным администратором, знаком с методами защиты информации. Некоторое время назад устроился в одну из государственных структур Москвы на рядовую должность.

Сеть нашей организации – десять рабочих мест, включая два места руководителей и два – бухгалтерии. Весь документооборот идёт по открытым каналам данных, в какой-то момент мы попытались подключиться к системе московского электронного документооборота (ЭДО), но сначала упёрлись в технические и финансовые проблемы, а потом случился переезд…

Вот при переезде и выяснилось, как в реальности обстоят дела с информационной безопасностью на низшей ступени наших госструктур.

Переезжали мы перед карантином, одновременно с дружественной государственной организацией, своими силами. Понятно, что все вещи складывали сами: упаковали содержимое своих столов и шкафов в коробки, промаркировали компьютеры и оргтехнику…

Перед тем как покинуть здание, мы прошлись по пустым и открытым помещениям нашей и соседней организаций. Следом за нами уже шли рабочие, начинавшие ремонт, а также неизвестные граждане, явно желающие поживиться тем, что плохо лежит, – здание никто не охранял. В одном из кабинетов мы набрели на залежи брошенных вещей. Среди всякого хлама валялись и старые жёсткие диски, и огромное количество флешек. Я их собрал в большую коробку, отнёс к себе на новое место и благополучно забыл – переезд был сложным и многодневным, новое помещение требовало ремонта...

Вспомнил я о своей находке через несколько месяцев, когда начал разбирать вещи, обустраиваясь на новом месте. Оказалось, жёсткие диски были сняты с рабочих компьютеров и помимо операционной системы и офисных программ содержали много служебной документации. Устаревшей на данный момент, но при необходимости в чьих-то руках она может найти достойное применение.

Ещё более интересную информацию хранили USB-накопители. Опять же, все сведения на них были старыми, но актуальности они явно не потеряли. Фактически государственная организация выбросила при переезде сотни записей, содержащих персональную информацию о гражданах, их адреса, телефоны и даже политические взгляды – видимо, сведения учитывались в ходе выборов разных уровней.

Служебная информация файлов указывала на одного из руководителей соседней организации как на автора документов. Коллегу-сисадмина, к которому я обратился, угроза утечки этой информации не взволновала. Он просто махнул рукой: «Выбрось это старьё…»

Подчеркну, что компьютерная сеть у дружественной организации находится в ведении Департамента информационных технологий города, защищена всеми возможными способами и доступ к сторонним информационным ресурсам и сайтам в учреждении сильно ограничен, а вся система документооборота бюрократизирована с помощью ЭДО. Спрашивается: ну зачем такая секретность при такой безалаберности?

Если вернуться к состоянию сети уже в моей организации, то вход в неё «открыт» для всех умеющих. Разговоры о необходимости установки межсетевого экрана мы ведём несколько месяцев. Сначала были отговорки типа «у нас нечего красть, а бухгалтерия работает с ключами», потом пошли разговоры, что закупим всё разом, в порядке обновления техники. Но тут случился карантин и удалённая работа...

Как я понимаю, тратить несколько десятков тысяч рублей на самую примитивную систему ИБ моё руководство так и не планирует. Экономит оно и на антивирусной защите – это лишние расходы. Впрочем, мой непосредственный начальник уже пострадал от собственной жадности – его жёсткий диск с программами доступа к торговым площадкам оказался забит вирусами и троянами. Восстановить винчестер удалось лишь частично… Но это его ничему не научило.

Отдельно упомяну о любителях доступа к открытым сетям Wi-Fi. В задачи нашей организации входит регулярное проведение собраний с участием ответственных за разные направления чиновников. Вспомогательный материал мы заливаем на планшеты до заседаний. Большинство коллег относится к этому спокойно, при необходимости доступа в интернет им хватает своих мобильных устройств. Но есть группа лиц, требующих доступа в глобальную сеть через Wi-Fi, в том числе и с планшетов. При этом им абсолютно всё равно, чья это сеть и как она организована, есть ли у неё пароль или подключиться может кто угодно. Регулярно звучат претензии (ко мне, в частности), что мы запрещаем доступ в интернет с планшетов с материалами ДСП, когда «всем так хочется». Попытки провести краткий ликбез по информационной безопасности натыкаются на стену непонимания – «всё вы врёте, нет никакой угрозы утечки». Самое печальное, что эти люди наделены правом принятия решений и желают двигаться дальше по карьерной лестнице, в том числе на федеральный уровень, мечтают принимать законы…

Несмотря на все наши просьбы по минимальной ИБ-защите организации, руководство не считает нужным тратиться на то ПО и оборудование, без которого и так всё работает. До первого серьёзного инцидента.

 

Коротко по теме

За 2019 год в мире утекли 13,7 млрд записей персональных данных, сообщают исследователи проекта Kaspersky ICS CERT. Там же говорится и о целевых атаках киберпреступников на промышленные организации в Японии и странах Европы.

Совет Федерации РФ одобрил закон о создании единого федерального регистра, содержащего информацию о населении страны. В нём будут отслеживаться все важные этапы жизни граждан: от рождения до смерти. Оператором регистра будет Федеральная налоговая служба. Эта информационная база должна заработать в России с 1 января 2023 года.

Максимальные штрафы за утечку персональных данных в новой редакции Кодекса об административных правонарушениях (КоАП) планируется увеличить с 50 тыс. до 500 тыс. руб. для юридических лиц, сообщил «Коммерсант», в начале июля 2020 г. Для индивидуальных предпринимателей штрафы вырастут с 20 тыс. до 300 тыс. руб., для должностных лиц - с 10 тыс. до 100 тыс. руб., остальных граждан – с 2 тыс. до 20 тыс. руб.

Поправки об увеличении штрафов разрабатывает и комитет Госдумы по информационной политике, информационным технологиям и связи.

По данным InfoWatch, в 2019 г. количество утечек персональных данных в России выросло на 40 % по сравнению с предыдущим годом. В 2020 г. ситуация ухудшится на фоне самоизоляции из-за коронавируса: в результате массового перехода на удалённую работу число попыток неправомерного доступа к данным увеличилось примерно наполовину, причём около 30 % инцидентов составляют явно противоправные попытки скопировать клиентские базы данных и передать их вовне, в том числе через мессенджеры, а 10 % инцидентов приходится на действия хакеров.

Смотрите также