[an error occurred while processing this directive]
версия для печати

Переход на e-госсуслуги: стопроцентной защиты данных пока нет?

Переход на e-госсуслуги: стопроцентной защиты данных пока нет?

Перевод государственных услуг в электронный вид заставляет еще раз задуматься о том, насколько надежно будут защищены сведения, предоставляемые организациями и отдельными гражданами. К сожалению, на настоящий момент однозначного ответа на этот вопрос не знает никто.

Доверие граждан и предприятий к государственным услугам, предоставляемым в электронном виде, напрямую зависит от уровня обеспечения информационной безопасности (ИБ) инфраструктуры "электронного правительства" и взаимодействующих элементов. Причина очень проста - в процессе оказания услуг будут передаваться и обрабатываться персональные данные (ПДн) граждан. При этом субъекты ПДн должны четко понимать, как именно их данные будут защищаться, и какие гарантии их сохранности дает государство. Если какой-либо инцидент, пусть даже единичный, приведет к нарушению прав граждан или конфиденциальности их данных и это станет предметом обсуждения в СМИ, то это может отрицательно сказаться на темпах внедрения этой новой формы взаимодействия с государством.

В конце июля 2010 г. Минкомсвязи России опубликовало обновленный системный проект, описывающий основные направления работ по созданию "электронного правительства" и его ключевые компоненты. Несмотря на то, что основные организационные аспекты ИБ "электронного правительства" и динамика подхода по отношению к декабрьскому 2009г. варианту этого документа приятно удивляют, многие вопросы обеспечения ИБ остаются открытыми. Прежде чем рассмотреть некоторые из них, попробуем пояснить упрощенную схему предоставления госуслуг в электронном виде.

Как взаимодействует государство с гражданами и бизнесом

Для понимания процессов взаимодействия элементов информационного обмена обратимся к условной схеме потоков информации. К основным классам участников "электронного правительства" относятся граждане C (Customers), предприятия B (Business) и государственные органы власти G (Government). Статистика показывает, что гражданин обращается к государству (G2C) за разными услугами в среднем 5-6 раз в год. Более 90% этих запросов, как правило, адресовано в муниципальные и региональные органы власти. Типичными примерами обращений является получение справок, получение или обмен общегражданского или заграничного паспорта, оформление прав собственности и другие.

Схема информационного взаимодействия в "электронном правительстве"

* Стрелка 1  - G2C (Government to Customer), стрелка 2 - B2B (Business to Business), стрелка 3 - G2B (Government to Business).

Источник: Aladdin, 2010

Основные потоки запросов поступают в госорганы от предприятий: число обращений представителей организаций в десятки и даже сотни раз превышает число обращений граждан. Например, активно хозяйствующий субъект обращается только в налоговые органы по отсутствию задолженности десятки раз в год. Заметим, что при развитой инфраструктуре и массовом переводе взаимодействия в электронный вид, наибольшие потоки ожидаются в межхозяйственном общении между предприятиями и организациями (В2В). Это договоры, счета, платежи, счета-фактуры и т.д. Также не менее напряженным по интенсивности может оказаться электронный обмен между уполномоченными лицами разных ведомств (G2G).

Как только во взаимодействии между государством, предприятием и/или гражданином возникает электронный документооборот с возможными правовыми последствиями, появляется необходимость в обеспечении сервисов безопасности. Важнейшим из них в терминах действующего №1-ФЗ является электронно-цифровая подпись (ЭЦП).

Давайте рассмотрим простой пример с получением материнского капитала через "электронное правительство". Для подтверждения права его использования гражданке необходимо обратиться к уполномоченному лицу в соответствующую службу. Для обработки запроса служащему нужно выяснить, не выдавались ли эти деньги раньше, действительно ли родился ребенок, проживает ли заявитель по указанному адресу. Он обращается через "центр" к уполномоченным лицам из различных ведомств с тем, чтобы получить массу справок.

Ведомства взаимодействуют между собой, отправляют согласованные запросы-ответы, каждый из которых должны быть подписан ЭЦП. Уполномоченное лицо, к которому обратилась гражданка, по ее заявке собирает необходимые документы, проверяет их правильность на соответствующих ресурсах. Как только все документы собраны, женщине выдается справка, с которой она может обратиться в банк и получить материнский капитал. Данный документ должен быть также заверен ЭЦП.

Схема обращения заявителя

Источник: Aladdin, 2010

При этом необходимо четко понимать, что электронно-цифровая подпись – это лишь один из многочисленных сервисов безопасности, формирующих национальное пространство доверия (НПД). Для того, чтобы электронный документ мог считаться достоверным, он должен иметь штамп времени и места, а также как один из возможных инструментов, атрибутный сертификат, который имеет право читать определенный чиновник, и др. Кроме того, уполномоченное лицо, выдающее электронный юридически-значимый документ, должно обладать правом выдачи таких документов. Его правовой статус, правомочия, права подписи должны быть зафиксированы в открытом реестре или других электронных учетных системам участников информационного взаимодействия. В "электронном правительстве" регистры, реестры и кадастры, как правило, реализуется на ведомственном уровне.

Некоторые проблемы взаимодействия

Споры о возможных способах построения единого национального (государственного) пространства доверия продолжаются уже более 8 лет. Инфраструктура НПД должна включать в себя удостоверяющие центры (УЦ), входящие в единый домен цифрового доверия, и обеспечивать единое пространство использования и признания электронной подписи. Отсутствие руководящих указаний "сверху" привело к тому, что ведомства с разной степенью успешности построили отдельно взятые пространства доверия. Как связать их воедино? В системном проекте предложены три основные модели построения инфраструктуры: иерархическая, браузерная и сетевая. Какая модель будет принята в нашей стране? К сожалению, мы пока не знаем ответ на этот вопрос.

Второй важный момент связан с полнотой использования доверенных сервисов – ключевых элементов обеспечения безопасности "электронного правительства". На наш взгляд, лучше было бы использовать список доверенных сервисов на примере европейских списков доверенных удостоверяющих центров (TSL). Данный вопрос также остается открытым.

Далее необходимо отметить отсутствие стандартов и выверенных требований. Многие выпущенные в последнее время требования при внимательном рассмотрении в некоторых (в том числе технологических) моментах несовместимы между собой. В условиях недостатка правовой базы каждое ведомство вводило свои стандарты. Кто-то принял "правильные" стандарты и построил "правильные" островки доверия, кто-то – не очень совместимые с другими. До сих пор нет единого стандарта на сертификат ключа подписи, единых требований по оформлению документов. Допустим, если с физическим лицом и ЭЦП все понятно, то как быть с юридическим лицом? Ведь, например, иногда необходим и стандартизованный электронный штамп предприятия.

Кратко рассмотрим электронные услуги закупки – открытые аукционы. Нынешнее законодательство позволяет сгенерировать ЭЦП и выслать предложение на участие в торгах, подписанное этой ЭЦП. И такая заявка обязана быть принятой. А где гарантии, что фирма-заявитель еще существует на рынке? Ведь по текущему законодательству обновление списков ЭЦП происходит раз в 3 года. За это время все могло поменяться, и никакой ответственности за это сегодня никто не несет.

В свою очередь, предприятия собирают электронные заявки на необходимые к закупке товары и услуги, готовят документацию на торги. Сейчас это происходит в открытом, незащищенном формате, что является неправильным. Необходимость безопасного обмена даже между подразделениями очевидна. Каждой администрации и госпредприятию нужен защищенный документооборот. Кроме того, всю внутреннюю "кухню", связанную с утверждением отдельных версий, многочисленных редакций документов следует размещать на базе отдельного, защищенного сервера. И лишь после завершения внутренних процессов согласования можно открывать общий веб-доступ к выверенным и заверенным ЭЦП документам. В новом системном проекте о решении этой проблемы также не говорится.

К сожалению, до сих пор никто не рассматривал угрозы безопасности информационного взаимодействия в ЭП, связанные с вредоносным программным обеспечением. Количество вирусов и троянов, получаемых по каналам сети интернет, увеличивается каждый день. Сколько их сейчас, достоверно подсчитать не может никто. Эффективным противодействием этим угрозам является контентная фильтрация трафика. Если не позаботиться о решении этого вопроса, то компьютеры госслужащих, сотрудников предприятий и обычных граждан могут быть заражены, что повысит успешность атак со стороны злоумышленников: подмены ЭЦП и самих документов, а также их несанкционированной модификации.

И последним (может, самым важным) вопросом остается защита персональных данных граждан в информационных системах и в процессах информационного обмена. Во всем мире государство является главным владельцем ПДн. По статистике каждого из нас "посчитали" минимум 17 раз: при выдаче свидетельства о рождении, каждом посещении поликлиники и стационара, выдаче общегражданского паспорта, военного билета, при постановке на учет в налоговой службе, пенсионном фонде, фонде соцстрахования, прописке и т.д.  Насколько надежно защищены реестры, регистры и кадастры, знают только их владельцы. Мы можем судить только по косвенным признакам.

К сожалению, в настоящее время на улицах Москвы снова появились "лотошники", предлагающие CD с нашими персональными данными. Ушедший на время в тень (а точнее, в интернет) бизнес по продаже наших приватных данных (в 2008-2009гг. разносчиков красочно оформленных "сидюков" не наблюдалось), возможно, в связи с отсрочкой вступления в силу статей по ответственности операторов, снова вышел на площади столицы. Заметим, что на рынке имеются надежные средства защиты баз данных, которые позволяют персонифицировать доступ легальных пользователей и защитить данные от нелояльных администраторов. Однако непонятно, почему такие решения пока не нашли массового применения. Тем временем, до 1 января 2011г., когда все информационные системы ПДн должны быть приведены в соответствие с требованиями ФЗ № 152 "О персональных данных", остается всего 4 месяца. В итоге подобные факты формируют неуверенность граждан, что их ПДн надежно защищены.

Новый системный проект станет основой для разработки долгосрочной целевой программы по созданию ЭП в 2011-2015 гг. И мы надеемся, что проблемы информационной безопасности ЭП найдут свое решение в самое ближайшее время. При этом повысится доверие к государственным услугам, предоставляемым в электронном виде, а темпы построения "электронного правительства" увеличатся.

Алексей Сабанов*


* заместитель генерального директора Aladdin
Владимир Гайкович

Владимир Гайкович:

Я вижу ажиотаж вокруг темы "электронного правительства", но не вижу системы целей и мер, которые приведут к качественному решению этой проблемы

На вопросы CNews ответил генеральный директор группы компаний "Информзащита" Владимир Гайкович.

CNews: В прессе постоянно появляются сообщения о взломе баз данных ведомств, банков и т.д. Как вы оцениваете уровень безопасности указанных выше решений? Каковы гарантии того, что электронным идентификатором личности гражданина не смогут воспользоваться посторонние?

Владимир Гайкович: На мой взгляд, взлом баз данных ведомств и защита личности граждан есть разные понятия.

Госведомства всегда будут хранить большой набор сведений о том или ином гражданине. Утечка информации о гражданах из госорганов - штука крайне неприятная, но, если честно сказать, не такая уж частая. Грамотно выстроенная единая система идентификации граждан серьезно осложнит задачу злоумышленникам по использованию баз данных госорганов. Для этого базы данных надо максимально обезличить, то есть убрать ФИО человека и оставить только его идентификатор. В этом случае массовые утечки удастся предотвратить.

Полный текст интервью

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS