In English

Система, построенная за полцены – обречена

20.08.2010, Плакса Максим
Издание: iBusiness.ru
Получивший огласку факт взлома электронной почты Федеральной службы охраны вызвал шквал откликов в средствах массовой информации и блогах. Большинство наблюдателей задалось традиционным в России вопросом, — кто виноват в том, что хакеры получили доступ к закрытой информации ведомства, призванного обеспечивать безопасность первых лиц государства? Эксперты, к которым iBusiness обратился с похожим вопросом, говорят не столько о конкретных виновниках произошедшего, сколько о глубинных причинах скандала. Ответы специалистов свидетельствуют: система обеспечения информационной безопасности в российских силовых структурах соответствует требованиям законодательства, но решительно отстает от требований времени.

Руслан Рахметов, руководитель Центра компетенции информационной безопасности компании «АйТи».

— О чем свидетельствует, на Ваш взгляд, факт взлома почтового сервера ФСО? Это единичный случай или же свидетельство того, что информсистемы силового ведомства не готовы к хакерским атакам?

— Думаю, это свидетельствует об оплошности обслуживающей организации, поскольку системам такого уровня предоставлены максимальные права доступа в сети. Чем больше прав, тем больше ответственность. Свои же специалисты, как правило, доверяют обслуживание систем компаниям-разработчикам.

Само явление носит массовый характер, если мы говорим в целом о силовых ведомствах и государственных учреждениях. На сегодняшний день единственный используемый инструмент в государственных учреждениях, это разделение сетей. Закрытая сеть из интернета не видна. Публикуемые в интернете сервисы открыты и носят публичный характер. Соответствует требованиям законодательства, но не времени.

— Чьей виной может быть факт взлома, — специалистов ведомства, осуществляющих обслуживание системы или интегратора, который ИС разрабатывал?

— Могу предположить, что вина обслуживающей организации в виду нарушения регламента обслуживания.

— Какими могут быть последствия для компании-интегратора?

— Это будет определяться договорными отношениями. Наверняка в данном документе соответствующие действия прописаны.


Павел Житнюк, эксперт-аналитик компании «КОРУС Консалтинг»

— В новостях слишком мало информации, чтобы делать определенные выводы. Как становится понятно из сообщений на форумах, посвященных информационной безопасности, доступ к системе удалось получить благодаря тому, что системные администраторы оставили дефолтные простые пароли, которые удалось подобрать. Поэтому, видимо, виноват не системный интегратор, а специалисты ведомства — хотя нам не известно, кто и на основании каких регламентов обслуживал систему.

Если системный интегратор — в данном случае разработчик системы «Дозор» «Инфосистемы Джет» — имеет с ФСО некий SLA, то претензии могут быть только в его рамках. Однако, с учетом того, что система "Дозор" на рынке DLP-решений уже очень давно, и не является заказной разработкой, а внедряется в крупных коммерческих структурах, вряд ли в данном взломе виноват разработчик.

В практике информационной безопасности известно достаточно много случаев, когда взламывались системы, защищенные паролями уровня «12345» или «password». Поэтому основной вывод из истории с ФСО - применяйте сложные пароли и не приклеивайте их липкими бумажками к мониторам.

Трудно говорить, на каком уровне находится информационная безопасность в ФСО — мы не обладаем информацией из этого закрытого ведомства. Если сравнивать с другими российскими силовыми структурами, то очевидно, что не на высоте — хотя бы просто потому, что уровень зарплат в таких учреждениях для высококвалифицированных технических специалистов неконкурентоспособен на рынке.


Сергей Зорин, начальник отдела информационной безопасности компании «Ситроникс Информационные Технологии» в России.

— За режим безопасности на предприятии ответственность по закону несет владелец и только он. Понятно, что из чистого любопытства никто не будет осуществлять попытки взлома почтового сервера ФСО. Скорее всего, это — заказная атака. Возможно, «пробный камень» т.к. по сообщению официальных источников со стороны жертв взлома, критически важных данных конкретно этот сервер не содержал. Что касается поиска виновника случившегося, здесь не может быть однозначных утверждений: интегратор отвечает за проектирование системы и кастомизацию используемого для её создания промышленного решения. По логике, до финального этапа проекта по созданию системы ИБ она была многократно протестирована и принята заказчиком. Корректно ли была построена дальнейшая эксплуатация, вовремя ли осуществлялись апдейты, была произведена самостоятельная доработка кода  – это вопрос уже к специалистам на стороне заказчика. С другой стороны, ошибки могли не замечены и на более ранних стадиях. Не думаю, что в данной ситуации можно что-либо однозначно утверждать со стороны.


Николай Федотов, ведущий аналитик компании InfoWatch

— Ресурсы спецслужб защищает от взлома не столько техническая защита, не столько оргмеры, сколько дурная слава. «Дурная» — в хорошем смысле этого слова.

Среди простого народа ходит группа мифов, которые никто не торопится развенчать. Это мифы о всеведении, вездесущности, могуществе спецслужб. На разных этапах истории в разных странах эти качества действительно встречались. Но в большинстве случаев (и в нашем тоже), там служат самые обычные люди, с не самой высокой зарплатой, с не самым гениальным начальством и не самой современной техникой. Следовательно, и уровень защищённости от кибератак должен быть на среднем уровне.

Должен быть. И есть. Но статус защищает от любопытных хакеров, которые просто не решаются пробовать на прочность сетевые «спецресурсы», не имея в этом значительного материального интереса. А красть там почти нечего. Секретная информация, которой можно разжиться, неликвидна. Не понятно, кому её можно продать и можно ли вообще.

Отсутствие постоянного «хакерского давления» расслабляет. Техсредства и их настройки устаревают, специалисты уходят, финансирование сокращается, кадры «прорастают». Устроить пентест или заказать аудит информационной безопасности спецслужбам не позволяет режим секретности плюс уже собственные, внутренние легенды и предрассудки. В таких странах, как, например, США, население уважает государство и его служащих значительно меньше, отсутствует священный трепет пред фуражкой. Поэтому число инцидентов на серверах Пентагона и ЦРУ значительно больше. Злохакеры расслабляться не дают. Зато постоянно дают много аргументов для увеличения финансирования и повышения качества специалистов.

Что касается интегратора, то от него ждать чудес тоже не следует. Известно, как проводятся тендеры на поставку информационных систем в госорганы. Известно, как их выигрывают. А сверхзащищённость требует отличного финансирования и постоянного пригляда. Система же, построенная за полцены и обслуживаемая по остаточному принципу, обречена.

Кнопка жизни
Центральный федеральный округ