Эволюция информационно-политических рисков и угроз государственным органам власти в процессе информатизации и рекомендации по их минимизации и устранению Текст научной статьи по специальности «Компьютерные и информационные науки»

АКТУАЛЬНЫЕ ПРОБЛЕМЫ ЭЛЕКТРОННОГО ГОСУДАРСТВЕННОГО УПРАВЛЕНИЯ

УДК 004 342.5 С.Е. Гришин

ЭВОЛЮЦИЯ ИНФОРМАЦИОННО-ПОЛИТИЧЕСКИХ РИСКОВ И УГРОЗ ГОСУДАРСТВЕННЫМ ОРГАНАМ ВЛАСТИ В ПРОЦЕССЕ ИНФОРМАТИЗАЦИИ И РЕКОМЕНДАЦИИ ПО ИХ МИНИМИЗАЦИИ И УСТРАНЕНИЮ

В последнее время эксперты-исследователи неоднократно обращались к вопросам информационной безопасности с учетом происходящих изменений в области информационных технологий, поскольку проблемы кибербезопасности представляют самый большой барьер для развития услуг э-правительства. Судя по имеющимся публикациям, все федеральные агентства США заявляют о наличии секретной информации на основных участках Сети и точках входа, где, кроме того, содержатся персональные данные. Это создает множество рисков для безопасности местных органов власти.

В работе использованы такие методы, как контент-анализ, системный, факторный и кластерный анализ. Практическая значимость исследования состоит в том, что материал может быть включен в работы по теоретической разработке и осуществлению независимой экспертизы информатизации органов власти.

Ключевые слова: программы инфо рмационной безопасности, риски, угрозы, окружающая среда, эффективное управление, безопасная деловая среда, внедрение технологий электронного государственного управления, обеспечение прозрачности власти, оказание государственных услуг, граждане.

S.E. Grishin

THE EVOLUTION OF INFORMATION AND POLITICAL RISKS

AND THREATS TO STATE AUTHORITIES AND RECOMMENDATION FOR THEIR MINIMIZATION AND ELIMINATION

The paper states that experts have already repeatedly drawn our attention to the problems of information security in view of current changes in the field of information technologies because problems of cyber security create the biggest obstacle for developing services of the e-government. Judging by available publications, all federal agencies of the USA reveal that classified information can be present on all major networks and input points that contain personal data as well. The development of parts of the Net where a lot of data is used creates set many security risks for local authorities.

The methods of research are content analysis, methodology and technique of system analysis, factor and cluster analysis. The practical relevance of the paper consists in the fact that this material is necessary for developing and implementing independent information examination of information development of authorities.

Key words: information security programmers, risks, dangers, environment, effective management, safe economic environment, introduction of electronic state technologies, transparency of state authorities, rendering state services, citizens.

♦-------------------------------------------------

Последние 10 - 15 лет эксперты-исследователи внимательно изучают вопросы информационной бе -зопасности с учетом происходящих изменений в области информационных технологий, поскольку пробле -мы кибербезопасности представляют самый большой барьер для развития услуг э-правительства [1]. Судя по имеющимся зарубежным публикациям, все феде-ральные агентства США заявляют о наличии конфи -денциальной информации на основных участках Сети и точках входа, где, кроме того, содержатся персональные данные [4]. Появление участков Сети, где передается большое количество данных, создает множество рисков для безопасности местных органов власти, по -скольку увеличивается возможность нарушения кон -фиденциальности пользователями.

Угрозами для информационной безопасности регионального органа государственной власти являются:

- разрушение потенциала непрерывного обслужи -вания;

- внедрение в деятельность сотрудников таких программ, которые будут преднамеренно вмешиваться в процесс обработки данных, могут заменять существу -ющие данные или несанкционированно вносить в них изменения, выводить из строя браузер или компьютер пользователя;

- потенциальная возможность для хакеров преодолеть защищенный участок Сети;

- недостаточное обеспечение режима ограниченного доступа к конфиденциальной и критически важ -ной информации;

- ограниченный потенциал для борьбы с вирусами и др.

Обеспечение конфиденциальности информации и защита от информационных рисков пользователя пред -полагают:

- создание возможности для формирования электронного отчета о посещениях участков сотрудником в служебных и иных интересах;

- защиту персональных данных, личной финансовой информации, передаваемой с помощью Интернета;

- обеспечение пользователем информацией только регионального органа власти, осуществляющего управление территорией.

Безопасность информации и обеспечение ее конфиденциальности вызывают озабоченность в следу -ющих случаях:

- ненадежность обслуживающего персонала част -ных компаний, которые оказывают государственные услуги по Сети (частно-государственное партнерство);

- недоступность участка Сети в течение нескольких дней из-за природных аномалий;

- необоснованное увеличение количества персо-нала, допущенного к закрытой информации, которая может быть доступна по Сети.

Региональные органы власти должны публиковать уведомления о правовой защите информации и об от -ветственности за не соответствующую требованиям безопасности работу Сети, уведомлять пользователей об ограничениях информационного обмена и получе-ния информации при возникновении угроз. Все это нацелено на формирование доверия в электронном го -сударстве.

Региональным органам власти необходимо предпринять следующие меры информационной безопасности:

- установить ответственность за надлежащее обеспечение защиты чувствительной или конфиденциальной информаци и при ее сборе, обработке, хранении и распределении;

- рассмотреть и внедрить эффективные способы обеспечения безопасности Сети;

- гарантировать, что конфиденциальные данные сохраняются при использовании их местными органами власти ;

- соблюдать требования безопасности, включая вопросы защиты информации в электронную инфраструктуру, на законном основании ограничивать доступ к данным;

- применять электронную подпись для обеспечения санкционированного доступа персонала к информации и каналам ее передачи. Такая подпись является инструментом, который может быть зафиксирован, что обеспечивает подчинение правилам при документ ировани и операци й .

В связи с увеличением объема услуг электронного правительства гражданам необходимо разъяснять, что, реализуя политику конфиденциальности, орган власти старается обеспечить максимальную информационную безопасность. Региональные и местные органы власти, официально заявляя о конфиденциальности сведений на участке Сети, при соблюдении руководящих принципов должны сосредоточить внимание на том, что реализуемая политика является главным аргументом при убеждении граждан, что это лучшая практика для обеспечения информационной безопасности и поддержания режима конфиденциальности информации.

Информация, которую региональные и местные органы власти расценивают как чувствительную, не должна использоваться ненадлежащим образом новыми потребителями при реализации инновационных возможностей электронного правительства. Применение диалоговых услуг в электронном правительстве предполагает как минимум следующее:

- использование только защищенных и ограниченных путей, по которым будет передаваться и обрабатываться персональная информация граждан;

- невозможность передачи информации третьей стороне без особых оснований и контроля;

- гражданин на законном основании должен осуществлять контроль над распространением приватной информации;

- усилия властей должны быть направлены на то, чтобы надежно защищать приватную информацию при ее сборе, хранении, обработке, обеспечивать качество и точность таких данных и предотвращать несанкционированный доступ к ней.

Сбор информации должен вестись с учетом требований положения о соблюдении конфиденциальности с использованием всех необходимых инструментов. Однако, согласно самым современным исследованиям , местные органы власти не спешат развивать и включать положения о поддержании конфиденциальности в своих структурах [2]. Подобная ситуация скла-

дывалась нередко потому что на местах зачастую отсутствуют специалисты, должностные лица, ответ -ственные за поддержание режима конфиденциаль -ности и т.п.

Ранее информационной безопасности не уделялось столько внимания, как сегодня, а ИТ-админист-раторы защищали «критические» системы шифрова-ни ем, другими передовыми в то время методами, обеспечивали минимально возможную антивирусную за -щиту По большей части мероприятия реагирования в сфере безопасности были сосредоточены на борьбе с целенаправленными нападениями отдельных хакеров или распространением вирусов среди индивидуальных пользователей.

Повсеместное использование Интернета затронуло и государственные органы - они стали взаимодей -ствовать через систему World Wide Web. С расширением этой связи возросли информационные риски и угрозы вследствие недостаточно защищенных информационных систем, подключенных к открытой общественной Сети, попавших под «прицел» хакеров, при -меняющих большое количество как традиционных целевых кибератак, так и новых транспортных средств в виде «червей», которые сами автоматически распро -страняются через все незащищенные системы. Эти «черви» либо блокировали доступ к Сети путем ее перегрузки, либо переправляли информацию к зара -женной системе, которую хакеры могли использовать как часть «зомби-сети» для рассылки спама или про -ведения дополнительных кибератак [2; 4].

Целенаправленное применение защитных технологий, таких как брандмауэры, и относительно низкий уровень использования «мягких» мер, таких как поли -тика информационной безопасности, разъяснение возникшей проблемы и планирование ответных мер, позволяло решить ряд вопросов защиты. Однако атаки «червей» по ИТ-системам вывели из строя сотни тысяч компьютеров, вызвали их временное отключе -ние от Сети [3]. В результате все разговоры о том, что необходимо ограничить в масштабах одной организации меры информационной безопасности, прекрати -лись, жизнь заставила пересмотреть подходы к обеспечению защиты ресурсов в этой новой среде, поменять инструменты и методы, используемые в целях борьбы с нарастающей волной информационных рисков и угроз безопасности Сети и системам.

Однако многие технологии не всегда использовали методы обеспечения безопасности при централи -зованном управлении данными, сетями и приложе -ниями. И если информационные технологии уже ста -ли рассматриваться в качестве одного из важнейших элементов в системе институционального организма (как кровеносная система, перемещающая информа-цию, которая становится все более жизненно важной для государственных учреждений), то характер напа -дений на эту систему становится настолько опасным, что нередко угрожает национальной безопасности. В центре атак находятся составляющие этой системы -серверы и компьютеры, подключенные к Сети. Цель нападений - уничтожить данные, имеющиеся в них, использовать их для запуска вредоносных программ с целью последующих нападений на другие машины и

т.п. В современных условиях уязвимыми для нападений стали как места входа (сетевые подключения) государственных органов, так и сама Сеть. Отказы в обслуживании вследствие предельной нагрузки локальной сети из-за машин, попавших под кибератаку, также стали одной из главных угроз [3].

Тем не менее опыт и ошибки прошлых лет научили администраторов информационной безопасности более умело защищать ключевые системы и поддерживать устойчивую работу Сети, что говорит о возросшем понимании важности защиты централизованного уп -равления активами. Новые киберугрозы, с ориента-ци ей на устройства поддержки Сети, а также на сами данные, передаваемые и размещенные в созданных сетях и компьютерах, в частности персональные данные в концентрирующих их учреждениях, приобрели разнообразные формы: «захватчики» паролей, «фишинг», нападения, в которых злоумышленники обманным путем присваивают персональные идентификаторы, неправильно спроектированные приложения, хищения материальных активов (ноутбуки, носители информации с ценными данными) и т.п.

Типы кибератак могут быть самыми различными. Во-первых, они часто поражают цели легко охраняемых систем или систем недостаточно квалифицированных пользователей, находящихся за пределами надежно защищенных участков Сети организации. Во-вторых, это не просто «мешающие» атаки, которые вызывают озабоченность у системных администраторов, - они нацелены непосредственно на персональную информацию с целью ее хищения и получения финансовой выгоды, что значительно актуализирует обеспечение информационной безопасности.

Именно поэтому государственным учреждениям следует искать более сбалансированный подход для эффективной борьбы с киберугрозами [2], поскольку, во-первых, произошло изменение характера угроз (многие новые кибератаки нацелены на выходные данные, а не на преодоление защиты системы и сети организации), а во-вторых, организации стали больше осознавать сложности разработки комплексной системы ИТ-безопасн ости как программы борьбы с этими меняющимися угрозами. К этому следует добавить трудности обеспечения информационной безопасности в сфере окружающей среды, где многие системы не охвачены централизованным управлением.

Различия в восприятии безопасности центральными и местными системами требуют уделять внимание развитию программ ИТ-безопасности, которые предназначены для защиты всей организации, а не только центральной системы, и делать это необходимо на скоординированной, гибкой основе.

Учитывая, что ИТ-безопасность, в отличие от большинства других основных инициатив в области ИТ, не дает видимых или немедленных результатов, пользы для институциональных составляющих, необходимость принятия решения тратить на защиту дефицитные ресурсы и значительный политический капитал требует довольно веских аргументов. Одним из них является постоянно меняющийся характер информационных угроз, что обуславли вает расширение программ защи-

ты информации, обеспечение более полного охвата ресурсов за пределами централизованного управления активами.

Ныне цель многих новых киберпреступников до -вольно примитивна - извлечение прибыли, но не от кражи особо защищенной информации, размещенной в безопасной системе, или за счет неправомерного доступа к финансовой системе организации с после -дующим перенаправлением средств. Задача хакера -найти слабое, уязвимое звено в обеспечении инфор-мационной безопасности организации и использовать его, чтобы добыть персональные, приватные данные. Эта информация может быть продана другим преступникам, при этом хакер получает доход без прямой связи с преступностью. Только хорошо продуманные про -граммы ИТ- безопасности, которые ограничивают распространение конфиденциальной информации сре -ди пользователей, помогут своевременно выявлять данные об информационных рисках, значительно сни -зить их уровень.

Для защиты от киберугроз большое значение имеют федеральные законы и стандарты, в которых отмечается, что управление ИТ-безопасностью ставит ряд уникальных задач, особенно значимых для крупных государственных учреждений, которые работают де-централизованно. Хотя центральный ИТ-отдел должен обеспечить безопасность ИТ-активов учреждения в целом, многие из этих активов централизованно не управляются. Они могут контролироваться с помощью относительно автономных департаментов. Однако с точки зрения безопасности подобная ситуация затруд -няет осуществление принципа «одно решение подхо -дит всем».

Таким образом, подходы к обеспечению ИТ-безо -пасности должны отражать все специфические эле -менты организации защищаемой структуры. ИТ-про -граммы безопасности должны предусматривать сле -дующее:

- базироваться на стандартах, которые используются всеми, включают не только технические стандар -ты, но и набор политик и процедур, всем доступных, понятных и своевременных;

- регламентирующие документы должны быть гибкими, удовлетворяющими различные потребности распределенных подразделений и пользователей, адек-ватными информационным рискам учреждения и разработанными с участием всех органов управления;

- должны быть построены на основе известных принципов и информационных рисков, а не особенно -стей конкретных систем. Это позволит адаптировать программу для каждого учреждения с учетом происходящих изменений и новых угроз;

- должны быть простыми, понятными для физических лиц и ведомств, что может потребовать значи -тельных усилий в работе ИТ-отдела;

- должны быть оцениваемыми, с четко разработанными критериями для определения эффективности, чтобы иметь возможность совершенствоваться;

- управление безопасностью должно поддерживаться высшим руководством организации. Это имеет решающее значение, определяет эффективность этой программы и структуры управления, предназначенной для обеспечения контроля и соблюдения процедур. С учетом повышенного внимания к информационной безопасности последствия неудач должны быть значительно меньшими;

- группы управления в сфере информационной безопасности должны быть достаточно малы, чтобы иметь возможность оперативно, эффективно и быстро принимать разнообразные решения, которые будут достаточными для аккумуляции точек зрения различных потребителей услуг. Многоуровневые структуры, например исполнительно-оперативные, смогут помочь достижению этой цели;

- организации необходимо определить и классифицировать активы, которые нуждаются в защите.

Итак, разработка программы информационной безопасности организации предполагает технологии, процессы и учет человеческих факторов, которые связаны с рисками для нее. Это должен быть достаточно гибкий инструмент, чтобы работать в условиях воздействия окружающей среды, что позволит организации легче адаптироваться к новым информационным угрозам по мере их появления, а не просто ориентироваться на конкретные известные угрозы и применять выработанные меры по их нейтрализации.

Поддержка программ высшим руководством необходима для эффективного осуществления политики и создания эффективного управления информационной безопасностью. Несомненно, что разработать такую программу довольно трудно, но этот шаг необходимо предпринять, чтобы обеспечить безопасность на более высоком уровне и предоставить органу государственной власти безопасную деловую среду, особенно в условиях широкого внедрения технологий электронного государственного управления, достижения прозрачности власти и оказания государственных услуг гражданам в электронном виде.

1. Волоудакис Д. Постоянная эволюция практики эффективного использования ИТ-систем безопасности / пер. с англ.; Educause Review. 2006. Vol. 41. Р. 30 - 45; URL: http:// www. legis .state.wi.us/lab/index.htm/

2. Гришин С.Е. Формирование культуры кибербезопасности в обществе - актуальная задача современности // Вестник СГСЭУ. 2011. № 3.

3. Плято С.С. Потенциальные вызовы электронному правительству // Вестник СГСЭУ. 2011. № 2.

4. Seberg D. Hackers shift focus to financial gain // CNN.com. 2005. September 26; URL: http: // www.cnn.com/2005/ TECH / internet/09/26/i dentity.hacker/index.html.