Коммунальная платформа
Как обеспечить кибербезопасность самой большой информсистемы в стране
До конца года Минстрой РФ планирует провести масштабную модернизацию государственной информационной системы жилищно-коммунального хозяйства (ГИС ЖКХ). Разработчики платформы запустили мобильное приложение «Госуслуги.Дом». Собеседники RSpectr считают, что система надежно защищена от хакеров, но предлагают применять дополнительные меры безопасности, например, публичный поиск угроз и уязвимостей.
С АКЦЕНТОМ НА КЛИЕНТА
ГИС ЖКХ будет модернизироваться в первую очередь с точки зрения клиентских путей, пояснила в разговоре с RSpectr руководитель департамента цифровых решений Агентства «Полилог» Людмила Богатырева.
Минстрой, в частности, в июне анонсировал сервис «История жизни дома», где пользователю будет доступна информация о качестве предоставляемого управляющей организацией обслуживания, средней стоимости коммунальных услуг, планах по капитальному ремонту. Сервис уже прошел пилотирование и готовится к запуску. Ряд других уже внедрен, например, собственники жилья информируются о плановом отключении горячей воды.
Людмила Богатырева отметила, что оптимизация платформы с учетом интересов потребителей соответствует подходу при проектировании домена «ЖКХ и городская среда», который также делает акцент на клиентских сервисах.
Домен разрабатывают в Минстрое РФ. Методическую поддержку специалистам ведомства в его проектировании оказывает «ГосТех», рассказали RSpectr в пресс-службе организации. В рамках проектирования домена разрабатываются сервисы, направленные на повышение качества оказания госуслуг гражданам и управляющим компаниям, подчеркнули там.
Один из сервисов домена называется «Гражданин», он будет использоваться для возмещения затрат за жилищно-коммунальные услуги для тех, кто имеет право на субсидии от государства.
ГИС ЖКХ к 2024 году, возможно, будет включена в облако платформы «ГосТех» – в его контур к этому времени будут переведены все государственные системы
Об этом заявлял ранее Дмитрий Чернышенко. Развитием ГИС с прошлого года занимается новый подрядчик – компания «Оператор информационной системы». Там не ответили на запрос RSpectr.
ЧТО И КАК ЗАЩИЩАТЬ
Системы, подобные ГИС ЖКХ, содержат огромное количество данных о жителях, включая адреса, личную информацию, сведения о платежах, поэтому уровень их защиты должен быть высоким, пояснил RSpectr гендиректор компании Pro Control Станислав Сидоров. По его словам, информационная безопасность (ИБ) должна быть встроена на всех уровнях, от оборудования и инфраструктуры до процедур и политик.
Станислав Сидоров Pro Control:
– Это включает в себя защиту от несанкционированного доступа, защиту данных в процессе передачи и хранения, регулярное тестирование на проникновение и обучение сотрудников правилам безопасности.
Какой именно должна быть система ИБ, определяется отдельными требованиями и зависит от нескольких факторов, а именно от установленного класса защиты, от модели угроз безопасности информации и модели нарушителя, сообщил RSpectrруководитель отдела аудита и консалтинга Angara Security Александр Хонин.
Эксперт уточнил, что
ГИС ЖКХ по своим критериям не подпадает под объекты критической информационной инфраструктуры (КИИ)
С формальной точки зрения категорирование и дальнейшие мероприятия по обеспечению безопасности КИИ для нее не требуются, уверен он.
Александр Хонин, Angara Security:
– Но владелец системы может самостоятельно принять решение о применении этих требований, и в этом случае ГИС ЖКХ может быть присвоена минимально возможная – третья категория значимости.
Станислав Сидоров предположил, что ГИС ЖКХ, вероятно, соответствует второму уровню в системе защиты КИИ. Поскольку она обрабатывает персональные данные (ПД) граждан и важна для функционирования общественных услуг, но все же не критична для национальной безопасности или экономики в целом.
ГИС ЖКХ интегрирована с «Госуслугами», напомнил управляющий директор компании «Метриум» Руслан Сырцов. По его словам, оба ресурса безопасны: «Госуслуги» защищены от брут-форса, то есть перебора паролей, через несколько попыток направляя на «капчу», а от фишинговых атак – посредством двухфакторной авторизации.
Руслан Сырцов, «Метриум»:
– Исследователи установили, что в приложении за несколько часов поисков можно найти минимальные уязвимости, однако попытки «пробиться» через них пресекаются защитными инструментами.
Эксперт «Метриум» рекомендовал указывать в учетной записи несколько контактов, что позволит восстановить доступ в систему, даже если один из них, например, электронная почта, оказался взломан.
В последние годы регулирующие органы обращают пристальное внимание на информационную защиту госсервисов, констатировал гендиректор компании RooX Алексей Хмельницкий. Яркий тому пример – ввод обязательной двухфакторной авторизации на «Госуслугах», сказал эксперт. Руслан Сырцов согласен, что это правильное решение.
Данное правило планировали внедрить с 1 июня, но на практике кейс начнет работать с 1 октября 2023 года.
Задержки сроков критичны, ведь количество утечек данных постоянно растет, говорит Алексей Хмельницкий. Подобные риски есть всегда, особенно в крупных и сложных системах, которые включают в себя множество различных компонентов и уровней, подтверждает Станислав Сидоров.
Это может произойти в результате хакерской атаки, недостаточных мер безопасности, ошибок в ПО. Утечка данных способна привести к нарушению конфиденциальности, использованию информации в мошеннических целях, потере доверия пользователей, отметил в разговоре с RSpectr представитель IT-компании Arbitroom Дмитрий Мазанов.
Риски кибербезопасности имеют разный уровень и зависят от построенной системы обеспечения ИБ и повседневной ее эксплуатации, а также от состава и объема утекших данных, уточнил Александр Хонин.
По словам Алексея Хмельницкого,
любой организации нужно совершенствовать процессы управления аутентификацией и авторизацией клиентов
Алексей Хмельницкий, RooX:
– Например, поддерживать различные сценарии входа, подключать принудительную многофакторную аутентификацию, проверять логины и пароли по базам утекших учетных записей, уведомлять пользователей о скомпрометированных паролях или запрещать их использование.
Конкретные случаи утечек данных из ГИС ЖКХ не были обнародованы, но это не означает, что их не было: многие инциденты ИБ остаются незамеченными или о них не сообщается, говорит Станислав Сидоров.
Утечка аккаунтов из ГИС ЖКХ в Сеть – не более чем миф, считает Роман Сырцов: если такие случаи и имели место, то носили единичный характер.
В прошлом году СМИ писали, что в столице возбудили уголовное дело по факту взлома региональной ИС «Реестр домовладений». Хакеры подделывали сведения о готовности домов к зиме. В «Почте России» тогда прокомментировали, что через взлом отдельных систем невозможно проникнуть в ГИС ЖКХ. Это связано с тем, что ни одна из них не интегрирована в федеральный информационный контур.
Можно сделать так, что взлом систем будет настолько сложен и дорог с точки зрения ресурсов, что потеряет целесообразность, рассказал RSpectr гендиректор ITGLOBAL.COM Security Александр Зубриков. По его словам,
чтобы максимально обезопасить ГИС ЖКХ, достаточно следовать рекомендациям, которые утверждены регулятором, а именно ФСТЭК России
Александр Зубриков, ITGLOBAL.COM Security:
– Речь идет о приказах службы № 17 и № 239. В данных документах прописаны все минимально необходимые меры для защиты данных в государственных информсистемах и в отношении объектов КИИ.
По словам Людмилы Богатыревой, зачастую большие ГИС имеют общие проблемы. Одна из них – это отсутствие единой архитектуры данных и стандартов их качества.
Людмила Богатырева, «Полилог»:
– Как следствие, даже если реализованы все необходимые интеграции компонентов внутри системы и с внешними источниками, данные сложно связать между собой.
Пока на таких данных невозможно построить качественную аналитику и автоматическое принятие решений без участия чиновника, считает эксперт.
МИЛЛИОН РОССИЯН В ПРИЛОЖЕНИИ
Мобильным сервисам, оперирующим персданными, нужна особая защита, считают эксперты.
Важные меры безопасности включают шифрование данных, аутентификацию пользователей, обновление ПО, тестирование на проникновение и оценку рисков, отметил Станислав Сидоров.
По словам Александра Зубрикова, со стороны ИБ к данным приложениям нужен такой же подход, как и к информсистемам или КИИ. От регулятора уже есть набор необходимых требований, например, оценочный уровень доверия (ОУД).
Александр Зубриков, ITGLOBAL.COM Security:
– Также можно применить дополнительные меры, не ограничиваться одним только анализом кода приложения, а выставлять его на площадки для публичного поиска уязвимостей Bug Bounty и определения угроз Threat Hunting.
Эксперт отмечает, что
запуск «Госуслуги.Дом» является правильным шагом с точки зрения цифровизации государства
Через приложение можно будет передавать показания счетчиков, оплачивать коммунальные услуги, видеть счета за ЖКУ, подавать заявки в управляющую компанию, организовывать чаты жильцов при помощи подключения к VK Messenger.
Заместитель главы Минцифры Дмитрий Огуряев заявил в мае 2023 года, что пока приложение испытывается в пилотном режиме в пяти регионах страны, и его пользователями уже стали более 100 тыс. россиян. Минимальная цель на конец 2023 года – 1 млн подписчиков.
Наталия Черкасова
