ГИС ЖКХ модернизация
ИТ / Статьи
госуслуги сервисы
28.6.2023

Коммунальная платформа

Как обеспечить кибербезопасность самой большой информсистемы в стране

До конца года Минстрой РФ планирует провести масштабную модернизацию государственной информационной системы жилищно-коммунального хозяйства (ГИС ЖКХ). Разработчики платформы запустили мобильное приложение «Госуслуги.Дом». Собеседники RSpectr считают, что система надежно защищена от хакеров, но предлагают применять дополнительные меры безопасности, например, публичный поиск угроз и уязвимостей.

С АКЦЕНТОМ НА КЛИЕНТА

ГИС ЖКХ будет модернизироваться в первую очередь с точки зрения клиентских путей, пояснила в разговоре с RSpectr руководитель департамента цифровых решений Агентства «Полилог» Людмила Богатырева.

Минстрой, в частности, в июне анонсировал сервис «История жизни дома», где пользователю будет доступна информация о качестве предоставляемого управляющей организацией обслуживания, средней стоимости коммунальных услуг, планах по капитальному ремонту. Сервис уже прошел пилотирование и готовится к запуску. Ряд других уже внедрен, например, собственники жилья информируются о плановом отключении горячей воды.

Людмила Богатырева отметила, что оптимизация платформы с учетом интересов потребителей соответствует подходу при проектировании домена «ЖКХ и городская среда», который также делает акцент на клиентских сервисах.

Домен разрабатывают в Минстрое РФ. Методическую поддержку специалистам ведомства в его проектировании оказывает «ГосТех», рассказали RSpectr в пресс-службе организации. В рамках проектирования домена разрабатываются сервисы, направленные на повышение качества оказания госуслуг гражданам и управляющим компаниям, подчеркнули там.

Один из сервисов домена называется «Гражданин», он будет использоваться для возмещения затрат за жилищно-коммунальные услуги для тех, кто имеет право на субсидии от государства.

ГИС ЖКХ к 2024 году, возможно, будет включена в облако платформы «ГосТех» – в его контур к этому времени будут переведены все государственные системы

Об этом заявлял ранее Дмитрий Чернышенко. Развитием ГИС с прошлого года занимается новый подрядчик – компания «Оператор информационной системы». Там не ответили на запрос RSpectr.

ЧТО И КАК ЗАЩИЩАТЬ

Системы, подобные ГИС ЖКХ, содержат огромное количество данных о жителях, включая адреса, личную информацию, сведения о платежах, поэтому уровень их защиты должен быть высоким, пояснил RSpectr гендиректор компании Pro Control Станислав Сидоров. По его словам, информационная безопасность (ИБ) должна быть встроена на всех уровнях, от оборудования и инфраструктуры до процедур и политик.

Станислав Сидоров Pro Control:

– Это включает в себя защиту от несанкционированного доступа, защиту данных в процессе передачи и хранения, регулярное тестирование на проникновение и обучение сотрудников правилам безопасности.

Какой именно должна быть система ИБ, определяется отдельными требованиями и зависит от нескольких факторов, а именно от установленного класса защиты, от модели угроз безопасности информации и модели нарушителя, сообщил RSpectrруководитель отдела аудита и консалтинга Angara Security Александр Хонин.

Эксперт уточнил, что

ГИС ЖКХ по своим критериям не подпадает под объекты критической информационной инфраструктуры (КИИ)

С формальной точки зрения категорирование и дальнейшие мероприятия по обеспечению безопасности КИИ для нее не требуются, уверен он.

Александр Хонин, Angara Security:

– Но владелец системы может самостоятельно принять решение о применении этих требований, и в этом случае ГИС ЖКХ может быть присвоена минимально возможная – третья категория значимости.

Станислав Сидоров предположил, что ГИС ЖКХ, вероятно, соответствует второму уровню в системе защиты КИИ. Поскольку она обрабатывает персональные данные (ПД) граждан и важна для функционирования общественных услуг, но все же не критична для национальной безопасности или экономики в целом.

ГИС ЖКХ интегрирована с «Госуслугами», напомнил управляющий директор компании «Метриум» Руслан Сырцов. По его словам, оба ресурса безопасны: «Госуслуги» защищены от брут-форса, то есть перебора паролей, через несколько попыток направляя на «капчу», а от фишинговых атак – посредством двухфакторной авторизации.

Руслан Сырцов, «Метриум»:

Исследователи установили, что в приложении за несколько часов поисков можно найти минимальные уязвимости, однако попытки «пробиться» через них пресекаются защитными инструментами.

Эксперт «Метриум» рекомендовал указывать в учетной записи несколько контактов, что позволит восстановить доступ в систему, даже если один из них, например, электронная почта, оказался взломан.

В последние годы регулирующие органы обращают пристальное внимание на информационную защиту госсервисов, констатировал гендиректор компании RooX Алексей Хмельницкий. Яркий тому пример – ввод обязательной двухфакторной авторизации на «Госуслугах», сказал эксперт. Руслан Сырцов согласен, что это правильное решение.

Данное правило планировали внедрить с 1 июня, но на практике кейс начнет работать с 1 октября 2023 года.

Задержки сроков критичны, ведь количество утечек данных постоянно растет, говорит Алексей Хмельницкий. Подобные риски есть всегда, особенно в крупных и сложных системах, которые включают в себя множество различных компонентов и уровней, подтверждает Станислав Сидоров.

Это может произойти в результате хакерской атаки, недостаточных мер безопасности, ошибок в ПО. Утечка данных способна привести к нарушению конфиденциальности, использованию информации в мошеннических целях, потере доверия пользователей, отметил в разговоре с RSpectr представитель IT-компании Arbitroom Дмитрий Мазанов.

Риски кибербезопасности имеют разный уровень и зависят от построенной системы обеспечения ИБ и повседневной ее эксплуатации, а также от состава и объема утекших данных, уточнил Александр Хонин.

По словам Алексея Хмельницкого,

любой организации нужно совершенствовать процессы управления аутентификацией и авторизацией клиентов

Алексей Хмельницкий, RooX:

– Например, поддерживать различные сценарии входа, подключать принудительную многофакторную аутентификацию, проверять логины и пароли по базам утекших учетных записей, уведомлять пользователей о скомпрометированных паролях или запрещать их использование.

Конкретные случаи утечек данных из ГИС ЖКХ не были обнародованы, но это не означает, что их не было: многие инциденты ИБ остаются незамеченными или о них не сообщается, говорит Станислав Сидоров.

Утечка аккаунтов из ГИС ЖКХ в Сеть – не более чем миф, считает Роман Сырцов: если такие случаи и имели место, то носили единичный характер.

В прошлом году СМИ писали, что в столице возбудили уголовное дело по факту взлома региональной ИС «Реестр домовладений». Хакеры подделывали сведения о готовности домов к зиме. В «Почте России» тогда прокомментировали, что через взлом отдельных систем невозможно проникнуть в ГИС ЖКХ. Это связано с тем, что ни одна из них не интегрирована в федеральный информационный контур.

Можно сделать так, что взлом систем будет настолько сложен и дорог с точки зрения ресурсов, что потеряет целесообразность, рассказал RSpectr гендиректор ITGLOBAL.COM Security Александр Зубриков. По его словам,

чтобы максимально обезопасить ГИС ЖКХ, достаточно следовать рекомендациям, которые утверждены регулятором, а именно ФСТЭК России

Александр Зубриков, ITGLOBAL.COM Security:

– Речь идет о приказах службы № 17 и № 239. В данных документах прописаны все минимально необходимые меры для защиты данных в государственных информсистемах и в отношении объектов КИИ.

По словам Людмилы Богатыревой, зачастую большие ГИС имеют общие проблемы. Одна из них – это отсутствие единой архитектуры данных и стандартов их качества.

Людмила Богатырева, «Полилог»:

– Как следствие, даже если реализованы все необходимые интеграции компонентов внутри системы и с внешними источниками, данные сложно связать между собой.

Пока на таких данных невозможно построить качественную аналитику и автоматическое принятие решений без участия чиновника, считает эксперт.

МИЛЛИОН РОССИЯН В ПРИЛОЖЕНИИ

Мобильным сервисам, оперирующим персданными, нужна особая защита, считают эксперты.

Важные меры безопасности включают шифрование данных, аутентификацию пользователей, обновление ПО, тестирование на проникновение и оценку рисков, отметил Станислав Сидоров.

По словам Александра Зубрикова, со стороны ИБ к данным приложениям нужен такой же подход, как и к информсистемам или КИИ. От регулятора уже есть набор необходимых требований, например, оценочный уровень доверия (ОУД).

Александр Зубриков, ITGLOBAL.COM Security:

– Также можно применить дополнительные меры, не ограничиваться одним только анализом кода приложения, а выставлять его на площадки для публичного поиска уязвимостей Bug Bounty и определения угроз Threat Hunting.

Эксперт отмечает, что

запуск «Госуслуги.Дом» является правильным шагом с точки зрения цифровизации государства

Через приложение можно будет передавать показания счетчиков, оплачивать коммунальные услуги, видеть счета за ЖКУ, подавать заявки в управляющую компанию, организовывать чаты жильцов при помощи подключения к VK Messenger.

Заместитель главы Минцифры Дмитрий Огуряев заявил в мае 2023 года, что пока приложение испытывается в пилотном режиме в пяти регионах страны, и его пользователями уже стали более 100 тыс. россиян. Минимальная цель на конец 2023 года – 1 млн подписчиков.

Наталия Черкасова

Изображение: RSpectr, Adobe Stock

Еще по теме

Грозит ли сбой, аналогичный инциденту с Microsoft, критической инфраструктуре РФ

Стоит ли ожидать дефицита качественной информации для обучения ИИ-моделей

За счет чего российская цифровая техника будет востребована за рубежом

Как изменились подходы и скорость цифровизации за последние 20 лет

Почему будущих специалистов по информбезопасности разбирают еще со школы

Новые схемы интернет-мошенников и как им противостоять

Почему буксует импортозамещение электронных компонентов

Почему рынок коммерческих дата-центров нуждается в регулировании

Что ждет начинающего тестировщика в 2024 году

Как найти перспективные зарубежные рынки для российских решений

Какие угрозы несет интернет тел человечеству

Успеют ли банки заменить импортный софт и оборудование до 2025 года

Зачем компании вкладывают деньги в ИТ-состязания?

Импортозамещение и внутренняя разработка ПО в страховании

Почему рынок информационных технологий РФ возвращается к классической дистрибуции