Отправить на принтер

Безопасность доверенных самоуправлениям данных не обеспечена

Проведенный Государственным контролем аудит показал, что безопасность доверенных аудитированным самоуправлениям данных надлежащим образом не обеспечена: риски, связанные с ИТ-защитой, не осознаются, поэтому плохо выполняются и установленные государством требования, хотя к настоящему времени они действуют уже почти десять лет.

Государственный контроль отметил, что ожидаемого развития не обеспечили ни информационная деятельность государства, ни финансовая поддержка.

"Ни в одном из проверенных самоуправлений не была оценена потребность в защите информации, содержащейся в их базах данных. В некоторых самоуправлениях имеются сложности с применением мер безопасности даже самой низкой степени защиты, - сообщил Государственный контроль. - Во многих местах ИТ-пользователям необдуманно предоставлены неограниченные права, часто отсутствовал и обзор, кто и к чему вообще имеет доступ, управление паролями было неудовлетворительным, установка патчей часто была предоставлена пользователям, легальность программного обеспечения в рабочих компьютерах не проверялась".

"В отношении некоторых местных самоуправлений у аудиторов Государственного контроля создалось впечатление, что они напоминают «дикий Запад», куда слухи о действующих в Эстонии требованиях к содержанию информационных систем еще не дошли", - отметил государственный контролер Янар Хольм.

Связанные с ИТ-защитой риски по-прежнему не осознаются, хотя существует множество примеров, когда в информационные системы самоуправлений были совершены препятствующие оказанию услуги хакерские атаки, система была заражена вирусом и повреждены сайты.

Государственный контроль пришел к заключению, что общая культура информационной защиты в самоуправлениях низкая как на уровне служащих, так и на уровне руководства.

Часто отсутствуют инструкции по обращению со средствами ИТ, работников с ними не знакомили или в реальной жизни их не соблюдают; обучение и информационная работа по исполнению требований ИТ внутри учреждений не проводится.

«Самое большое беспокойство как раз вызывает тот факт, что в местных самоуправлениях аудиторы встретили и таких ответственных чиновников, для которых необходимость применения системы защитных мер, в том числе необходимость защиты данных, осталась настолько же непонятной, как и инвестиция в туристическую поездку на Марс - нечто далекое, чего в их жизни все равно не произойдет. В то время, когда количество известных случаев киберзащиты в Эстонии уже превышает 10 000 в год, наивно и опасно по-прежнему думать, что "с нами этого не случится"", - отметил Хольм.

Причина может заключаться в недостаточном количестве ИТ-специалистов в самоуправлениях. Обычно в небольших самоуправлениях сфера ИТ передана под ответственность специалиста какой-либо другой области, в средних самоуправлениях ИТ-служба состоит максимум из двух специалистов.

В основном они способны оказывать техническую поддержку, но специалистов (например, по информационной защите) мало. При применении системы мер безопасности назначение руководителя по информационной защите или исполняющего его обязанности является обязательным и в самоуправлениях. Поскольку не всегда целесообразно нанимать для этого отдельного человека, то, по мнению Государственного контроля, самоуправления могли бы больше сотрудничать с частным сектором или другими самоуправлениями.

По мнению Государственного контроля, министерства могли бы дать самоуправлениям инструкции в сфере ведения баз данных (в том числе в сфере информационной защиты) по всем вопросам, которые их интересуют. Государственный контроль считает, что министерство могло бы и само разработать программное обеспечение для выполнения этой задачи и выступить в роли ответственного обработчика.

Как Департамент государственной инфосистемы (далее - RIA), так и Инспекция по защите данных в своих ответах на рекомендации Государственного контроля сказали, что более масштабный надзор в самоуправлениях осуществляется в соответствии с приоритетностью и возможностями. По словам RIA, они уже планируют после административной реформы провести в самоуправлениях проверки и информационную работу.

Гоударственный сконтроль рекомендовал самоуправлениям назначить исполнителя обязанностей руководителя информационной защиты или заказать услугу руководства информационной защитой; установить требования к применяемым для ведения баз данных стандартным программным решениям, исходя из потребности в защите вводимых данных; убедиться, чтобы решение было совместимо с X-tee, и в договоре с оказывающим услугу лицом договориться об организации аудита мер безопасности.