Безопасные «облака» и электронное правительство
16 ноября в рамках XX Международного форума «SFITEX: Охрана и безопасность» прошёл круглый стол на тему «Электронные услуги в государстве и бизнесе. Проблемы защиты информации». Главной темой для обсуждения стала система электронного правительства (ЭП) и её реализация на федеральном и региональном уровнях. Данное мероприятие является частью программы 3-й научно-практической конференции «Информационная безопасность: Невский диалог – 2011», которая реализуется на форуме. Также специалисты обсудили актуальные вопросы безопасности информации «облачных» вычислений.
Модератором встречи выступил сопредседатель Комитета по информационной безопасности совета ИТ-директоров, начальник управления предпринимательства и поддержки промышленности КэрППиТ администрации Санкт-Петербурга Юрий Шойдин. Серебряным партнёром круглого стола заявлена компания IBM, которая предлагает широкий спектр продуктов и услуг по обеспечению безопасности ИТ-инфраструктуры на базе продуктов IBM-security.
Доклады спикеров были посвящены, главным образом, используемым в инфраструктуре ЭП технологиям (так, очень важными были признаны виртуализация и «облачные» технологии), рискам и механизмам безопасности ЭП, применению ЭП в регионах, в частности, Северо-Западном ФО. Если с Северо-Западом дела обстоят хорошо, так как наш регион считается одним из самых развитых в сфере ИТ, то в других регионах ситуация сложнее. Это связано в первую очередь с недостатком финансирования. Больница с бюджетом в 100 тыс. рублей «на всё про всё» по определению не может быть включена в систему ЭП. Услышав эту цифру, программисты, как правило, разворачиваются и уходят. Также определённая трудность в пользовании ЭП заключается в том, что подобные системы не являются единым целым: они составляют набор неоднородных автоматизированных систем. Именно поэтому говорится о широком применении технологии виртуализации – без неё невозможно реализовать масштабные задачи.
Начальник управления информационно-аналитического центра при правительстве Санкт-Петербурга Владимир Шабалин затронул вопрос внедрения такой технологии, как единая платёжно-сервисная система «Универсальная электронная карта» (ЕПСС УЭК). Она придет на смену всем социальным картам, которые локально выпускали субъекты федерации, а также заменит многие другие документы, такие как полис обязательного медицинского страхования, студенческие билеты, проездные документы и т. д. С помощью карты можно будет получить государственные, региональные и коммерческие услуги в электронном виде с использованием банкоматов, персональных компьютеров, мобильных устройств; она также будет приниматься в общественном транспорте. Подобно обычной банковской карте, универсальная карта может использоваться для оплаты товаров и услуг в магазинах и любых других организациях. Одной из главных задач по внедрению данной технологии будет обеспечение защищённого хранения ID-данных гражданина на карте и в самой системе, возможность использования на УЭК ведомственных блоков данных (например, Пенсионного фонда, Минсоцздрава и др.), а также внесения изменений со стороны Федеральной уполномоченной организации (ФУО). Также г-н Шабалин не исключает возможности слияния проектов УЭК и ЭП.
Следующей серией конференции «Электронная безопасность: Невский диалог – 2011» стал круглый стол «Актуальные вопросы «облачных» вычислений». Модератором мероприятия был региональный представитель «Лаборатории Касперского» в СЗФО Евгений Питолин, который провел его под девизом «Не вторгайтесь в мою приватность». В числе остальных спикеров в рамках круглого стола выступил эксперт портала Anti-Malware Виталий Янко, рассказав о рисках работы в частном, публичном и коммерческом «облаках» и возможности их избежать. Традиционные риски при размещении своих данных и работе в «облаке» – это недоступность данных, потеря данных, вопросы совместного доступа к данным, законодательная ответственность и невозможность простой и самостоятельной миграции из «облака». Что касается прикрытий, то есть какой-то защиты от этих рисков, то ее нужно продумывать заранее. Например, прописывать в контракте при заключении договора допустимый процент отказа работы оборудования и четкое время на восстановление. От физической потери данных в дата-центре также никто не застрахован. Поэтому компании необходимо учесть возможность автоматического резервного копирования в другой ЦОД и, опять же, прописывать в договоре действия партнера в случае потери информации.
«Важный риск при работе в «облаке» – это ответственность перед законом. Есть требования выдать данные. Например, если вы не хостите какой-то определенный сайт, не являетесь его владельцем, но делаете что-то, что регулятору не понравилось, помните, что без санкции суда ваш провайдер не выдаст данные в соответствующие органы. То же самое и с вопросом отключения серверов: никто не выдернет просто так ваш сервер из розетки. Ну и наконец, если у вас произошла утечка персональных данных своих клиентов и вы ощущаете над собой дамоклов меч правосудия, первыми обратитесь в соответствующие инстанции и попробуйте этот вопрос без шума разрешить. Пока у нас нет законодательства, гарантирующего раскрытия утечки данных, лучше поступать таким образом».
Региональный представитель «Лаборатории Касперского» в СЗФО Евгений Питолин в своем выступлении отметил, что главным фактором безопасности, несомненно, является образование, причем не только ИТ-специалистов, но и обычных пользователей, в том числе и детей. Также спикер напомнил, что к финалу 2010 года было зафиксировано почти 2 млрд инцидентов в области информационных угроз. Сейчас произошла некая стабилизация количества вредоносных программ, но не произошло стабилизации количества атак, и атаки, в том числе и на «облачные» сервисы, растут. Лучший пример публичного «облака» – это социальные сети, где личные данные пользователей хранятся, множатся, подделываются. Можно вспомнить, как за четыре дня в 2010 году вирус Facebook обошел весь мир, поразив тысячи пользователей. А 2011 год запомнится атаками на «облака» крупных корпораций – например, нападением на компанию Sony.
http://spbit.ru/news/n83092/