Aa Aa Aa

Чиновников научат защищать секретную информацию

Анастасия Пика
Чиновников научат защищать секретную информацию

Вопрос безграмотности украинских чиновников в сфере защиты информации активно освещается в СМИ уже далеко не первый год. В мае 2014-го InternetUA проводил исследование на тему того, какими почтовыми сервисами пользуются украинские госслужащие. Мы узнали, что многие ведомства используют исключительно российские публичные почтовые сервисы. Также оказалось, что правилами многих госструктур сотрудникам не запрещается заводить ящики на общедоступных почтовых серверах, в том числе и для служебной корреспонденции.

1.08.2014-го года российское законодательство обязало интернет-компании в течение полугода хранить данные о своих пользователях и по первому требованию передавать их уполномоченным органам, которые ведут оперативно-розыскную деятельность. На деле это означает, что использование почтовых ящиков на российских почтовых серверах украинскими госслужащими дает возможность ФСБ ознакомиться с их содержимым. Мы не раз обсуждали этот вопрос с тогдашним главой Госспецсвязи Владимиром Зверевым, слали запросы в СБУ. Нас уверяли, что соответствующая работа ведется чуть ли не на законодательном уровне, а госслужащим достаточно соблюдать рекомендации по информационной безопасности, уже давно разработанные Госспецсвязи.

С тех прошло больше года, сменилось руководство Госспецсвязи и СБУ. Вопрос информационной безопасности в госструктурах наконец был поднят на государственном уровне. В этом месяце по поручению Премьер-министра Украины Арсения Яценюка Администрация Госспецсвязи совместно с СБУ и Госагентством по вопросам электронного управления начали работу над повышением уровня защищенности государственных информационных ресурсов и грамотности чиновников.

Во-первых, Администрация Госспецсвязи разработала и опубликовала на официальном сайте рекомендации - правила пользования государственными служащими почтовыми сервисами. Приводим их дословно:

"З метою недопущення витоку інформації, що передається з використанням електронної пошти, підготовлено рекомендації щодо правил використання державними службовцями поштових сервісів, які розміщено у додатку.

Пропонуємо неухильно дотримуватись наданих рекомендацій.

РЕКОМЕНДАЦІЇ ЩОДО ПРАВИЛ ВИКОРИСТАННЯ ДЕРЖАВНИМИ СЛУЖБОВЦЯМИ ПОШТОВИХ СЕРВІСІВ

 1. Не використовувати неслужбові (неофіційні) електронні поштові скриньки та закордонні публічні поштові сервіси, насамперед російські, для організації службового листування.

2. Створювати службові поштові скриньки виключно на власних (відомчих) ресурсах, зареєстрованих в доменній зоні українського сегменту Інтернету GOV.UA, а за відсутності таких ресурсів користуватися відповідними послугами лише від українських провайдерів.

3. Не використовувати службові електронні поштові скриньки для здійснення листування з особистих питань, насамперед, при підписці на різноманітні розсилки.

4. Використовувати складні паролі для службових електронних поштових скриньок (мінімальна довжина паролю 8 символів, наявність літер різного регістру та спецсимволів, «складність» паролю до підбору за словами тощо), а також регулярно їх змінювати (не рідше ніж один раз на місяць).

Не використовувати один пароль для декількох акаунтів, а також він не  повинен бути пов’язаний з особистими даними.

Не зберігати пароль від поштової скриньки у браузері.

5. Обов’язково перевіряти отримане засобами електронної пошти повідомлення встановленим антивірусним програмним забезпеченням.

6. Видаляти (не відкриваючи) отримані засобами електронної пошти повідомлення, якщо Вам вони здаються підозрілими, навіть за умови повідомлення антивірусу, що повідомлення чисте. Особливо якщо Ви на них не очікуєте.

Якщо відправник відомий, а електронне повідомлення містить не очікувані додатки або посилання, доцільно уточнити інформацію щодо них у відправника.

7. У разі виникнення питань (зокрема проблемних), пов’язаних із використанням електронних поштових скриньок, невідкладно звертатись за консультацією до відповідних адміністраторів безпеки відомства.

8. Вимагати від адміністраторів безпеки відомства регулярно оновлювати прикладне програмне забезпечення, що забезпечує функціонування електронної поштової скриньки, та антивірусного програмного забезпечення.

Крім того, розширені практичні рекомендації та поради доступні на веб-сайті Команди реагування на комп’ютерні надзвичайні події України CERT‑UA – www.cert.gov.ua".

Во-вторых, Госспецсвязи совместно с Нацгосслужбой Украины начали проводить тренинги по защите информации для госслужащих.

Первый тренинг с участием чиновников І-ІІ категории, на которых возложена ответственность за защиту информации в органах власти, состоялся 15 сентября. По словам организаторов, явка составила 90%. Пришли представители практически всех госорганов исполнительной власти, за исключением Александра Данченко и Сергея Пашинского (те были слишком заняты работой в Раде). Чиновникам рассказали об организационно-правовых основах защиты информации, технической и криптографической защите, продемонстрировали действующие макеты каналов утечки информации, средства защиты, а также вручили сертификаты о прослушанном курсе.

Как рассказал нам первый заместитель Главы Госспецсвязи Александр Чаузов, это только начало предстоящей работы.

- Необхідність у тренінгах з захисту інформації для держслужбовців виникла вже давно. На жаль, раніше не всі розуміли, для чого це потрібно. Сьогодні ж, коли Україна знаходиться в стані зовнішньої агресії, питання випливло назовні. Стало зрозуміло, що це не просто набір технічних документів, які лежать на полиці, а реалії сьогодення. Ми повинні робити все для того, щоб захистити інформацію, яку доручила нам держава, особливо з обмеженим доступом. За недолугим ставленням або небажанням її захищати часто стоять життя наших захисників і майбутнє держави.

Органи державної влади і раніше займалися цим питанням - кожен забезпечував захист інформації по своєму напрямку. Але ми бачимо необхідність посилити цей захист саме сьогодні. В першу чергу ми провели тренінг для керівників державних органів, потім плануємо виходити на рівень керівників департаментів, управлінь, щоб чиновники отримували таку інформацію з перших вуст. Телекомунікації розвиваються дуже стрімко, зловмисники теж виходять на новий рівень і ми повинні зробити все щоб або унеможливити загрозу з їх боку, або хоча б зменшити.

 Мы расспросили чиновников, посетивших тренинг, почерпнули ли они на нем для себя что-то новое.

Алла Жаринова, глава Государственной службы интеллектуальной собственности:

- Цей тренінг - дуже хороша державна ініціатива. Робота тільки починається, але ми всі розуміємо її необхідність. Ситуація в країні дуже складна, тому я підтримую проведення таких заходів. Правда дуже хотілося б, щоб семінари проводилися не тільки з керівниками, а і з тими, хто відповідає за захист інформації в державних установах безпосередньо. Також хотілося б мати на руках не тільки цитати з законів, а якісь практичні роз'яснення від Держспецзв'язку для наших працівників. Звичайно, робота по захисту інформації і так проводиться в нашій службі. Ми працюємо, наприклад, з секретними об'єктами на винахід, ми проходили і атестацію, і розробку комплексного захисту. Всі засоби, про які ми чули на тренінгу, впроваджуємо. Для нас це дуже важливо і ми всіма силами намагаємось подолати інформаційні загрози.

Леонид Демьяненко, заведующий сектора технической защиты информации Администрации Президента Украины:

- Я считаю, что в будущем на такие тренинги нужно приглашать более "тяжелые" фигуры, чем те, кто присутствовал на первой встрече. Нужно было немного заранее организовать мероприятие, так как график наших высокопоставленных должностных лиц настолько напряженный, что далеко не все смогли прийти. А так, безусловно, было интересно. Основной целью мероприятия было донести именно до руководителей, что они отвечают за техническую защиту информации, так как являются ее носителями. Так как я работаю в этой сфере с 1978-го года, в видеороликах, конечно, не увидел ничего нового. Однако методы защиты, о которых рассказывалось, остаются актуальными и работают на практике. Правда, вызвало улыбку снятие информации с выключенного телевизора.

Что ж, остается только надеяться, что Госспецсвязи не остановится на достигнутом и продолжит начатую работу. Ведь ни зашифрованная мобильная связь, ни защищенный Интернет не спасут от утечки важную информацию, попавшую к безграмотному чиновнику. И именно правительство должно быть заинтересовано в том, чтобы научить каждого госслужащего вносить свой посильный вклад в информационную безопасность страны.