В конце прошлого и начале нынешнего года были отмечены успешные кибератаки на сети министерств иностранных дел Польши, Чехии и Таиланда. При этом заявлено, что действия злоумышленников были аналогичны взлому сетей Демократической парии США и Всемирного антидопингового агентства.
В последнее время любые кибератаки на органы власти зарубежных стран без особенного стеснения связывают с «российскими хакерами», которых поддерживает государство. Это очень удобно, поскольку хакеров зачастую изображают как стихийное бедствие — внезапную и неотвратимую силу. Получается, сколько ни вкладывай в информационную безопасность, все равно придут хакеры и все сломают.
Как отмечают эксперты InfoWatch, в большинстве случаев ссылки на хакеров лишь прикрывают давно известные проблемы с информационной безопасностью в государственных учреждениях. Во-первых, государственные структуры по всему миру традиционно тяготеют к выстраиванию таких систем безопасности, где бумажные регламенты не соответствуют бизнес-процессам, существующим в реальности.
Например, по бумагам запрещено использование бесплатной электронной почты, а в реальности сотрудники сплошь и рядом ее используют. Просто потому, что это удобно — можно переслать себе важный документ и поработать из дома или общаться с контрагентом, которого лучше «не светить» в публичном аккаунте и так далее.
При этом госчиновники изобретают систему псевдонимов, называют друг друга вымышленными именами, придумывают иносказательные названия для проектов. И все это потому, что пользоваться защищенной почтой неудобно. То же самое можно сказать про публичные облака, которые якобы запрещены, а на деле, как правило, пользуются большой популярностью среди сотрудников госучреждений. Особенно если их работа требует доступа к служебным документам в круглосуточном режиме.
Во-вторых, ошибки сотрудников и случайные утечки данных вследствие этих ошибок занимают первое место среди факторов, определяющих картину утечек в любой отрасли. Можно свести эти ошибки к минимуму, развивая культуру обращения с информацией ограниченного доступа, но полностью устранить их вряд ли получится. Это замечание в полной мере относится к государственным структурам, с одной оговоркой — в большинстве случаев госчиновник имеет дело с информацией, которая не представляет для него особенной ценности.
Например, персональные данные граждан — утечка этих данных не отразится на репутации органа, не приведет к финансовым потерям. Даже утечка государственной тайны, если не ясен конкретный виновник, для госоргана в целом не влечет никаких последствий. Отсюда соответствующее отношение к информации. Из недавних российских примеров —публикация в интернете списков должников, обманутых вкладчиков, раскрытие государственной тайны на главном канале страны. В целом по миру складывается довольно спокойное отношение к многомиллионным утечкам из госструктур. До той поры, конечно, пока в утечке не обвиняют «российских хакеров».
Очевидно, что властные структуры обрабатывают информацию ограниченного доступа, возможно, даже в больших объемах, чем коммерческие организации. И с каждым годом эти объемы будут только увеличиваться. В таких условиях атака на правительственное учреждение будет не только актом «хактивизма», но и способом прилично заработать на похищенных данных.
С другой стороны, объемы утечек из-за ошибок легитимного пользователя также вырастут. Следует в первую очередь задуматься о том, как решать эту проблему, как обеспечить безопасность «чужих» для государства данных, повысить уровень защиты информации в госструктурах в целом, как совместить требования к обеспечению безопасности и удобство конечного пользователя — чиновника. Если решить эти проблемы, надобность в отговорке в виде «российских хакеров» отпадет сама собой.
