Вступить в Клуб Войти
Введите логин
Введите пароль
напомнить пароль

Форум SFITEX — день второй. Облака и электронное правительство

17.11.2011

16 ноября в рамках XX международного форума «SFITEX: Охрана и безопасность» прошёл круглый стол на тему «Электронные услуги в государстве и бизнесе. Проблемы защиты информации». Главной темой для обсуждения стала система Электронного Правительства (ЭП) и её реализация на федеральном и региональном уровнях. Данное мероприятие является частью программы 3-й научно-практической конференции «Информационная безопасность: Невский диалог-2011», которая реализуется на форуме. Также специалисты обсудили актуальные вопросы безопасности информации облачных вычислений.

Модератором встречи выступил со-председатель комитета по информационной безопасности совета ИТ-директоров Юрий Шойдин. Серебряным партнёр круглого стола заявлена компания IBM, которая предлагает широкий спектр продуктов и услуг по обеспечению безопасности ИТ-инфраструктуры на базе продуктов IBM-security.

Доклады спикеров были посвящены, главным образом, используемым в инфраструктуре ЭП технологиям (так, очень важными были признаны виртуализация и облачные технологии), рискам и механизмам безопасности ЭП, применению ЭП в регионах, в частности, Северо-Западном ФО. Если с Северо-Западом дела обстоят хорошо, – наш регион считается одним из самых развитых в сфере ИТ,  - то в регионах ситуация сложнее. Это связано в первую очередь с недостатком финансирования. Больница с бюджетом в 100 тыс. рублей «на всё про всё» по определению не может быть включена в систему ЭП. Услышав эту цифру, программисты, как правило, разворачиваются и уходят. Также определённая трудность в пользовании ЭП заключается в том, что подобные системы не являются единым целым: они составляют набор неоднородных автоматизированных систем.  Именно поэтому говорится о широком применении  технологии виртуализации – без неё невозможно реализовать масштабные задачи.

Начальник управления информационно-аналитического центра при правительстве Санкт-Петербурга Владимир Шабалин затронул вопрос внедрения такой технологии как  Единая платёжно-сервисная система «Универсальная электронная карта» (ЕПСС УЭК).  Она придет на смену всем социальным картам, которые локально выпускали субъекты федерации, а также заменит многие другие документы, такие как полис обязательного медицинского страхования, студенческие билеты, проездные документы и т.д. С помощью карты можно будет получить государственные, региональные и коммерческие услуги в электронном виде с использованием банкоматов, персональных компьютеров, мобильных устройств; она также будет приниматься в общественном транспорте. Подобно обычной банковской карте, универсальная карта может использоваться для оплаты товаров и услуг в магазинах и любых других организациях. Одной из главных задач по внедрению данной технологии будет обеспечение защищённого хранения ID- данных гражданина на карте и в самой системе, возможность использования на УЭК ведомственных блоков данных (например, Пенсионного фонда, Минсоцздрава и др), а также внесения изменений со стороны Федеральной уполномоченной организации (ФУО).  Также г-н Шабалин не исключает возможности слияния проектов УЭК и ЭП.

Если говорить о перспективах реализации идеи ЭП в России, спикеры от компании Ростелеком Илья Трифаленков и Андрей Мельников отметили, что  мы должны использовать международный опыт. «Главное, чего нужно добиваться из западной практики –  упрощения авторизации, т.к. это один из основных моментов обеспечения информационной безопасности» - говорит Андрей Мельников.  Сейчас на стадии обсуждения находится вопрос о компенсации «остаточного риска», а также «страхование» информации. Стоит сказать, что Ростелеком на сегодняшний момент – единственный интегратор ЭП в России. Помимо этого, компания и дальше планирует заниматься обеспечением бесперебойных гос.услуг и просто традиционных услуг телефонии.
В ходе круглого стола был сделан важный вывод: ЭП должно развиваться не само по себе, а использоваться для улучшения качества оказания государственных услуг, для взаимодействия гражданского общества и бизнеса с органами государственной власти и, как следствие, повышения прозрачности государственной власти.

Следующей серией  конференции «Электронная безопасность: невский диалог 2011» стал круглый стол «Актуальные вопросы облачных вычислений». Модератором мероприятия был региональный представитель «Лаборатории Касперского» в СЗФО Евгений Питолин, который провел круглый стол по облачной безопасности под девизом «не вторгайтесь в мою приватность». В числе остальных спикеров в рамках круглого стола выступил эксперт портала Anti-Malware Виталий Янко, рассказав о рисках и прикрытиях работы в частном, публичном и коммерческом «облаках».  Традиционные риски  при размещении своих данных и работе в «облаке» - это возможная недоступность данных, потеря данных, вопросы совместного доступа к данным, законодательная ответственность и невозможность простой и самостоятельной миграции из «облака».  Что касается прикрытий, то есть, какой-то защиты, от этих рисков, то ее нужно продумывать заранее. Например, прописывать в контракте при заключении договора допустимый процент отказа работы оборудования  и четкое время на восстановление.  От  физической потери данных в дата-центре также никто не застрахован. Поэтому компании необходимо учесть возможность автоматического резервного копирования в другой ЦОД и, опять же, прописывать в договоре действия партнера в случае потери информации. 

«Важный риск при работе в «облаке» - это ответственность перед законом.  Есть требования выдать данные. Например, если вы не хостите какой-то определенный сайт, не являетесь его владельцем, но делаете что-то, что регулятору не понравилось, помните, что без санкции суда ваш провайдер не выдаст данные в соответствующие органы.  То же самое и с вопросом отключения серверов: никто не выдернет просто так ваш сервер из розетки.  Ну и наконец, если у вас произошла утечка персональных данных своих клиентов и вы ощущаете над собой дамоклов меч правосудия, первыми обратитесь в соответствующие инстанции и попробуйте этот вопрос без шума разрешить. Пока у нас законодательства, гарантирующего раскрытия утечки данных, лучше поступать таким образом».

Региональный представитель «Лаборатории Касперского» в СЗФО Евгений Питолин в своем выступлении отметил, что главным фактором безопасности, несомненно, является  образование, причем не только ИТ-специалистов, но и обычных пользователей, в том числе и детей. Также спикер напомнил, что к финалу 2010 года было зафиксировано почти 2 млрд. инцидентов в области информационных угроз. Сейчас произошла некая стабилизация количества вредоносных программ, но не произошло стабилизации количества атак и атаки, в том числе и на «облачные» сервисы, растут.  Лучший пример публичного облака – это социальные сети, где личные данные пользователей хранятся, множатся, подделываются. Можно вспомнить, как за четыре дня в 2010 году вирус Facebook обошел весь мир, заразив тысячи человек. А в 2011 год запомнится атаками на облака крупных корпораций – например нападением на компанию Sony.

Другие публикации