Власть потеряла волю в сфере IT

Обнаружение шпионского ПО на компьютерах в четырех зарубежных дипломатических учреждениях Украины стало очередным примером неподготовленности государства к защите своих интересов. Этот пример можно было бы списать на случайность, если не принимать во внимание целый ворох накопившихся очевидных проблем в государственном IT-секторе, о которых уже прямо говорят участники рынка.

Государственная IT-инфраструктура быстрыми темпами устаревает, страдает от процветающей системы "откатов", отсутствия грамотных специалистов, а главное – единого стратегического замысла развития всей государственной IT-инфраструктуры. При этом крупнейшие игроки украинского рынка высоких технологий утверждают, что страна уже сегодня обладает всей необходимой базовой инфраструктурой, знаниями и кадрами для построения современной и высокоэффективной государственной IT-системы. Для этого нужна лишь политическая воля.

До настоящего момента такой воли государство не проявляло. После вопиющего случая с отключением частной компанией государственных электронных реестров, стратегические IT-активы государства продолжают находиться в руках частных монополистов. Национальная система конфиденциальной связи (НСКС) работает на "оптике", проложенной в ККЭ "Укртелекома" и к которой имеют доступ представители десятка операторов и провайдеров. "Кнопка" отключения системы национального цифрового телевидения фактически находится в руках неизвестных собственников оператора "Зеонбуд", который откровенно игнорирует требования госрегулятора раскодировать цифровой сигнал. На государственных ПК продолжают работать антивирусное ПО российских разработчиков, а также огромное количество пиратских операционных систем и приложений, которые неизвестно кем, как и в каких целях были взломаны.

На вопрос корреспондента "proIT", с чего государству нужно начать для модернизации IT-инфраструктуры, эксперты компании "Инком" говорят, что у государства для этого должна быть сформирована идея, стратегия, а главное – воля. "Мы поможем создать архитектуру (IT –инфраструктуры ― прим.), а если не хватает компетенции, то ее вполне можно получить на рынке ― у нас есть интеграторы, вендоры, много думающих людей, которые находятся на гребне современной IT-индустрии. Хотя нужно добавить, что государство в данном случае должно не только требовать, но и давать свои рекомендации, эталонные архитектуры", ― объясняют эксперты.

Не менее важно, по их словам, создать единый орган, который нес бы ответственность за любую несанкционированную утечку государственной информации. "Потому что сейчас Госспецсвязи по итогам своих проверок дает госорганам рекомендации, однако фактически не несет ответственность за взлом IT-систем тех госорганов, которым эти рекомендации были даны. В данном случае необходимо возложить на кого-то ответственность, чтобы те же проверяющие понимали, если они делаю свою работу некачественно, то понесут за это ответственность", ― говорят эксперты "Инком".

Очевидно, госорганом, на который возложат такую ответственность, должна стать Национальная комиссия, осуществляющая государственное регулирование в области информационной безопасности. Ее создание предусмотрено законопроектом №4949 от 28.05.2014 "Об основах информационной безопасности Украины". На базе Нацкомиссии, скорее всего, будет создаваться некий Центр мониторинга и реагирования на инциденты информационной безопасности.

Примечательно, что эксперты системного интегратора не видят угрозы несанкционированной утечки государственной информации из НСКС , которая работает на оптоволокне, подконтрольном "Укртелекому". По их словам, идущий там трафик прослушать несложно, но расшифровать его практически невозможно. Передаваемая информация шифруется по украинским ГОСТам, а ключи шифрования администрирует служба криптографической защиты информации Госспецсвязи. В ней есть специалисты, которые держат реестр ключей, которые постоянно обновляются.

Впрочем, в "Инком" отмечают, что системы коммуникаций госорганов будут полностью защищены только при правильном подходе к развитию и эксплуатации НСКС. "И в этом контексте стоит отметить, что с 2009 года государство перестало инвестировать в ее развитие. Оборудование и решения, на которых НСКС построена, закладывались еще в 2004 году. Уже прошло 10 лет. Сама идея НСКС великолепна, но если бы в нее постоянно вкладывали деньги и они бы уходили по целевому назначению, это была бы просто изумительнейшая система, ― говорят эксперты системного интегратора. ― Вместе с тем, для обеспечения надежности и доступности кабельную физическую инфраструктуру нужно дублировать аварийными каналами, например, которые идут по другим трассам, использовать сети тех же операторов, но конечно с шифрованием передаваемых данных. Ничего страшного в этом нет".

Комментируя постоянные обвинения госструктур в использовании пиратского ПО, проблемы с антивирусной защитой и грубого копирования данных с жесткого диска эксперты компании "Инком" предлагают сократить до минимума количество копий ПО, которые работают локально, а для остальных чиновников с помощью "облачных" технологий сделать доступ ко всей информации и приложениям через веб-браузер.

Дмитрий Дубилет, заместитель председателя правления "ПриватБанка", в комментарии "proIT" говорит, что в "ПриватБанке" есть готовность и желание помогать государству во внедрении "облачных" технологий. По опыту банка он, как и его коллеги из "Инком", рекомендует все программные комплексы делать онлайновыми. "Тогда никакого ПО, кроме браузера, и не понадобилось бы. Таким образом, вопрос необходимости наличия большого количества специалистов для поддержки такой IТ-инфраструктуры, был бы не актуален", ― говорит Дмитрий Дубилет.

Он также отмечает, что лишь небольшой процент чиновников действительно работает с по-настоящему секретной информацией: "Уверен, 99% всей работы не составляет никакого интереса ни для шпионов, ни для прессы. Элементарных стандартов защиты от вирусов для них должно быть достаточно. Еще можно сделать двуфакторную авторизацию на входе в программные комплексы (логин/пароль плюс СМС или QR-код)".

По мнению, зампредправления "ПриватБанка" в госструктурах сильно усложняет внедрение инноваций правило "Все, что прямо не разрешено, запрещено", тогда, как в коммерческом мире действует противоположное ― "Все, что прямо не запрещено, все разрешено". "Все зависит от силы личности, которая стоит во главе всего этого процесса. Нужна сила воли и смелость сначала делать, а потом сверяться с законами и адаптировать их", ― считает Дмитрий Дубилет.

Однако этого может оказаться недостаточно, поскольку в госструктурах, по мнению опрошенных "proIT" участников рынка, очень мало настоящих специалистов в области IT. В неофициальных разговорах они говорят, что квалифицированные специалисты ушли из госструктур, а остались люди, которые занимаются "монетизацией" проверок. Вместе с тем, сам по себе штат специалистов раздут, а их квалификация очень низкая. Поэтому участники рынка советуют разработать методологию, направленную на эффективность, чтобы меньшим количеством специалистов делать больше операций. Изучить опыт США, где нанимают профессиональных менеджеров и даже хакеров. При том, что в федеральных органах США зарплаты IT-специалистов ниже, чем в частных компаниях, там более высокие пенсии, лучшая социальная защита ― действует целый комплекс мероприятий.

Эксперты говорят, что даже элементарное повышение зарплат хотя бы руководителей IT-отделов поможет уменьшить их мотивированность на "откат" при закупках.

Но это не изменит тот факт, что на сегодня не существует каких-либо государственных стандартов в области IT и IT-инфраструктуры для органов власти. "Поэтому все идут по пути наименьшего сопротивления либо максимизации "серых" денег. Пока "валовый национальный откат" связан с валовым национальным продуктом, перемен ждать не стоит", ― красноречиво резюмируют участники рынка.