ИТ-безопасность правительственных агентств США оставляет желать лучшего
Результаты нового отчета GAO показали, что подавляющее большинство правительсвенных агентств, хотя и повысили уровень ИТ-безопасности, все равно еще имеют достаточно серьезные бреши.
Еще месяц назад Счетная палата США (GAO, Government Accountability Office) раскритиковала Комиссию по ценным бумагам (SEC, Securities and Exchange Commission). В результате внешнего аудита, проведенного GAO, было установлено, что SEC не реализовала процедуры контроля над составляемой отчетностью. Таким образом, SEC, в задачи которой входит аудит публичных компаний на предмет наличия соответствующих процедур, сама оказалась уязвима к финансовому мошенничеству и неточностям в финансовой отчетности.
Исходя из уже имеющегося опыта, результаты нового отчета GAO, на этот раз посвященному аудиту правительственных агентств, не оказались сюрпризом. GAO сообщила, что подавляющее большинство проверенных организаций, хотя и повысили уровень ИТ-безопасности по сравнению с прошлым годом, все равно еще имеют достаточно серьезные бреши, которые угрожают целостности, конфиденциальности и доступности информации.
Важно заметить, что речь идет не только о несанкционированном доступе к данным (преимущественно финансовой отчетности), но и о противоправном использовании конфиденциальных данных государственными служащими. С формальной точки зрения, это означает, что правительственные агентства не смогли удовлетворить требованиям акта FISMA (Federal Information Security Management Act), который был принят в 2002 году.
Проверив 24 агентства, GAO смогла выделить пять основных типов уязвимостей в системе ИТ-безопасности:
- слабый контроль над доступом к данным;
- слабый контроль над изменением программного обеспечения;
- проблемы с распределением и выделением ролей и обязанностей;
- отсутствие непрерывности планирования операций;
- отсутствие программ ИТ-безопасности масштаба целого агентства.
Каждая из этих брешей является типовой. Например, в ИТ-инфраструктуре Министерств Обороны, Собственной Безопасности, Юстиции, Транспорта, Торговли и Внутренних Дел были обнаружены все пять уязвимостей.
Проблемы возникли и с минимально допустимыми настройками, которые должны удовлетворять требованиям FISMA. В прошлом году все правительственные агентства впервые заявили о том, что они реализовали масштабную политику ИТ-безопасности в рамках своей организации. Среди прочего такая политика должна покрывать конфигурации и настройки программных средств. Тем не менее, аудит GAO выявил двадцать агентств, которые не смогли удовлетворить требованиям FISMA по минимально допустимым настройкам операционных систем и приложений.
Было бы неверно во всем обвинять сотрудников правительственных учреждений или излишне придирчивых экспертов GAO. Наоборот, вполне резонно предположить, что проблема кроется в самих стандартах (в том числе и FISMA), которые формулируют не совсем точные требования. Вероятно, в самое ближайшее время ответственные государственные организации выпустят дополнительные разъяснения, комментарии к стандартам или руководства, которые позволят уточнить выдвигаемые требования.
Однако ряд прегрешений лежит и на самих проверяемых агентствах, так как реализовать надежные процедуры контроля доступа и изменений программного обеспечения, а также закрепить эти процедуры техническими средствами, агентства просто обязаны.
«Если правительственным организациям так сложно пройти стандартизацию и благополучно пережить внешний аудит, то, что можно сказать о коммерческих компаниях, у которых зачастую и ресурсов намного меньше? Думаю, Счетной палате США (GAO), Федеральной комиссии по торговле (FTC) и другим организациям следует обеспечить максимальное информационное сопровождение своих стандартов: руководства и комментарии к требованиям просто необходимы. Иначе процесс стандартизации может быть бесконечным», — считает Евгений Преображенский, генеральный директор компании InfoWatch.
Исходя из уже имеющегося опыта, результаты нового отчета GAO, на этот раз посвященному аудиту правительственных агентств, не оказались сюрпризом. GAO сообщила, что подавляющее большинство проверенных организаций, хотя и повысили уровень ИТ-безопасности по сравнению с прошлым годом, все равно еще имеют достаточно серьезные бреши, которые угрожают целостности, конфиденциальности и доступности информации.
Важно заметить, что речь идет не только о несанкционированном доступе к данным (преимущественно финансовой отчетности), но и о противоправном использовании конфиденциальных данных государственными служащими. С формальной точки зрения, это означает, что правительственные агентства не смогли удовлетворить требованиям акта FISMA (Federal Information Security Management Act), который был принят в 2002 году.
Проверив 24 агентства, GAO смогла выделить пять основных типов уязвимостей в системе ИТ-безопасности:
- слабый контроль над доступом к данным;
- слабый контроль над изменением программного обеспечения;
- проблемы с распределением и выделением ролей и обязанностей;
- отсутствие непрерывности планирования операций;
- отсутствие программ ИТ-безопасности масштаба целого агентства.
Каждая из этих брешей является типовой. Например, в ИТ-инфраструктуре Министерств Обороны, Собственной Безопасности, Юстиции, Транспорта, Торговли и Внутренних Дел были обнаружены все пять уязвимостей.
Проблемы возникли и с минимально допустимыми настройками, которые должны удовлетворять требованиям FISMA. В прошлом году все правительственные агентства впервые заявили о том, что они реализовали масштабную политику ИТ-безопасности в рамках своей организации. Среди прочего такая политика должна покрывать конфигурации и настройки программных средств. Тем не менее, аудит GAO выявил двадцать агентств, которые не смогли удовлетворить требованиям FISMA по минимально допустимым настройкам операционных систем и приложений.
Было бы неверно во всем обвинять сотрудников правительственных учреждений или излишне придирчивых экспертов GAO. Наоборот, вполне резонно предположить, что проблема кроется в самих стандартах (в том числе и FISMA), которые формулируют не совсем точные требования. Вероятно, в самое ближайшее время ответственные государственные организации выпустят дополнительные разъяснения, комментарии к стандартам или руководства, которые позволят уточнить выдвигаемые требования.
Однако ряд прегрешений лежит и на самих проверяемых агентствах, так как реализовать надежные процедуры контроля доступа и изменений программного обеспечения, а также закрепить эти процедуры техническими средствами, агентства просто обязаны.
«Если правительственным организациям так сложно пройти стандартизацию и благополучно пережить внешний аудит, то, что можно сказать о коммерческих компаниях, у которых зачастую и ресурсов намного меньше? Думаю, Счетной палате США (GAO), Федеральной комиссии по торговле (FTC) и другим организациям следует обеспечить максимальное информационное сопровождение своих стандартов: руководства и комментарии к требованиям просто необходимы. Иначе процесс стандартизации может быть бесконечным», — считает Евгений Преображенский, генеральный директор компании InfoWatch.