Контакты
Подписка
МЕНЮ
Контакты
Подписка

В рубрику "Обзоры, прогнозы, мнения" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Электронное правительство: вопросы безопасности

Что предстоит сделать в области внедрения электронных услуг? Как сделать эти услуги безопасными для граждан? На что в первую очередь следует обращать внимание при внедрении госуслуг и какие есть подводные камни? На эти вопросы специально для редакции журнала "Технологии и средства связи" ответили представители компаний: "Открытые Технологии", "КРОК", "Ай-Теко", Oracle, а также представители ВНИИПВТИ и Курского государственного технического университета.
Олег Гизатуллин
Первый вице-президент компании "Открытые Технологии"

Хотелось бы отметить, что за последнее время была проведена колоссальная работа в области развития электронного правительства. И вот случилось долгожданное событие – запуск портала "Государственные услуги", который буквально за первые три дня посетило свыше 1,5 млн человек. Это событие послужит существенным толчком для развития информационного общества в целом. Однако предстоит решить еще ряд вопросов, связанных с созданием нормативно-правовой базы и внедрением системы электронного документооборота в госструктурах. До сих пор большинство министерств и ведомств передают информацию на бумаге, в то время как сейчас существует острая потребность в электронном взаимодействии.

Что касается безопасности, то здесь достаточно использовать определенные технологии допуска к данным гражданина или организации – как со стороны лица, получающего услугу, так и со стороны лица, оказывающего услугу. Например, необходимо учесть аспекты обеспечения доступности данных, аутентификации сторон, разграничения доступа и неотказуемости и т.д. При этом еще необходимо помнить про исполнителей разработки и поддержки программно-аппаратного обеспечения, специалисты которых должны иметь соответствующие формы допуска (лицензии), определенную квалификацию и опыт работы.

Любой процесс требует внимания, особенно если мы говорим о таком важном для наших граждан явлении, как портал государственных услуг. Это внимание трудно переоценить, поскольку речь идет о принципиально новом качестве работы государственных специалистов различных министерств и ведомств. Только задумайтесь, в год граждане вынуждены тратить около 25 млн часов рабочего времени на получение услуг от органов власти. А сколько тратят органы власти на производство этих услуг? Наверное, не меньше, особенно если мы говорим в целом о содержании государственного аппарата. Перевод всех государственных услуг в электронный вид позволит значительно сократить ресурсный путь от заказа услуги до ее выполнения. Но как это сделать? Технологически здесь вопросов нет. Может возникнуть несколько иная проблема, а именно: вопрос взаимодействия различных органов власти при оказании государственных услуг. Поэтому следует обратить особое внимание на разработку и реализацию регламентов межведомственного взаимодействия. Как правило, создание указанных регламентов и является тем камнем преткновения, где все процессы информационного взаимодействия останавливаются. Это хорошо, что Правительство РФ в лице Министерства связи выступает в роли того самого регулятора межведомственных отношений. Но требуется еще понимание в самих органах власти, оказывающих государственные услуги. Особенно это касается тех ведомств, которые только сейчас начинают привыкать к электронной форме взаимодействия с гражданами.



Алексей Добровольский
Заместитель директора департамента информационных технологий, директор по разработке ПО компании "КРОК"

В первую очередь нужно создать инфраструктуру (основу) для оказания электронных госуслуг, одной из важнейших составляющих которой является организация надежной идентификации граждан и выдача гражданам электронной цифровой подписи (ЭЦП). Без этого реально можно автоматизировать только информационные услуги, не требующие документального подтверждения. В разных регионах эту проблему пытаются решить по-своему: например, в Санкт-Петербурге граждане смогут получить "карту доступа к электронным услугам Санкт-Петербурга", обратившись в многофункциональный центр (МФЦ). Но мне кажется, что более перспективным является применение для этих целей банковских смарт-карт, что одновременно упростит для граждан госуслуги, касающиеся выплат (оплаты пошлин, сборов, налогов, получение пособий и т.п.).

Кстати, использование уже апробированных банковских технологий облегчает и решение вопросов безопасности, поскольку банки вопросами безопасности занимаются давно и вполне успешно. А банкоматы в этом случае можно использовать в качестве терминалов доступа к государственным услугам.

Кроме идентификации, должны быть решены проблемы межведомственного взаимодействия, для этого хорошей основой могут служить системы юридически значимого электронного документооборота, подобные тем, что используются в Пермском крае и Татарстане. И, думаю, должны быть предоставлены средства для заявителей, позволяющие отслеживать состояние отработки заявлений, в том числе при их прохождении между ведомствами.

При внедрении госуслуг начинать нужно с организационных мер и создания инфраструктуры, в том числе запуска МФЦ (так как даже при внедрении электронных госуслуг гражданам придется обмениваться с государством бумажными документами). Причем это вполне решаемые задачи – даже крупный регион может создать необходимую инфраструктуру за год и запустить некоторое количество услуг.



Антон Картамышев
Инженер центра информационной безопасности, Курского государственного технического университета

На мой взгляд, в области внедрения государственных электронных услуг гражданам еще вообще ничего не сделано, поэтому и предстоит делать все с нуля. Самое главное:

– найти простые и удобные для использования в быту технологии идентификации и аутентификации граждан;

– создать концепцию предоставления государственных электронных услуг гражданам;

– определиться с перечнем услуг: какие необходимо предоставлять, какие из них необходимо предоставлять в электронном виде, а от каких отказаться вообще;

– разработать регламенты предоставления услуг вообще и адаптировать их в электронный вид;

– привести законодательство в соответствие с выбранным направлением развития сферы предоставления государственных услуг в электронном виде;

– разработать схему, исключающую злоупотребления лицами, осуществляющими техническое сопровождение систем предоставления государственных электронных услуг;

– привлечь, обучить и удержать огромное количество технических специалистов для организации электронных услуг (в том числе в регионах);

– обучить граждан пользоваться таким видом услуг;

– привить гражданам культуру пользования государственными электронными услугами и культуру пользования личными средствами идентификации и аутентификации;

– донести средства пользования электронными услугами до практически абсолютного большинства граждан.

Все это требует системного подхода к внедрению государственных электронных услуг на самом высоком уровне управления государством с привлечением большого числа специалистов по информационным технологиям и безопасности информации, а также огромных капиталовложений.

Основными проблемами обеспечения безопасности информации при использовании государственных электронных услуг являются отсутствие простой, дешевой, доступной и надежной технологии электронной идентификации и аутентификации граждан, а также сложность разработки алгоритмов, протоколов и регламентов обеспечения безопасности при предоставлении таких услуг. Решение этих проблем создаст основу для обеспечения необходимого уровня безопасности информации при использовании государственных электронных услуг. При этом разработку алгоритмов, протоколов и регламентов обеспечения безопасности желательно организовать с открытым обсуждением и публичным тестированием решений независимыми специалистами для повышения доверия граждан к новым технологиям.

Самое большое препятствие при внедрении государственных электронных услуг – это противодействие со стороны существующих госструктур всех уровней со всеми вытекающими последствиями. Если удастся сломить бюрократические препоны, граждане получат замечательный способ реализации своих прав и свобод в регулируемых государством областях жизнедеятельности.



Валерий Конявский
Директор ВНИИПВТИ, доктор технических наук

Для начала электронные услуги стоит классифицировать.

Я могу выделить не более двух видов электронных услуг, которые могут быть полезны нам как гражданам при информационном взаимодействии в рамках гражданского общества. Во-первых, это дистанционные услуги, при которых взаимодействие осуществляется непосредственно между людьми, а информационная система только обеспечивает это взаимодействие. Сюда можно отнести дистанционное образование, консультации со специалистами, то, что принято называть электронной торговлей (хотя в реальности это не более чем "стол заказов"), и многие другие виды взаимодействия, которые в последнее время приобретают популярность.

Во-вторых, это услуги, при которых человек взаимодействует не с человеком, а с технической системой. Эти услуги "второго рода" я бы разбил на услуги типа "Поручение" и услуги типа "Запрос". Например, поручение банку оплатить счет за мобильный телефон, коммунальные услуги, билет на самолет. Или запрос на справку из ЖЭКа об отсутствии задолженности по квартплате и т.п.

Очевидно, что каждый из этих видов взаимодействия полезен для человека, и услугу обеспечения такого взаимодействия граждане не откажутся оплатить в приемлемом размере.

Технически создание таких систем не представляет труда. Риски же их применения существуют, и они значительны. К примеру, терминал оплаты может деньги взять, но не оплатить, например, если он фальшивый. И наоборот, зафиксировав и многократно повторив сообщение от терминала к банку о платеже, можно разорить владельца терминала, намеревавшегося всего лишь честно предоставить вам услугу за небольшие комиссионные. Есть риски и при дистанционных услугах – видеоролик с записью консультации вполне может оказаться на всем известном интернет-ресурсе YouTube, что не понравится ни гражданину, ни его адвокату.

Вот отсюда и вывод: в системах первого рода риски граждан связаны с возможностью несанкционированного доступа к персональным данным, и соответственно должны применяться адекватные меры их защиты. В системах второго рода интересы владельцев также должны защищаться оргтехмероприятиями, интересы потребителей – страховыми механизмами.

Главное же, что без адекватного нормативного правового регулирования трудно ожидать широкого распространения электронных услуг.

Предоставление госуслуг в электронном виде будет востребовано, если:

  • будет снижена коррупционная нагрузка за счет отсутствия прямых контактов граждан с чиновниками;
  • госуслуги будут предоставляться в полном или почти полном объеме (полагаю, не менее 80% от всего возможного перечня);
  • информация, получаемая гражданами в ответ на свои обращения, будет обладать свойствами документа, то есть иметь ту или иную юридическую значимость;
  • предоставление госуслуг будет сокращать для гражданина затраты времени.

Временные затраты сокращаются применением технологии "одного окна", а изменение технологии связано с новыми административными регламентами, что, в свою очередь, связано с нормативным правовым регулированием.

Юридическая значимость будет обеспечена технически с помощью применения адекватных криптографических средств и, что намного важнее, норм, обязывающих органы государственной власти и местного самоуправления принимать электронные документы граждан. Такая норма в законодательстве России еще никогда не применялась, и, мне кажется, этот камень из подводного давно стал краеугольным. Обязанность, а не возможность, как сейчас, и обеспечит снижение уровня коррупции, и предотвратит весьма вероятное "луддитство" чиновников.

Таким образом, основная проблема предоставления гражданам услуг в электронной форме (как в государственном, так и в гражданском секторе) заключается не в создании технических комплексов и даже не в обеспечении достаточного уровня информационной безопасности (хотя это крайне важно), а в неприемлемо низком уровне нормативного правового регулирования отношений, возникающих в обществе при этом.



Константин Кузовкин
Начальник отдела технических решений департамента информационной безопасности ЗАО "Ай-Теко"

Государственные услуги, которые предоставляются в электронном виде, – это очень актуальное и перспективное направление развития информационных технологий. Здесь в первую очередь имеются в виду такие услуги, как предоставление населению различного рода справочной информации, регистрация недвижимости, автотранспорта, соцобеспечения, решение налоговых вопросов, оформление различных документов и т.п.

Также имеют большое значение такие вопросы, как организация электронных торговых площадок в системе госзакупок, взаимодействие с различными государственными органами, такими как ФМС, ФНС, Росреестр, Пенсионный фонд, региональные органы власти.

Если по предоставлению информации многое уже сделано, и практически каждый госорган имеет свой официальный сайт в Интернете, то оказание других госуслуг в электронном виде пока еще недостаточно распространено, особенно в регионах РФ. Здесь еще большое поле деятельности для специалистов по информационным технологиям и информационной безопасности.

Очевидно, что вопросы обеспечения безопасности государственных услуг, предоставляемых в электронном виде, очень важны. Как всегда, более удобный способ предоставления услуг приводит к возникновению новых дополнительных угроз и в связи с этим нужно минимизировать риски реализации этих угроз.

Что нужно выполнить в первую очередь, чтобы сделать работу более безопасной? Ясно, что необходимо обеспечить процедуру идентификации и строгой аутентификации пользователей систем предоставления электронных услуг. Затем нужно обеспечить возможность подтверждения авторства электронных документов.

Программные комплексы, реализующие предоставление услуг в электронном виде, используют инфраструктуру открытых ключей, основными элементами которой являются удостоверяющие центры.

Инфраструктура основана на применении асимметричных алгоритмов шифрования с парой ключей – открытый и закрытый. Пользователь, имеющий данную пару ключей, и сертификат открытого ключа, полученного в удостоверяющем центре, может проходить процедуру строгой аутентификации и подписывать документы электронной цифровой подписью.

При этом могут использоваться различные электронные идентификаторы, например смарт-карты, используемые для хранения сертификата и закрытого ключа в зашифрованном виде.

Тут сразу возникают проблемы, которые требуют решения. Необходимо обеспечить доверительные отношения между удостоверяющими центрами госструктур различных уровней. Также необходимо организовать соответствующие структуры по созданию и поддержке инфраструктуры открытых ключей и центры по распространению электронных идентификаторов для пользователей.



Дмитрий Шепелявый
MBA, PMP, CISSP, руководитель технологического направления по продуктам безопасности Oracle СНГ

На наш взгляд, основными задачами при введении госуслуг являются:

– разработка и автоматизация сквозных бизнес-процессов взаимодействия ведомств. Поскольку госуслуги являются в большинстве своем комплексными, то есть требующими действий со стороны нескольких ведомств, крайне важно иметь единую систему управления такими бизнес-процессами;

– стандартизация сервисов, предоставляемых ведомствами в рамках госуслуг на базе открытых международных стандартов. Только при таком условии возможно построение гибкой системы предоставления госуслуг, не зависящей от способов реализации конкретного сервиса в рамках внутренней системы каждого ведомства;

– обеспечение сквозной безопасности при предоставлении госуслуг. В первую очередь эта работа связана с разработкой системы идентификации и аутентификации для граждан. Принимая во внимание размеры нашей страны и многомиллионное население, именно эта задача, на наш взгляд, представляется наиболее сложной. Необходимо, с одной стороны, обеспечить приемлемый уровень рисков в системе, с другой – не заставлять рядовых граждан использовать чересчур сложные механизмы безопасности, которые скомпрометируют саму идею упрощения взаимодействия власти и населения. Наиболее приемлемым вариантом нам представляется опора на систему банковских карт, которые уже широко распространены.

Основным подводным камнем при внедрении госуслуг, на наш взгляд, является обучение населения и внедрение навыков работы с системой безопасности при использовании госуслуг. Не секрет, что и в критичных с точки зрения безопасности организациях, например в банках, рядовой персонал иногда пренебрегает мерами защиты. Более того, далеко не все граждане могут похвастать уровнем подготовки в области безопасности, как у банковского операциониста. При этом, поскольку электронные госуслуги становятся основным способом взаимодействия исполнительных органов власти и населения, риски мошенничества и похищения конфиденциальной и персональной информации существенно возрастают, поэтому образование конечных пользователей с точки зрения навыков использования средств защиты становится критичным.

Интересным является опыт Германии, а именно Министерства внутренних дел, где взаимодействие с гражданами и другими ведомствами реализовано на базе открытых стандартов управления бизнес-процессами BPEL, а сквозная система защиты базируется на решениях Oracle Identity and Access Management, что позволяет быть уверенным в оптимальном соотношении затрат и уровня рисков в системе.

Опубликовано: Журнал "Технологии и средства связи" #6, 2010
Посещений: 10074

В рубрику "Обзоры, прогнозы, мнения" | К списку рубрик  |  К списку авторов  |  К списку публикаций