4 июля 2023

Коммунальная платформа

До конца года Минстрой РФ планирует провести масштабную модернизацию государственной информационной системы жилищно-коммунального хозяйства (ГИС ЖКХ). Разработчики платформы запустили мобильное приложение «Госуслуги.Дом». Собеседники RSpectr считают, что система надежно защищена от хакеров, но предлагают применять дополнительные меры безопасности, например, публичный поиск угроз и уязвимостей.

С АКЦЕНТОМ НА КЛИЕНТА

ГИС ЖКХ будет модернизироваться в первую очередь с точки зрения клиентских путей, пояснила в разговоре с RSpectr руководитель департамента цифровых решений Агентства «Полилог» Людмила Богатырева.

Минстрой, в частности, в июне анонсировал сервис «История жизни дома», где пользователю будет доступна информация о качестве предоставляемого управляющей организацией обслуживания, средней стоимости коммунальных услуг, планах по капитальному ремонту. Сервис уже прошел пилотирование и готовится к запуску. Ряд других уже внедрен, например, собственники жилья информируются о плановом отключении горячей воды.

Людмила Богатырева отметила, что оптимизация платформы с учетом интересов потребителей соответствует подходу при проектировании домена «ЖКХ и городская среда», который также делает акцент на клиентских сервисах.

Домен разрабатывают в Минстрое РФ. Методическую поддержку специалистам ведомства в его проектировании оказывает «ГосТех», рассказали RSpectr в пресс-службе организации. В рамках проектирования домена разрабатываются сервисы, направленные на повышение качества оказания госуслуг гражданам и управляющим компаниям, подчеркнули там.

Один из сервисов домена называется «Гражданин», он будет использоваться для возмещения затрат за жилищно-коммунальные услуги для тех, кто имеет право на субсидии от государства.

ГИС ЖКХ К 2024 ГОДУ, ВОЗМОЖНО, БУДЕТ ВКЛЮЧЕНА В ОБЛАКО ПЛАТФОРМЫ «ГОСТЕХ» – В ЕГО КОНТУР К ЭТОМУ ВРЕМЕНИ БУДУТ ПЕРЕВЕДЕНЫ ВСЕ ГОСУДАРСТВЕННЫЕ СИСТЕМЫ

Об этом заявлял ранее Дмитрий Чернышенко. Развитием ГИС с прошлого года занимается новый подрядчик – компания «Оператор информационной системы». Там не ответили на запрос RSpectr.

ЧТО И КАК ЗАЩИЩАТЬ

Системы, подобные ГИС ЖКХ, содержат огромное количество данных о жителях, включая адреса, личную информацию, сведения о платежах, поэтому уровень их защиты должен быть высоким, пояснил RSpectr гендиректор компании Pro Control Станислав Сидоров. По его словам, информационная безопасность (ИБ) должна быть встроена на всех уровнях, от оборудования и инфраструктуры до процедур и политик.

Станислав Сидоров Pro Control:

– Это включает в себя защиту от несанкционированного доступа, защиту данных в процессе передачи и хранения, регулярное тестирование на проникновение и обучение сотрудников правилам безопасности.

Какой именно должна быть система ИБ, определяется отдельными требованиями и зависит от нескольких факторов, а именно от установленного класса защиты, от модели угроз безопасности информации и модели нарушителя, сообщил RSpectrруководитель отдела аудита и консалтинга Angara Security Александр Хонин.

Эксперт уточнил, что

ГИС ЖКХ ПО СВОИМ КРИТЕРИЯМ НЕ ПОДПАДАЕТ ПОД ОБЪЕКТЫ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ (КИИ)

С формальной точки зрения категорирование и дальнейшие мероприятия по обеспечению безопасности КИИ для нее не требуются, уверен он.

Александр Хонин, Angara Security:

– Но владелец системы может самостоятельно принять решение о применении этих требований, и в этом случае ГИС ЖКХ может быть присвоена минимально возможная – третья категория значимости.

Станислав Сидоров предположил, что ГИС ЖКХ, вероятно, соответствует второму уровню в системе защиты КИИ. Поскольку она обрабатывает персональные данные (ПД) граждан и важна для функционирования общественных услуг, но все же не критична для национальной безопасности или экономики в целом.

ГИС ЖКХ интегрирована с «Госуслугами», напомнил управляющий директор компании «Метриум» Руслан Сырцов. По его словам, оба ресурса безопасны: «Госуслуги» защищены от брут-форса, то есть перебора паролей, через несколько попыток направляя на «капчу», а от фишинговых атак – посредством двухфакторной авторизации.

Руслан Сырцов, «Метриум»:

– Исследователи установили, что в приложении за несколько часов поисков можно найти минимальные уязвимости, однако попытки «пробиться» через них пресекаются защитными инструментами.

Эксперт «Метриум» рекомендовал указывать в учетной записи несколько контактов, что позволит восстановить доступ в систему, даже если один из них, например, электронная почта, оказался взломан.

В последние годы регулирующие органы обращают пристальное внимание на информационную защиту госсервисов, констатировал гендиректор компании RooX Алексей Хмельницкий. Яркий тому пример – ввод обязательной двухфакторной авторизации на «Госуслугах», сказал эксперт. Руслан Сырцов согласен, что это правильное решение.

Данное правило планировали внедрить с 1 июня, но на практике кейс начнет работать с 1 октября 2023 года.

Задержки сроков критичны, ведь количество утечек данных постоянно растет, говорит Алексей Хмельницкий. Подобные риски есть всегда, особенно в крупных и сложных системах, которые включают в себя множество различных компонентов и уровней, подтверждает Станислав Сидоров.

Это может произойти в результате хакерской атаки, недостаточных мер безопасности, ошибок в ПО. Утечка данных способна привести к нарушению конфиденциальности, использованию информации в мошеннических целях, потере доверия пользователей, отметил в разговоре с RSpectr представитель IT-компании Arbitroom Дмитрий Мазанов.

Риски кибербезопасности имеют разный уровень и зависят от построенной системы обеспечения ИБ и повседневной ее эксплуатации, а также от состава и объема утекших данных, уточнил Александр Хонин.

По словам Алексея Хмельницкого,

ЛЮБОЙ ОРГАНИЗАЦИИ НУЖНО СОВЕРШЕНСТВОВАТЬ ПРОЦЕССЫ УПРАВЛЕНИЯ АУТЕНТИФИКАЦИЕЙ И АВТОРИЗАЦИЕЙ КЛИЕНТОВ

Алексей Хмельницкий, RooX:

– Например, поддерживать различные сценарии входа, подключать принудительную многофакторную аутентификацию, проверять логины и пароли по базам утекших учетных записей, уведомлять пользователей о скомпрометированных паролях или запрещать их использование.

Конкретные случаи утечек данных из ГИС ЖКХ не были обнародованы, но это не означает, что их не было: многие инциденты ИБ остаются незамеченными или о них не сообщается, говорит Станислав Сидоров.

Утечка аккаунтов из ГИС ЖКХ в Сеть – не более чем миф, считает Роман Сырцов: если такие случаи и имели место, то носили единичный характер.

В прошлом году СМИ писали, что в столице возбудили уголовное дело по факту взлома региональной ИС «Реестр домовладений». Хакеры подделывали сведения о готовности домов к зиме. В «Почте России» тогда прокомментировали, что через взлом отдельных систем невозможно проникнуть в ГИС ЖКХ. Это связано с тем, что ни одна из них не интегрирована в федеральный информационный контур.

Можно сделать так, что взлом систем будет настолько сложен и дорог с точки зрения ресурсов, что потеряет целесообразность, рассказал RSpectr гендиректор ITGLOBAL.COM Security Александр Зубриков. По его словам,

ЧТОБЫ МАКСИМАЛЬНО ОБЕЗОПАСИТЬ ГИС ЖКХ, ДОСТАТОЧНО СЛЕДОВАТЬ РЕКОМЕНДАЦИЯМ, КОТОРЫЕ УТВЕРЖДЕНЫ РЕГУЛЯТОРОМ, А ИМЕННО ФСТЭК РОССИИ

Александр Зубриков, ITGLOBAL.COM Security:

– Речь идет о приказах службы № 17 и № 239. В данных документах прописаны все минимально необходимые меры для защиты данных в государственных информсистемах и в отношении объектов КИИ.

По словам Людмилы Богатыревой, зачастую большие ГИС имеют общие проблемы. Одна из них – это отсутствие единой архитектуры данных и стандартов их качества.

Людмила Богатырева, «Полилог»:

– Как следствие, даже если реализованы все необходимые интеграции компонентов внутри системы и с внешними источниками, данные сложно связать между собой.

Пока на таких данных невозможно построить качественную аналитику и автоматическое принятие решений без участия чиновника, считает эксперт.

МИЛЛИОН РОССИЯН В ПРИЛОЖЕНИИ

Мобильным сервисам, оперирующим персданными, нужна особая защита, считают эксперты.

Важные меры безопасности включают шифрование данных, аутентификацию пользователей, обновление ПО, тестирование на проникновение и оценку рисков, отметил Станислав Сидоров.

По словам Александра Зубрикова, со стороны ИБ к данным приложениям нужен такой же подход, как и к информсистемам или КИИ. От регулятора уже есть набор необходимых требований, например, оценочный уровень доверия (ОУД).

Александр Зубриков, ITGLOBAL.COM Security:

– Также можно применить дополнительные меры, не ограничиваться одним только анализом кода приложения, а выставлять его на площадки для публичного поиска уязвимостей Bug Bounty и определения угроз Threat Hunting.

Эксперт отмечает, что

ЗАПУСК «ГОСУСЛУГИ.ДОМ» ЯВЛЯЕТСЯ ПРАВИЛЬНЫМ ШАГОМ С ТОЧКИ ЗРЕНИЯ ЦИФРОВИЗАЦИИ ГОСУДАРСТВА

Через приложение можно будет передавать показания счетчиков, оплачивать коммунальные услуги, видеть счета за ЖКУ, подавать заявки в управляющую компанию, организовывать чаты жильцов при помощи подключения к VK Messenger.

Заместитель главы Минцифры Дмитрий Огуряев заявил в мае 2023 года, что пока приложение испытывается в пилотном режиме в пяти регионах страны, и его пользователями уже стали более 100 тыс. россиян. Минимальная цель на конец 2023 года – 1 млн подписчиков.

Источник: Rspectr.com

Исследование iTrend: зарплата для ИТ-специалистов — не решающий фактор при выборе работодателя

23 апреля 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали критерии выбора работы, а также медиапредпочтения более 300 высокоуровневых специалистов из крупных российских ИТ-компаний.

 

Команда iTrend начала работу с Институтом iSpring

19 апреля 2024

Институт iSpring — частный ИТ-вуз нового поколения. Он был основан в 2021 году в Йошкар-Оле российским предпринимателем и основателем международной ИТ-компании iSpring Юрием Усковым.

 

Вебинар РУССОФТ, iTrend и BiToBe: «Работодатель-as-a-Service: новая реальность привлечения ИТ-специалистов»

15 апреля 2024

23 апреля в 15:00 пройдет открытый вебинар «Работодатель-as-a-Service: Новая реальность привлечения ИТ-специалистов»

 

iTrend: освоить маркировку интернет-рекламы можно только на собственном опыте

25 марта 2024

В феврале 2024 года в Москве прошла Конференция «Digital-коммуникации России». Организатор мероприятия – Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР). Эксперты конференции обсудили острые вопросы рынка digital, в том числе маркировку интернет-рекламы. Об опыте коммуникационного агентства в рамках перехода на работу по новым правилам рассказала Екатерина Саранцева, директор по развитию iTrend.

 

Медиалогия: iTrend – в ТОП-4 коммуникационных агентств по медиаиндексу за январь 2024 года

20 марта 2024

Коммуникационное агентство iTrend вошло в пятерку агентств, получивших наиболее высокий медиаиндекс по данным рейтинга «Медиалогии» за январь 2024 года. Компания заняла четвёртую строчку ранкинга, набрав 433,2 пункта МИ. Медиаактивность участников рынка оценивалась на основе анализа базы российских СМИ, включающей в себя более 88 тыс. источников — ТВ, радио, газеты, журналы, информационные агентства и Интернет-СМИ.

 
Все новости iTrend