Аналитика, Безопасность, Интернет, Латвия, Общество, Технологии

Проводя оценку сайтов 15 разных по величине самоуправлений, констатировано 227 различных недоработок. Это свидетельствует о том, что, независимо от величины самоуправления и доступных финансовых и человеческих ресурсов, сайты всех самоуправлений уязвимы с точки зрения кибербезопасности.   

«В нынешний век современных технологий все больше традиционных процессов и услуг и в личном, и в публичном пространстве доверяют информационным и коммуникационным технологиям. Это помогает поддерживать общение и обрабатывать информацию, делая государственное управление более эффективным и более доступным для общества. Однако наряду с рядом преимуществ, предоставляемых технологиями, появились новые вызовы и риски, связанные с обеспечением безопасности в интернет-среде. Как государственным учреждениям, так и учреждениям самоуправления важно осознавать и идентифицировать риски, чтобы таким образом застраховаться от кибератак и вызванных ими последствий.  Важно, чтобы не только руководитель учреждения и специалист ИТ осознавали важность вопроса, но и чтобы все сотрудники были обучены и в повседневной работе соблюдали определенные процедуры и правила», говорит Эдмунд Бельскис, заместитель государственного секретаря  VARAM по вопросам информационных технологий и коммуникации.

В ходе оценки сайтов некоторых самоуправлений было выявлено по 4-5 уязвимых мест, но объем обнаруженных недостатков на сайтах отдельных самоуправлений превышал планку даже на 20 пунктов. Из общего количества уязвимых мест 6% относятся к высокорискованным. Эти недостатки важно устранить незамедлительно, чтобы не дать возможность реальному злоумышленнику перенять контроль над сайтом или сделать ресурс недоступным для общества. 46% слабых мест можно охарактеризовать как риски среднего уровня, и примеры этого имеются на сайтах всех проверенных самоуправлений.  Несмотря на то, что степень риска большей части или 48% обнаруженных уязвимых мест характеризуется как низкая, эксперты указывают, что подобная тенденция по-прежнему вызывает озабоченность – ведь несколько недоработок низкого или среднего уровня риска могут сделать этот уровень высоким.

«Кибербезопасность зависит от множества одинаково важных аспектов – от платформы, на базе которой построен сайт, использованной версии, настроек и специалистов по информационным технологиям, управляющих этой системой. Трудно точно оценить, какие последствия для каждого самоуправления способна вызвать успешная кибератака, потому что функциональность сайтов различается. Однако можно сказать, что в случае успешной кибератаки пострадает деятельность и репутация организации, а также возникнут прямые или косвенные финансовые потери», – указывает Каспарс Иесалниекс, руководитель по IT-консультациям компании KPMG.

Общий выводы по итогам оценки таков: большинстве случаев недоработки на сайтах самоуправлений Латвии связаны с несоответствующей конфигурацией или настройками сайтов. Эти проблемы констатированы на большинстве сайтов проверенных самоуправлений. В ходе проверок обнаружено: чтобы превысить объем запросов информации, который способен обработать сайт, хватило бы мощности даже одного компьютера. Это значит, что злоумышленник легко может сделать ресурс самоуправления недоступным или заставить реального пользователя часами ждать ответа от системы.  Другие наиболее часто встречающиеся недоработки связаны с недостаточной защитой данных и недостатками в процессе аутентификации.

«Большое количество самоуправлений, пожелавших участвовать в этом проекте, свидетельствует о том, что самоуправления думают о кибербезопасности. Число самоуправлений, готовых проверить безопасность своих сайтов, было в три раза больше, чем позволяли возможности проекта. Это значит, что кибербезопасность однозначно стоит в самоуправлениях на повестке дня. Результаты этого проекта будут хорошей основой для размышлений, а также поводом каждому физическому лицу и предприятию в Латвии действовать более активно. Речь идет не только о самоуправлениях, создающих новые сайты.  Кибербезопасность является обязательной составляющей для хорошего и функционального сайта и  естественной дигитальной составляющей нашей повседневной работы», – признает Гинтс Каминскис, председатель LPS.

Еще одно важное поле, где наблюдается недостаточная защита от киберугроз, характерная почти для всех самоуправлений – информированность сотрудников и понимание ими вопросов кибергигиены. В рамках проекта для 162 сотрудников самоуправлений была проведена симуляция нападения на социальную инженерию. Этим сотрудникам была отправлена электронная почта с признаками вредоносного письма с просьбой  пройти по указанной в письме ссылке.  16% сотрудников, участвовавших в симуляции, не заметили эти признаки, и в случае реального нападения потенциально стали бы жертвами злоумышленников: 12%  участников симуляции кликнули на присоединенную ссылку, а 4% даже ответили отправителю. Только в двух самоуправлениях ни один из сотрудников  не открыл  указанную в письме ссылку, и лишь в некоторых самоуправлениях сотрудники сообщили о подозрительных электронных письмах ответственному персоналу организации, хотя это является самым правильным действием при получении подозрительного послания.  

Как указывает Каспарс Иесалниекс, руководитель по IT-консультациям компании KPMG, знания о кибергигиене несложно углубить, регулярно организуя практическое обучение и симуляции социальной инженерии, что помогает подготовить сотрудников к реальному нападению. Также возможно уменьшить риски кибератак в самоуправлениях, проводя эффективное управление IT-ресурсами, следя за обновлениями, применяя принципы наилучшей практики в сфере кибербезопасности и проводя регулярные проверки в этой области.

«Нет абсолютно безопасных систем, но есть системы, способные эффективно устранить риск и дающие возможность отразить атаку. Важно осознавать, что у безопасности, особенно в дигитальной среде, нет цели или конечной точки, которую необходимо достичь. Это процесс, который следует постоянно совершенствовать и думать на шаг вперед, чтобы уменьшить последствия возможной атаки. Думать о безопасности никогда не поздно», – напоминает  Каспарс Иесалниекс.

KPMG -- международная сеть консалтинговых предприятий, оказывающих аудиторские, ревизионные, налоговые и консультационные услуги. 207 000 сотрудников KPMG работают в 153 странах мира. В странах Балтии KPMG является одним из ведущих поставщиков профессиональных услуг.