Ситуация с Хиллари Клинтон и ее историей использования личного смартфона Blackberry для ведения государственных дел демонстрирует подход, при котором законы, стандарты и требования в области кибербезопасности едины для всех, будь то рядовой сотрудник или президент страны.

Сложно себе представить ситуацию в Украине, когда генеральный прокурор вызывает на допрос премьер-министра и требует объяснения, почему тот использовал свою личную почту для государственной переписки.

В современных реалиях гибридной войны, которую ведут против нашей страны, непростительно мало внимания уделяют обучению персональной кибербезопасности чиновников и государственных управленцев. Несмотря на макроизменения в виде появления таких документов как «План действий по реализации стратегии кибербезопасности Украины» и собственно самой стратегии, культура и понимание важности индивидуальной кибербезопасности в основном находится на примитивном уровне или вообще на нулевом.

Против нас ведется кибервойна

Стоит понимать, что сегодня мы в состоянии войны в киберпространстве в не меньшей степени, чем на востоке Украины. К счастью, на этом фронте не гибнут люди, однако если не уделять этому  вопросу достойного вниманию, то человеческие жертвы возможны и здесь. Яркий пример – атака на областные энергетические компании, которая всколыхнула киберсообщество Украины. Тот случай ярко иллюстрирует факт активной фазы агрессии и потенциал вреда, который может быть нанесен Украине. А сколько менее освещенных примеров: атаки трояна Turla на администрацию президента Украины и другие государственные структуры, Potao – атаковавший спецслужбы Украины, нынешняя волна расследований, связанных с атаками на украинские банки и похищением колоссальных сумм.

Такие прецеденты как минимум должны прочищать умы ответственных и вбивать в их голову сознание того, что электронная сфера не менее важна для безопасности страны, чем наличие танков и пушек. Эти случаи во весь голос кричат нам, что кибербезопасность – это важно, причем не только на уровне локализации последствий, которыми в основном занимаются специализированные силовые структуры.

Почтовые сервисы как пример халатности

Повышение уровня знаний  и культуры кибербезопасности государственных служащих не должна ограничиваться знакомыми нам рекомендациями СБУ, ДСТСЗИ или Кабинета министров.  Это должна быть система, которой должны подчиняться все без исключения вне зависимости от ранга. Как бывший госсекретарь США Хилари Клинтон вынуждена находиться под угрозой уголовной ответственности за свою неосмотрительность, то и украинские чиновники должны быть так же ответственны за свои действия и безопасность государственных данных.

Для этого нужна система, и правила, простые правила использования, например, элементарной электронной почтой. При этом данный аспект был и остается реальной проблемой.

Страшно представить, что можно найти в архивах почты украинских чиновников, которые, беспечно пользуясь mail.ru, решали важные государственные вопросы — возможно, стратегического значения.

Подтверждением этому могут служить массовые случаи использования российских почтовых сервисов украинскими чиновниками в министерствах самых разных направлений. А ведь многие из них на тех же ПК могут работать с секретными документами, которые представляют интерес для врагов нашей страны.

При этом стоит помнить, что с 1 августа 2016 года ситуация становится еще более критичной и  опасной. С этой даты в силу вступает пакет «законов Яровой», который существенно расширяет возможности спецслужб РФ в доступе к личным данным пользователей тех компаний, которые имеют российскую юрисдикцию.

По сути, все данные почтовых ящиков основных российских почтовых сервисов станут источником информации для ФСБ и других служб. И даже страшно представить, что можно найти в архивах почты украинских чиновников, которые, беспечно пользуясь mail.ru, решали важные государственные вопросы — возможно, стратегического значения.

Нас спасет системный подход

Реальный выход из ситуации лежит в абсолютно технической плоскости. Кроме того он отлично коррелируется с одним из главных законов кибербезопасности – «запретить использование чего-то можно только в том случае, если это возможно реализовать технически».

Путь индивидуального «воспитания» культуры кибербезопасности – это долгая дорога. Сегодня и сейчас все это возможно решить простыми техническими действиями – невозможностью пользоваться определенными сервисами в государственных учреждениях. Реализация запрета на российские почтовые сервисы в рамках чиновничьего аппарата решается установлением специального программного обеспечения, которое просто не позволит это сделать.

Запретить использование чего-то можно только в том случае, если это возможно реализовать технически

Другой вопрос, что сам по себе почтовый канал, основанный на бесплатных сторонних сервисах (не только почтовых) абсурден для государственного использования. Весь документооборот и переписка должны идти по государственным (или специально защищенным) каналам связи, использовать официальные серверы и контролироваться, вплоть до того кто и какой документ создавал, изменял или копировал.

Отсутствие системности в сфере государственного IT приводит к тому, что на местах быстро организовываются временные решения своими силами, которые становятся постоянными. Если у чиновника, для того чтобы написать письмо своему коллеге, нет официального почтового ящика (а зачастую нет и сервера для его организации, доменного имени для его подразделения, специалистов для его обслуживания и т.п.), то, конечно же, ему проще быстро сделать ящик на бесплатной почте. У него просто нет выбора.

Автор: Олег Сыч, технический директор антивирусной лаборатории Zillya!