Взлом, давай, DDoS-видания: как защитить персональные данные россиян

Взлом, давай, DDoS-видания: как защитить персональные данные россиян

28.10.2015 19:47
488

Персональные данные посетителей сайтов госорганов оказались под угрозой

Персональные данные посетителей сайтов госорганов оказались под угрозой Персональные данные россиян, которые обрабатываются на сайтах органов госвласти, слабо защищены и могут быть перехвачены злоумышленниками в любой момент. Заместитель технического директора компании Positive Technologies Дмитрий Кузнецов рассказал корреспонденту Федерального агентства новостей, почему госорганы не используют криптографию, как того требует нормативная документация, и почему персональные данные пользователей так уязвимы. «На самом деле, ФСБ предъявляет жесткие требования по использованию криптографических средств для защиты данных. Если по каналу связи передаются какие-то персональные данные, то их технически можно перехватить и прочитать. Чтобы это исключить, нужно использовать шифрованные протоколы», – комментирует специалист. При этом требования также трудновыполнимы, потому что законодательство требует использовать определенные, сертифицированные шифровальные средства, а это не всегда возможно технически. «Но при обслуживании тех же пластиковых карт терминалы и банкоматы не могут использовать сертифицированные российские криптографические средства, потому что это аппаратура зарубежного производства, и российские банки не могут встраивать туда отечественные технологии. То есть выполнить требования технически сложно, а иногда экономически неоправданно. Потому сейчас возник некий конфликт между бизнес-сообществом и регулятором, из которого, хочется верить, будет найден какой-то выход», – продолжает он. Подходы, долгое время использовавшиеся для защиты важных государственных данных, оказались непригодны. Но об этом узнали сравнительно недавно, после того, как на российском рынке стала востребована услуга тестирования на проникновения, и накопился фактический материал о том, насколько все печально. «По нашей статистике, более 60% веб-сайтов можно взломать, получив полный контроль над ними, просто не выходя из офиса. Но эта проблема не решается использованием одних только криптографических средств. Она решается созданием цикла безопасной разработки. Нужно предъявлять к разработчику требования по качеству кода. Сегодня многие разработчики корпоративных приложений к себе в штат берут хакеров, которые занимаются контролем качества кода», – говорит Кузнецов. Сейчас можно получить очень много информации, просто мониторя странички людей в социальных сетях и используя метод социальной инженерии. «Тут важна даже не проблема утечки данных, а то, что хакеры используют эту информацию для атак на информационные системы. Существует масса способов внедрить в компьютер сотрудника компании троянскую программу, но все они связаны с тем, что пользователь должен сам открыть присланный ему файл или перейти по присланной гиперссылке. И тут на помощь приходит социальная инженерия и социальные сети. Самый популярный прием атаки: находим в социальных сетях сотрудников компании, определяем круг их интересов и рассылаем им по электронной почте сообщения на интересующие их темы с троянской программой. Например, ищет человек работу, значит, письмо будет на эту тему и со ссылкой на сайт, очень похожий на сайт вакансий. При переходе по ссылке происходит заражение компьютера троянской программой, она устанавливает соединение с сервером хакеров, и всё. Хакер контролирует компьютер внутри корпоративной сети, где его никто не ждет, и может делать, что вздумается», – добавляет собеседник. Ответственность за обеспечение информационной безопасности в полной мере осознает и государство. Практически во всех ведомствах разворачиваются подразделения, в обязанности которых входит мониторинг и противодействие атакам и хакерам. То есть через несколько лет будет создана общероссийская система, завязанная на ФСБ как головной организации. Она будет защищать сайты государственных органов, критически важные объекты вроде опасных производств. По прогнозам, к 2020 году все уже должно работать эффективно.

Денис Рамзаев
Папа Римский призвал Трампа бороться с бедностью
Закрыть