Незалежний аудит державних електронних баз даних і застосунків: частина 1
В епоху тотальної цифровізації суспільного життя, яка наразі спостерігається на території України, виникають питання щодо здатності держави забезпечити збереження критично важливих даних, функціонування інформаційних систем, мереж, банків даних тощо. Сучасні центри обробки даних, в яких зберігається величезний обсяг конфіденційної критично важливої інформації (наприклад, державні реєстри, банки даних тощо) також є елементами інформаційних систем.
Кібербезпека сьогодні стала невід’ємною частиною інформаційних технологій. Під кібербезпекою розуміються протоколи, технології, пристрої, інструменти і методики, необхідні для забезпечення безпеки даних і усунення загроз. Атаки на мережі йдуть постійно. Новини про чергову скомпрометовану мережу стали звичними. Якщо задати в інтернеті пошук по темі «мережеві атаки», відкриється безліч посилань на статті про мережеві атаки, які здійснюються на державні установи, а також про організації, мережі яких були скомпрометовані тощо.
Забезпечення надійної безпеки мережі гарантує захист її користувачів та інформації, що нею циркулює. Збереження безпеки мережі вимагає пильності з боку фахівців із мережевої безпеки державних органів та комерційних структур, які є учасниками (користувачами) системи. Вони мають бути постійно в курсі нових мережевих загроз та атак, що розвиваються, а також вразливостей пристроїв і додатків.
На сьогодні державні ресурси піддаються наступним (у переважній більшості) загрозам:
- Атаки для отримання доступу (для отримання даних, доступу, привілеїв доступу)
- Атаки доступу використовують відомі слабкі місця в сервісах аутентифікації, на FTP-сервісах і веб-сервісах для входу в облікові онлайн-записи, отримання доступу до конфіденційних баз даних та іншої конфіденційної інформації.
- Особливо небезпечна атака за допомогою механізмів соціальної інженерії (людський фактор), адже це нівелює будь-який технічний або програмний захист.
Атака «відмова в обслуговуванні»
Атака «відмова в обслуговуванні» (Denial-of-Service, DoS) відноситься до типу мережевих атак. DoS-атака призводить до переривання роботи мережевих сервісів для користувачів, пристроїв або додатків.
DDoS-атаки
Розподілена атака «відмова в обслуговуванні» (Distributed DoS Attack, DDoS) аналогічна в своїх намірах DoS-атаці, за винятком того, що DDoS-атака збільшується в розмірі за рахунок того, що виходить із безлічі скоординованих джерел. Для зниження ризику мережевих атак потрібен комплексний всеосяжний підхід, що включає створення і обслуговування політики безпеки на базі потреб організації в забезпеченні безпеки. Фахівцям галузі вже давно відомо, що перший крок для визначення потреб організації в забезпеченні безпеки включає визначення ймовірних загроз і проведення аналізу ризиків.
Аналіз ризиків являє собою систематичне дослідження ризиків і невизначених факторів. У рамках цього аналізу оцінюється ймовірність і серйозність загроз системі і створюється список пріоритетів організації.
Аналітики ризиків ідентифікують ризики, визначають спосіб та час їхнього виникнення і оцінюють вплив негативних наслідків на фінансові й комерційні показники. Результати аналізу ризиків використовуються для визначення обладнання програмного забезпечення, політики нейтралізації ризиків і дизайну мережі.
Архітектура безпеки — це комплексне рішення забезпечення безпеки мережі, що включає рішення для захисту мережі, електронної пошти, веб-трафіку, доступу, мобільних користувачів і ресурсів ЦОД.
Тому впроваджують новітні інформаційні технології до економічної, науково-технічної сфери, сфери державного управління, оборонно-промислового і транспортного комплексів, інфраструктури електронних комунікацій, сектору безпеки і оборони України. Необхідно вживати всіх вичерпних заходів із мінімізації виникнення передумов до руйнації системи державного управління та системи ліквідації тяжких наслідків через уразливість інформаційних систем до мережевих атак на цифрову інфраструктуру. Оскільки сучасні інформаційно-комунікаційні технології можуть використовуватися для здійснення терористичних актів, зокрема шляхом порушення штатних режимів роботи автоматизованих систем керування технологічними процесами на об’єктах критичної інфраструктури.
Об’єктами кібератак та кіберзлочинів стають інформаційні ресурси фінансових установ, підприємств транспорту та енергозабезпечення, державних органів, які гарантують безпеку, оборону і захист від надзвичайних ситуацій.
При цьому слід враховувати, що мережеві атаки можуть здійснювати як окремі фізичні особи (або групи осіб), так і іноземні спеціально створені урядові органи (спецслужби (кібервійська) для здійснення розвідувально-підривної діяльності у кіберпросторі).
Останнім часом фіксується домінуюча присутність в інформаційній інфраструктурі України організацій, груп, осіб, які прямо чи опосередковано пов’язані з Російською Федерацією як за територіальним принципом (атаки здійснюються з території РФ), так і за урядовим (атаки фінансуються державою).
Це звучить дивно, але Україна має одну з найрозвинутіших сфер із надання електронних побутових послуг, які полегшують життя громадян, наприклад:
- у банківській сфері — це онлайн-банкінг;
- у побутовій сфері — передача показників та оплата за спожиту електроенергію, воду, природний газ;
- у медичній сфері — замовлення та доставка ліків, запис на прийом до лікаря, отримання результатів аналізів;
- у транспортній сфері — придбання квитків через мережу, замовлення та оплата послуг таксі, замовлення та здійснення перевезення вантажів тощо.
Поряд із цим додаток «Дія» посилив інтеграцію громадян України в цифровий світ.
Нагадуємо, що застосунок державних онлайн-послуг «Дія» був презентований командою програми та Міністерством цифрової трансформації у лютому 2020 року. Із того моменту розпочався активний розвиток можливостей застосунку, а оновлення зарясніли одне за одним: анонс запуску послуги «Статичний QR», технологія NFC-авторизації, процес автоматичної реєстрації ФОП.
У грудні 2020 року команда Міністерства цифрової трансформації на платформі Bugcrowd за підтримки агентства з міжнародного розвитку США (USAID) провела тестування (багбаунті) на знаходження можливих помилок у «Дії» із призовим фондом в 1 мільйон гривень. У результаті «етичні хакери», які тестували застосунок на злом, знайшли два технічних баги, які, на думку фахівців Мінифри, не впливали на міцність програмного забезпечення та цілісність персональних даних користувачів застосунку. Тоді мобільний застосунок отримав атестат відповідності Комплексної системи захисту інформації (КСЗІ) на мобільний застосунок «Дія 2.0». Також «Дія» пройшла два pen-тести: із партнерами USAID та Академією е-урядування Естонії.
Згодом додаток був оцінений в App Store і Play Market доволі високими балами. Серед найпоширеніших його проблем були зазначені: зникнення даних із програми, несвоєчасне «підтягування» інформації, довга верифікація та місцями некоректна робота застосунку.
https://intelmag.com/digitalization/15518-nezalezhnyj-audyt-derzhavnyh-elektronnyh-baz-danyh-i-zastosunkiv-chastyna-2/
