В сентябре Минэкономразвития Башкортостана заключило контракт на защиту правительственных сайтов от хакерских атак. Стоимость госзаказа составила 7,2 млн рублей. Конкурс выиграла дочка «Ростелекома» компания «Башинформсвязь». Корреспондент «Федерал Пресс» опросил экспертов, чтобы узнать, как строится киберзащита региональных правительственных порталов, сколько это может стоить и кто хочет взломать сайты губернаторов.
18 августа один из сайтов министерства имущественных отношений Ставропольского края был взломан. Ответственность за атаку взяла на себя некая группировка «MasTro Darya Security ALislam», которая позиционирует себя как «сирийские хакеры». На главной странице сайта появилось обращение о продолжении «сирийской революции» и призывы к свержению «режимов Асада и Путина».
Никому не известная группа хакеров до того отметилась лишь взломом сайта Бурштынского горсовета в Ивано-Франковской области Украины.
Очевидно, что киберпреступники искали цели для своих атак «по средствам». Оба сайта были плохо защищены, не представляли большого интереса для пользователей, а потому были легкой добычей для амбициозных, но не очень умелых «сирийских хакеров».
Генеральный директор компании «Атак Киллер» Рустэм Хайретдинов говорит, что киберзащита правительственных сайтов регионального уровня в принципе не отличается от защиты любого другого сайта.
«Их надо защищать от DDoS-атак, от хакерских атак, от загрузки зараженных документов и тому подобное. Принципы защиты одни на всех – анализ сайта и его инфраструктуры на уязвимости, анализ входящих запросов с блокированием атак, очистка трафика от «мусорных» запросов, которые могут забить канал. Но «вес» каждой атаки – разный для разных типов сайтов», – говорит эксперт.
Стоимость полноценной системы защиты сайтов регионального правительства может сильно разниться в зависимости от функционала, трафика, инфраструктуры, архитектуры информационной системы. По словам Рустэма Хайретдинова, разброс цен – от 1 млн рублей в год за небольшой провинциальный сайт с маленькой нагрузкой до 30 млн рублей в год и больше. Дороже всего обходится защита семейств федеральных сайтов, типа nalog.ru, с десятками миллионов пользователей, сложной структурой и важной информацией.
«Президента хотят взломать все…»
Руководитель Агентства кибербезопасности Евгений Лифшиц считает, что 7,2 млн рублей для защиты всех официальных сайтов правительства Башкирии – это мало. Если учитывать, что в республиканский реестр входят 38 информационных систем и 24 информационных ресурса, в Башкирии действуют 28 министерств и комиссий, плюс глава республики, Курултай, органы местного самоуправления, – то всю выделенную сумму нужно делить минимум на 30. Тогда на каждый кластер системы приходится по 130 тысяч рублей.
Для сравнения, один сайт президента России kremlin.ru был перестроен за 20 млн рублей. Из них 10 млн – на обеспечение безопасности.
Понятно, что каждый хакер мечтает взломать президента, говорит Евгений Лифшиц. Но нельзя забывать, что хакеры также трудятся на стороне тайной службы киберсекьюрити главы государства. Целые хакерские группировки находятся «на зарплате» у правительства и спецслужб.
«Те, кого мы привычно зовем хакерами, как правило, формируют группу brute-force давления, иными словами, это «дружественные» хакерские группировки, которые в процессе построения архитектуры безопасности правительственного сайта осуществляют так называемый «полный перебор» ресурса в тесной связке с самими web-архитекторами», – говорит эксперт.
Иными словами, готовую систему защиты сайта дают «попробовать на зуб» профессиональным хакерам. Если им не удается взломать его, значит, защита действует.
На кибербезопасность на уровне регионов таких денег, конечно, не выделяют. Оно и не требуется. Сайт минсельхоза Башкирии или службы занятости населения Куюргазинского района представляет гораздо меньший интерес, чем портал главы государства или даже губернатора.
«Казус Пригожина»
Для описания уязвимостей системы правительственных сайтов Евгений Лифшиц предлагает использовать теорию необратимых процессов, разработанной Нобелевским лауреатом по химии 1977 года Ильей Пригожиным. Эта теория была разработана для термодинамики, но действует и в IT. Согласно гипотезе, если некая система удалена от точки равновесия, то возникающие в ней колебания будут усиливаться.
В кибербезопасности это звучит так: чем сложнее архитектура проекта, тем больше точек отказа и меньше вероятность безотказной работы. Защитить от взломов один сайт проще, чем множество взаимосвязанных между собой.
Поэтому подходить к киберзащите системы правительственных сайтов – что на федеральном, что на региональном уровне – нужно системно. И здесь правительство Башкирии поступило правильно, отдав вопросы безопасности всех своих сайтов одному государственному оператору, считает Евгений Лифшиц.
«В самой формулировке заявки мне видится очень грамотно залитый фундамент. Система защиты не должна строиться индивидуально для каждого составного элемента реестра правительственных информационных ресурсов Башкортостана. Фрагментированная система по сути своей является бессмысленным копированием сущностей. И это привело бы либо к падению условного правительственного фаервола, либо к колоссальным затратам на обслуживание», – говорит эксперт.
Обеспечение кибербезопасности правительственных сайтов имеет свою специфику. В первую очередь нельзя передавать данные третьим лицам, считает гендиректор компании «Смарт-Софт» Андрей Давидович. Поэтому защита государственных порталов стоит дороже, а эффективность может быть ниже.
«При защите государственных сайтов нежелательно пропускать трафик через сторонний сервис. Дело в том, что полноценная защита от DDoS-атак подразумевает анализ трафика, в том числе и шифрованного, а это требует передачи SSL-сертификата провайдеру услуг защиты от DDoS. Потенциально это может привести к компрометации шифрованного трафика, что для многих правительственных сайтов недопустимо. Следовательно, защищать такие сайты приходится внутри хостинга, закупая и устанавливая дорогостоящее оборудование для фильтрации трафика. В этом случае сохраняется конфиденциальность передаваемой информации, но страдает качество защиты. К примеру, от массивных атак, превышающих по объему пропускную способность канала веб-сервера, так не защититься», – говорит Андрей Давидович.
По его словам, защита системы сайтов башкирского правительства может стоить от 5 до 10 млн рублей. Так что заявленная «Башинформсвязью» сумма в 7,2 млн кажется разумной. При этом многое зависит от марки оборудования. Комплекс защиты на основе оборудования Arbor может стоить вдвое-втрое дороже комплекса на Huawei.
Фото: pixabay.com