Защита данных. Только снится!


#SWLeaks: снова о защищенности информационных систем в НКЦБФР.

 

Думается, тема #SWLeaks никогда не исчерпает себя. По крайней мере, вопрос защищенности данных в ее рамках дает и наши запросы в этой связи в те или иные институции дают нашей команде все новую и новую пищу для размышлений. Не так давно мы писали о том, как в регуляторе – Национальной комиссии по ценным бумагам и фондовому рынку (НКЦБФР) – раскрывается аспект непосредственной технической защищенности информации, в том числе по всем бюрократическим канонам.

 

Напомним, что в рамках спецпроекта мы исследуем репутационный скандал на украинском фондовом рынке: исходя из всей публичной информации, старт ему положил депутатский запрос Алексея Мушака: якобы переданная информация в ответ на обращение папрламентария просочилась в СМИ, и общественности стала известна конфиденциальная информация об операциях с ОВГЗ. Кроме того, в медиа оказались будто бы копии переписки представителей пресс-службы Комиссии с журналистами, которая велась не с официальных почтовых адресов (с доменов @nssmc.gov.ua), а с общедоступных почтовых сервисов (@gmail.com, @mail.ru). На первый взгляд, и разглашение деталей сделок, и, тем более, с помощью незащищенных информационных систем может показаться «не комильфо», поэтому мы решили проанализировать этот вопрос – с участием непосредственных «героев» ситуации (самой НКЦБФР) и тех, кто является довольно авторитетной фигурой в этой части, – Государственной службы специальной связи и защиты информации (ГССЗИ).

 

На вопрос касательно того, действительно ли осуществлялась переписка между сотрудниками НКЦБФР о сделках, о которых шла речь в материалах СМИ, прямого ответа от Комиссии StockWorld.com.ua так и не получил. Мы были удостоены лишь отсылке к официальной публикации НКЦЮФР от 25.10.2016, согласно которой распространённая информация является перекрученной и недостоверной. Если так, тогда в чём сложность для Комиссии ответить на вопрос редакции: «Действительно ли велась переписка между должностными лицами Национальной комиссии по ценным бумагам и фондовому рынку по вопросам, указанным в скриншотах статьи, в частности Хромаевым Т., Барамией И. и Каменец О.?»?

Наша редакция также ставила вопросы НКЦБФР, связанные с обеспечением технической защиты информации в системах регулятора. В частности, мы уточняли, обеспечен ли комплекс мер по защите информации (КСЗИ) в соответствии с законодательством Украины в информационно-телекоммуникационной системе (далее – ИТС) НКЦБФР, в которой функционирует официальная электронная почта регулятора. Ответ регулятора так же не был однозначен. Также нам добавили, что внедрение КСЗИ запланировано на следующий год – естественно, если будет надлежащее финансирование.

В то же время, Государственная служба специальной связи и защиты информации (ГССЗИ) – условно говоря, наиболее компетентный орган в стране в этой «теме» – своим письмом от 07.12.2016 №11/01/02-2588 проинформировала StockWorld.com.ua о том, что по результатам проверки НКЦБФР со стороны службы, состояние технической защиты информации в Комиссии не соответствует требованиям нормативно-правовых актов.

Это касательно безопасности системы в целом. Относительно защищенности конкретных, так сказать, данных клиентов, – отдельный разговор. Поэтому мы и задали соответствующий вопрос Комиссии о наличии конфиденциальной информации в составе административных данных участников фондового рынка. Ведь все мы знаем, что НКЦБФР получает административные данные от участников фондового рынка в виде электронных документов, которые в дальнейшем хранятся в электронном виде и, скорее всего, циркулируют (в т.ч. хранятся) в информационной или информационно-телекоммуникационной системе регулятора. Ответ НКЦБФР был не противоречил здравому смыслу – мол, действительно могут содержать конфиденциальные сведения и был следующим.

Исходя из ответов двух регуляторов, можно предположить, что на сегодняшний день согласно законодательству в НКЦБФР не обеспечена защита информации, которая находится в системах Комиссии. А информация третьих лиц, в том числе конфиденциальная, может стать мишенью для злоумышленников.

Кроме того, по информации с официальном сайта НКЦБФР, в 2014 году планировались работы, связанные с созданием комплексных систем защиты информации в системах регулятора. Согласно размещённым объявлениям, открытые торги были отменены по причине «скорочення видатків на здійснення закупівлі товарів, робіт і послуг».

В заключение затронем еще один аспект – использования бесплатных площадок для официальной переписки комиссионеров. На вопросы редакции, используют ли должностные лица НКЦБФР почтовые сервисы в доменах @gmail.com, @mail.ru для служебной переписки, связанной с деятельностью регулятора и по вопросам функционирования фондового рынка Украины, а также для каких целей сотрудниками Комиссии используется электронная почта в домене @nssmc.gov.ua, ответы регулятора говорили о том, что нормативными документами не установлено требований относительно использования почтовых серсисов от Google и Mail.ru для служебной переписки, а электронная почта «от Комиссии» урегулирована внутренниими документами и предназначена как для внутренней, так и для внешней коммуникации. Тем не менее, скриншоты переписки представителей НКЦБФР между собой и СМИ, циркулирующие в сети, говорят о другом...

Напрашивается вопрос: как долго ещё будут функционировать системы НКЦБФР без надлежащей защиты? Каковы риски? Оцениваются ли они? И могло ли стать это причиной утечки информации, если она все-таки имела место? Как думаете, риторический ли он?

 

Источник: #StockWorld, 29.12.2016, 09:47

29 грудня 2016 р.