PowerPoint - Форум Безопасного интернета
реклама
БЕЗОПАСНОСТЬ ПОЛЬЗОВАТЕЛЕЙ ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ КАК КЛЮЧЕВОЙ ФАКТОР ПОСТРОЕНИЯ ЭЛЕКТРОННОГО ГОСУДАРСТВА ИНТЕРНЕТ-ПОЛЬЗОВАТЕЛИ = ГРАЖДАНЕ + БУДУЩИЕ ГРАЖДАНЕ БАНКИ Тренд: необходимость подтверждения личности для взаимодействия с государством через Интернет ГОСУСЛУГ И ЕСИА М АГАЗИНЫ В ОЛЕИЗЪЯВ Л ЕН И Е БОЛЕЕ 14,3 МЛН. – регистраций БОЛЕЕ 16,8 МЛН. – оказанных госуслуг в электронном виде СОБЫТИЯ 2014 ГОДА: Развитие ЕСИА как действительно единой системы идентификации граждан в Интернете (реализация упрощенной схемы регистрации в ЕСИА (ПЭП), увеличение мест регистрации в ЕСИА). 2. Первый опыт интернет-голосования граждан РФ, зарегистрированных в ЕСИА (голосование в ОП РФ). 3. Попытки создания новых форм электронного участия граждан – общественные обсуждения, опросы. 1. СТАТУС ПЕРЕХОДА НА ЕСИА Предоставление государственных и муниципальных услуг в электронной форме должно осуществляться только через авторизацию граждан в ЕСИА (Постановление Правительства РФ от 10 июля 2013 г. №584) РЕГИОНЫ, ИСПОЛЬЗУЮЩИЕ АЛЬТЕРНАТИВНЫЕ СИСТЕМЫ • • • • • • • • • Москва Московская область Башкортостан Карелия Марий Эл Татарстан Псковская область Ульяновская область Челябинская область ОГВ, ИСПОЛЬЗУЮЩИЕ АЛЬТЕРНАТИВНЫЕ СИСТЕМЫ • • • • • Министерство обороны Министерство здравоохранения ФСПП 7 федеральных служб, включая ФНС и Росстат 4 федеральных агентства, включая Росавтодор и Росграницу ЭЛЕКТРОННАЯ ДЕМОКРАТИЯ: ОЖИДАНИЯ И РЕАЛЬНОСТЬ Упрощение систем идентификации и аутентификации создает «кризис доверия» к сервисам, обеспечивающим электронное участие граждан в управлении государством. Тренд: разделение гражданских интернет-сервисов на социальные (краудсорсинг, социальные кампании, PR) и прикладные (порталы госуслуг, официальные ресурсы ОГВ, РОИ) по степени идентификации пользователей. Надежные сервисы, высокая степень доверия, исключение манипуляций ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ Слабая степень защиты, низкая степень доверия, манипуляции с результатами К ЧЕМУ МОЖЕТ ПРИВЕСТИ ПРЕНЕБРЕЖЕНИЕ К БЕЗОПАСНОСТИ АПРЕЛЬ 2015: атака ботов на Единый портал размещения нормативно-правовых актов и их общественного обсуждения (regulation.gov.ru). Результат – имитация поддержки гражданами и экспертами резонансного законопроекта о введении «налога на интернет». Более 3000 мнений в поддержку 2. Удаление карточки законопроекта 3. Создание дубликата законопроекта 4. Более 4000 мнений 1. Свыше 30 тыс голосов за отмену законопрокета 2. 233 голоса поддерживают 1. ТРЕВОЖНЫЙ СИМПТОМ – РОСТ КОЛИЧЕСТВА ПРИМЕРОВ попыток искажения данных результатов голосований, общественных обсуждений и опросов • боты и роботы • голосование за «другого» • давление на голосующего • несанкционированный доступ БЕЗОПАСНОСТЬ ПОЛЬЗОВАТЕЛЕЙ ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ – КЛЮЧЕВОЙ ФАКТОР ПОСТРОЕНИЯ ЭЛЕКТРОННОГО ГОСУДАРСТВА За 2013-2014 кардинально нового в совершенствовании механизмов идентификации и аутентификации не произошло. Вместо усиления обеспечения защищенности идентификации была введена упрощенная авторизация в ЕСИА. ЗАЩИЩЕННОСТЬ ИНФОРМАЦИИ = БЕЗОПАСНОСТЬ ЛИЧНОСТИ Второй важный аспект обеспечения безопасности пользователей – защищенность передачи информации. Однако, повсеместно используемые решения разработаны американскими компаниями. Сертификаты выданы зарубежными УЦ, используют зарубежные алгоритмы шифрования SSL TSL БАНКИ ОНЛАЙН- ГОСУСЛУГИ МАГАЗИНЫ РОИ ЧТО ДЕЛАТЬ? МЕРЫ ПО СОВЕРШЕНСТВОВАНИЮ БЕЗОПАСНОСТИ ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ: 1. 2. 3. 4. 5. Использование ЕСИА в качестве единственной системы идентификации для государственных сайтов Введение многофакторной авторизации в ЕСИА для обеспечения дополнительной безопасности (при интернет-голосовании, совершении финансовых операций) Использование защищенного соединения и шифрования траффика с использованием российских алгоритмов Систематическая работа по продвижению российских алгоритмов шифрования для включения их в базовые пакеты ПО Разработка НПА, позволяющих использовать российские криптоалгоритмы в системе сертификации, обеспечивающей работу защищенных интернет-протоколов
