Модератором встречи выступил сопредседатель Комитета по информационной безопасности совета ИТ-директоров, начальник управления предпринимательства и поддержки промышленности КэрППиТ администрации Санкт-Петербурга Юрий Шойдин. Серебряным партнёром круглого стола заявлена компания IBM, которая предлагает широкий спектр продуктов и услуг по обеспечению безопасности ИТ-инфраструктуры на базе продуктов IBM-security.
Доклады спикеров были посвящены, главным образом, используемым в инфраструктуре ЭП технологиям (так, очень важными были признаны виртуализация и «облачные» технологии), рискам и механизмам безопасности ЭП, применению ЭП в регионах, в частности, Северо-Западном ФО. Если с Северо-Западом дела обстоят хорошо, так как наш регион считается одним из самых развитых в сфере ИТ, то в других регионах ситуация сложнее. Это связано в первую очередь с недостатком финансирования. Больница с бюджетом в 100 тыс. рублей «на всё про всё» по определению не может быть включена в систему ЭП. Услышав эту цифру, программисты, как правило, разворачиваются и уходят. Также определённая трудность в пользовании ЭП заключается в том, что подобные системы не являются единым целым: они составляют набор неоднородных автоматизированных систем. Именно поэтому говорится о широком применении технологии виртуализации – без неё невозможно реализовать масштабные задачи.
Начальник управления информационно-аналитического центра при правительстве Санкт-Петербурга Владимир Шабалин затронул вопрос внедрения такой технологии, как единая платёжно-сервисная система «Универсальная электронная карта» (ЕПСС УЭК). Она придет на смену всем социальным картам, которые локально выпускали субъекты федерации, а также заменит многие другие документы, такие как полис обязательного медицинского страхования, студенческие билеты, проездные документы и т. д. С помощью карты можно будет получить государственные, региональные и коммерческие услуги в электронном виде с использованием банкоматов, персональных компьютеров, мобильных устройств; она также будет приниматься в общественном транспорте. Подобно обычной банковской карте, универсальная карта может использоваться для оплаты товаров и услуг в магазинах и любых других организациях. Одной из главных задач по внедрению данной технологии будет обеспечение защищённого хранения ID-данных гражданина на карте и в самой системе, возможность использования на УЭК ведомственных блоков данных (например, Пенсионного фонда, Минсоцздрава и др.), а также внесения изменений со стороны Федеральной уполномоченной организации (ФУО). Также г-н Шабалин не исключает возможности слияния проектов УЭК и ЭП.
Круглый стол на тему «Электронные услуги в государстве и бизнесе. Проблемы защиты информации»
Если говорить о перспективах реализации идеи ЭП в России, спикеры от компании «Ростелеком» Илья Трифаленков и Андрей Мельников отметили, что мы должны использовать международный опыт. «Главное, чего нужно добиваться из западной практики – упрощения авторизации, так как это один из основных моментов обеспечения информационной безопасности», – говорит Андрей Мельников. Сейчас на стадии обсуждения находится вопрос о компенсации «остаточного риска», а также «страхование» информации. Стоит сказать, что «Ростелеком» на сегодняшний момент – единственный интегратор ЭП в России. Помимо этого, компания и дальше планирует заниматься обеспечением бесперебойных госуслуг и просто традиционных услуг телефонии.
В ходе круглого стола был сделан важный вывод: ЭП должно развиваться не само по себе, а использоваться для улучшения качества оказания государственных услуг, для взаимодействия гражданского общества и бизнеса с органами государственной власти и, как следствие, повышения прозрачности государственной власти.
Автоматизация госуслуг – важнейшая тема современного информационного общества
Следующей серией конференции «Электронная безопасность: Невский диалог – 2011» стал круглый стол «Актуальные вопросы «облачных» вычислений». Модератором мероприятия был региональный представитель «Лаборатории Касперского» в СЗФО Евгений Питолин, который провел его под девизом «Не вторгайтесь в мою приватность». В числе остальных спикеров в рамках круглого стола выступил эксперт портала Anti-Malware Виталий Янко, рассказав о рисках работы в частном, публичном и коммерческом «облаках» и возможности их избежать. Традиционные риски при размещении своих данных и работе в «облаке» – это недоступность данных, потеря данных, вопросы совместного доступа к данным, законодательная ответственность и невозможность простой и самостоятельной миграции из «облака». Что касается прикрытий, то есть какой-то защиты от этих рисков, то ее нужно продумывать заранее. Например, прописывать в контракте при заключении договора допустимый процент отказа работы оборудования и четкое время на восстановление. От физической потери данных в дата-центре также никто не застрахован. Поэтому компании необходимо учесть возможность автоматического резервного копирования в другой ЦОД и, опять же, прописывать в договоре действия партнера в случае потери информации.
Круглый стол «Актуальные вопросы «облачных» вычислений»
«Важный риск при работе в «облаке» – это ответственность перед законом, – рассказывает Виталий Янко. – Есть требования выдать данные. Например, если вы не хостите какой-то определенный сайт, не являетесь его владельцем, но делаете что-то, что регулятору не понравилось, помните, что без санкции суда ваш провайдер не выдаст данные в соответствующие органы. То же самое и с вопросом отключения серверов: никто не выдернет просто так ваш сервер из розетки. Ну и, наконец, если у вас произошла утечка персональных данных своих клиентов и вы ощущаете над собой дамоклов меч правосудия, первыми обратитесь в соответствующие инстанции и попробуйте этот вопрос без шума разрешить. Пока у нас нет законодательства, гарантирующего раскрытия утечки данных, лучше поступать таким образом».
Региональный представитель «Лаборатории Касперского» в СЗФО Евгений Питолин в своем выступлении отметил, что главным фактором безопасности, несомненно, является образование, причем не только ИТ-специалистов, но и обычных пользователей, в том числе и детей. Также спикер напомнил, что к финалу 2010 года было зафиксировано почти 2 млрд инцидентов в области информационных угроз. Сейчас произошла некая стабилизация количества вредоносных программ, но не произошло стабилизации количества атак, и атаки, в том числе и на «облачные» сервисы, растут. Лучший пример публичного «облака» – это социальные сети, где личные данные пользователей хранятся, множатся, подделываются. Можно вспомнить, как за четыре дня в 2010 году вирус Facebook обошел весь мир, поразив тысячи пользователей. А 2011 год запомнится атаками на «облака» крупных корпораций – например, нападением на компанию Sony.