В прошедшие выходные ZDNet сообщили (https://www.zdnet.com/article/brazilian-federal-police-investigates-presidential-data-leak/) о том, что федеральная полиция Бразилии расследует деятельность хакерской группы, которая ответственна за кражу личных данных Президента Бразилии Жаира Болсонару, членов его семьи, а также 200 тыс. других госслужащих.
В начале июня группировка Anonymous Brazil опубликовала часть украденных данных, в том числе информацию об активах семьи Болсонару.
На прошлой неделе по подозрению в хищении информации были арестованы трое подростков, предположительно являющихся членами Anonymous Brazil. По информации следствия, для получения такого большого массива данных хакерам пришлось взломать сотни правительственных и муниципальных учреждений.
А как дело с безопасностью государственных информационных массивов обстоит у нас?
Мы давно обещали высказать мнение по поводу Единого Федерального Информационного Регистра и вот руки дошли.
Не будем касаться потенциальной пользы от его создания, нас, как инфосек канал, интересуют, в первую очередь, вопросы информационной безопасности. Поэтому мы решили посмотреть, что же там у ФНС, оператора Единого Регистра.
На сайте ФНС мы нашли свежее описание (https://www.nalog.ru/rn77/about_fts/fts/structure_fts/str_podr_ca/it_biz/) задач Управления информационной безопасности. Судя по майской дате публикации и должности руководителя с приставкой ИО — это управление создано недавно. И, изучив содержание этого документа, мы несколько озадачились.
Общие посылы в виде «обеспечения информационной безопасности ФНС» и «организации системы защиты информации» — это, конечно, хорошо. Но почему организация и функционирование Ситуационного центра (это, видимо, аналог Security Operations Center) уместилась в 6 (!) слов, не считая союза «и», а описание организации материального учета занимает целый большой абзац?
Что такое «организация и координация процессов управления информационной безопасностью»? Аналог «отдела по борьбе с расследованием терроризма»?
Есть отдельный пункт по созданию резервного ЦОД, но ни слова про защиту основных ЦОД. И нет ничего про резервное копирование и безопасность архивов, что не равно созданию резервного ЦОД.
Нет ничего ни про аудит информационной безопасности, ни про проактивное выявление утечек чувствительной информации (коей сейчас полно в дарквебе и не только) и проведение соответствующих расследований, ни про обеспечение безопасности сервисов для налогоплательщиков, и так далее, и тому подобное…
Зато в отдельные пункты разнесены организация шифрованной связи и обеспечение телефонами спецсвязи ФСО — это теперь главное в инфосек!
SecFcnurВидно, что основные задачи УИБ ФНС готовились чиновниками, далёкими от реального обеспечения информационной безопасности. И ведь можно сказать, что «всё внутри содержится», настолько общие формулировки присутствуют. Но тогда надо было просто написать «Основная задача — обеспечение информационной безопасности» и этим ограничиться.
Похоже, что скоро баз данных в дарквебе станет больше.