МОСКВА, 27 июл — ПРАЙМ. Заявки к мобильным гаджетам чиновников и госкомпаний надо ужесточить с точки зрения кибербезопасности, выговор идет, прежде всего, об устройствах с зарубежными операционными системами, находит директор по проектной деятельности Института развития интернета (ИРИ) Арсений Щельцин.
Президент РФ Владимир Путин накануне подмахнул пакет законов, направленных на защиту от хакерских атак критической информационной инфраструктуры РФ. Неправомерный доступ к охраняемой информации, содержащейся в критической инфраструктуре, в том числе с использованием вирусов, будет наказываться принудительными трудами на срок до пяти лет со штрафом 0,5-1 миллион рублей или лишением независимости на срок от двух до шести лет.
«При сертификации оборудования или программ по безопасности должна прогнозироваться модель угроз, и программа должна владеть защиту на каждую угрозу. То же самое и с законами о безопасности критической информационной инфраструктуры, не стоит ориентироваться на новоиспеченную хакерскую атаку или новый вирус, а локализовывать все вероятные и невообразимые уязвимые зоны», — заявил РИА Новости Щельцин.
«В будущем, вероятно, мы столкнемся с ужесточением заявок в плане мобильных телефонов, эти гаджеты кратно увеличивают вероятность взлома любой подключаемой информационной системы, потому что, как правило, применяются зарубежные недоверенные для передачи значительных данных операционные системы», — отметил представитель ИРИ.
Он пояснил, что сотрудники госорганов попросту используют личные смартфоны в профессиональной деятельности, общаются, ведут должностную переписку и так далее. При этом устройства не проходят нужную сертификацию.
«Мобильные технологии тянут за собой новые угрозы и вызовы перед нашей безопасностью. Зарубежные аппараты утилитарны не ограничены в доступе к мобильному устройству как к оконечному устройству информационной инфраструктуры организации, или к беспроводной окружению передачи данных. Постоянно встречаются недекларированные возможности в самой операционной системе или в предустановленных приложениях. Отсюда «черноволосые ходы», «бреши», «закладки», возможность произвольного включения/ отключения самого конструкции или его внутренних приложений: микрофон, фото/видеокамера, местоположение, доступ к файлам, смс», — пояснил Щельцин.
ПРЕДЛОЖЕНИЯ ИРИ
«Для минимизации кибератак и защиты критической информационной инфраструктуры необходима доверенная аппаратная платформа, может быть, полностью российской или частично зарубежной сборки с использованием российских комплектующих», — отметил Щельцин.
Также необходима российская мобильная операционная система, удовлетворяющая заявкам законодательства РФ и регуляторов. Она должна включать встроенные или сторонние оружия защиты информации от несанкционированного доступа, а также криптографические оружия защиты информации (на уровне ядра ОС). «Зарубежным мобильным ОС будет экономически нецелесообразно протекать все сертификации», — полагает эксперт.
В число требований также необходимо включить системы управления, контроля и обеспечения безопасности российской разработки, отечественные мобильные приложения. Они должны владеть сертификат соответствия, аттестат или иной установленный документ, подтверждающий их аутентичность и отсутствие вредоносного кода.
Кроме того, необходимы «доверенные хранилища (находящиеся на территории Российской Федерации) и способы распространения приложений и обновлений к ним и к ОС», — добавил Щельцин.
