МОСКВА, 27 июл - ПРАЙМ. Требования к мобильным гаджетам чиновников и госкомпаний надо ужесточить с точки зрения кибербезопасности, речь идет, прежде всего, об устройствах с зарубежными операционными системами, считает директор по проектной деятельности Института развития интернета (ИРИ) Арсений Щельцин.
Президент РФ Владимир Путин накануне подписал пакет законов, направленных на защиту от хакерских атак критической информационной инфраструктуры РФ. Неправомерный доступ к охраняемой информации, содержащейся в критической инфраструктуре, в том числе с использованием вирусов, будет наказываться принудительными работами на срок до пяти лет со штрафом 0,5-1 миллион рублей или лишением свободы на срок от двух до шести лет.
"При сертификации оборудования или программ по безопасности должна прогнозироваться модель угроз, и программа должна иметь защиту на каждую угрозу. То же самое и с законами о безопасности критической информационной инфраструктуры, не стоит ориентироваться на новую хакерскую атаку или новый вирус, а локализовывать все вероятные и невероятные уязвимые зоны", - заявил РИА Новости Щельцин.
"В будущем, вероятно, мы столкнемся с ужесточением требований в плане мобильных телефонов, эти гаджеты кратно увеличивают вероятность взлома любой подключаемой информационной системы, потому что, как правило, применяются зарубежные недоверенные для передачи важных данных операционные системы", - отметил представитель ИРИ.
Он пояснил, что сотрудники госорганов просто используют личные смартфоны в профессиональной деятельности, общаются, ведут служебную переписку и так далее. При этом устройства не проходят нужную сертификацию.
"Мобильные технологии влекут за собой новые угрозы и вызовы перед нашей безопасностью. Зарубежные аппараты практически не ограничены в доступе к мобильному устройству как к оконечному устройству информационной инфраструктуры организации, или к беспроводной среде передачи данных. Постоянно встречаются недекларированные возможности в самой операционной системе или в предустановленных приложениях. Отсюда "черные ходы", "бреши", "закладки", возможность произвольного включения/ отключения самого устройства или его внутренних приложений: микрофон, фото/видеокамера, местоположение, доступ к файлам, смс", - пояснил Щельцин.
ПРЕДЛОЖЕНИЯ ИРИ
"Для минимизации кибератак и защиты критической информационной инфраструктуры нужна доверенная аппаратная платформа, может быть, полностью российской или частично зарубежной сборки с использованием российских комплектующих", - отметил Щельцин.
Также необходима российская мобильная операционная система, удовлетворяющая требованиям законодательства РФ и регуляторов. Она должна включать встроенные или сторонние средства защиты информации от несанкционированного доступа, а также криптографические средства защиты информации (на уровне ядра ОС). "Зарубежным мобильным ОС будет экономически нецелесообразно проходить все сертификации", - полагает эксперт.
В число требований также необходимо включить системы управления, контроля и обеспечения безопасности российской разработки, отечественные мобильные приложения. Они должны иметь сертификат соответствия, аттестат или иной установленный документ, подтверждающий их аутентичность и отсутствие вредоносного кода.
Кроме того, нужны "доверенные хранилища (находящиеся на территории Российской Федерации) и способы распространения приложений и обновлений к ним и к ОС", - добавил Щельцин.