ИБ. Проблемы применения ЭП в организации
В РФ создается все больше
информационных систем, которые требуют от пользователей – сотрудников
коммерческих и гос. организаций наличия электронной подписи. Появляется всё
больше возможностей для взаимодействия граждан, организаций и государства в
электронной форме.
В той же отрасли здравоохранения
чуть ли не всему медицинскому персоналу нужно обзавестись ЭП: электронные
больничные (ПП РФ от 16.12.2017 N 1567),
рецепты, мед. справки и заключения, согласие на мед. вмешательство,
документирование телемедицинских услуг в электронном виде (N 242-ФЗ от
29.07.2017), маркировка обращения лекарственных средств (№ 425-ФЗ от 28 декабря
2017 г.), проект Минздрава “Электронное здравоохранение” до 2025 г. – не менее
99% рабочих мест мед. работников оборудовано ЭП.
При этом вопросы применения,
эксплуатации и обеспечения безопасности ЭП регламентируются либо документами
17-ти летней давности либо не регламентируются вовсе.
Например, не определено, должны
ли ЭП быть выданы на физ. лицо или на юр. лицо? Владельцы ГИС-ов решают этот
вопрос на свое усмотрение. Ответ ФСС: разрешают личные ЭП.
Организации видя существенную
разницу в стоимости, заказывают ЭП на физ. лица. А то и заставляют сотрудников
самостоятельно приобретать и получать ЭП.
В итоге получается в организации
большой кусок серых ИТ: персональные токены с СКЗИ, ключи ЭП которые не
подконтрольны службе ИБ. Какой-то bring your own crypto.
Как выполнить обязательные
требования ФСБ для таких СКЗИ: на каком основании принимать их на баланс? как
учитывать такие ЭП и СКЗИ? как обеспечить их безопасное хранение? как заставить
пользователя сдавать их на хранение? С другой стороны, пользователи – владельцы персональных
ЭП говорят: с какой стати мы будем отдавать вам наши личные токены c ЭП?
А кроме обязательных требований
есть ведь ещё и актуальные угрозы:
·
ЭП сотрудника может быть несанкционированное получена
или пере выпущена злоумышленником;
·
потерян или украден носитель с ключами ЭП;
· вредоносным ПО ключи могут быть извлечены с токена;
·
если пользователь один раз и навсегда подключил
свой токен к компьютеру и никогда не извлекает его – существенно повышаются
шансы на выполнение каких-то несанкционированных операций с ЭП вредоносным ПО;
·
фишинг и социальная инженерия могут заставить
пользователя ввести пароль и подписать какой-то ЭД.
И кстати с развитием электронного документооборота в медицине будет развиваться и рынок услуг кибер мошенников, которые могут наносить значительный ущерб: например, ущерб от поддельного больничного на месяц, ЗП = 30-500 тыс. руб. от одного случая, изменение мед. заключений в системе - может причинить ущерб здоровью пациента, поддельные рецепты - получение наркотических лекарственных средств, подделка льготных рецептов = бесплатное получение лекарств = ущерб сравним с общим рынком лекарственных средств, а это 50 млрд руб. и тп...
Служба ИБ должна разрабатывать
какие-то корпоративные правила безопасного использования ЭП и повышать
осведомленность пользователей. Но как это сделать в случае личных ключей?
Примерно такой вопрос я задавал в
ФСБ России и получил следующий ответ:
Если кратко – то применение личных
ЭП в рабочих системах Организации – это вне закона.
PS: ещё остаются нерешенными такие
проблемные вопросы, как: текущая практика УЦ выпускать отдельные сертификаты ЭП
под каждую отдельную ИС/ГИС; порядок использования ЭП в случае если врач работает
сразу в нескольких Организациях - если записать несколько ключей на один токен,
то приходится разрываться в его учете. Если под каждую организацию свой отдельный
токен – то работникам придется на шее носить ожерелье из токенов.
Комментарии