КаПо: угрозы безопасности недооцениваются, на охрану гостайны не хватает ресурсов

По оценке Полиции безопасности (КаПо), ряд угроз для безопасности Эстонии недостаточно осознается, и на защиту государственной тайны не хватает средств.
"На основании проведенных в последние годы проверок можно констатировать, что угрозы в сфере безопасности недостаточно осознаются, а на охрану и обеспечение физической защиты информации, признанной государственной тайной, не выделяется достаточно ресурсов", - говорится в опубликованном во вторник ежегоднике КаПо.
В Полиции безопасности напомнили, что одним из главных направлений ее деятельности является, в том числе, защита гостайны - как от злонамеренных действий, так и от небрежного обращения.
"Меры, которые принимаются для предотвращения небрежности и, тем самым, разглашения гостайны, должны быть достаточными и соответствующими требованиям времени", - подчеркнули в КаПо.
"Мы часто видим, что действующие правовые акты не соблюдаются с достаточной добросовестностью. Мы вынуждены еще раз повторить, что учреждения, которые работают с государственной тайной, должны сообщать о нарушениях сразу, а не через недели или месяцы", - говорится в ежегоднике.
В КаПо отметили, что при организации защиты гостайны часто действуют, не выходя из зоны комфорта. "Обеспечивая защиту гостайны, нужно постоянно анализировать окружающую обстановку в сфере безопасности, а также физическую обстановку, и соответственно повышать эффективность мер по защите гостайны", - подчеркивается в отчете.
В КаПо указали, что у лица, которое организует защиту гостайны, должны быть широкие специальные знания для выполнения этой задачи, однако это часто делается в дополнение к основной работе или иным трудовым обязанностям, в связи с чем на данную сферу слишком часто не выделяется достаточно персонала, времени и технических ресурсов.
Согласно представленным в ежегоднике пояснениям, защита гостайны включает в себя технологии, физическую охрану и обучение. Технологический аспект предполагает осведомленность о современных ИТ-решениях, потому что обработка гостайны в основном происходит в электронном виде. Физическая охрана означает, что, поскольку ИТ-системы должны находиться в защищенной зоне, то организующее охрану гостайны лицо должно разбираться как в принципах физической охраны, так и в системах сигнализации и охраны. Аспект обучения означает, что организующее охрану гостайны лицо должно уметь проводить обучение по защите гостайны и электронной информации для других работников.
Сохраняются проблемы с ИТ-безопасностью
КаПо описывает в своем ежегоднике произошедшие в прошлом году кибератаки и их последствия, констатируя, что несколько таких нападений в Эстонии можно было предотвратить правильными действиями.
"Киберинциденты в Эстонии, которые привлекли к себе внимание в прошлом году, - утечка данных предприятий и кража 290 000 фотографий на документы, - стали возможными из-за уязвимости государственных систем и устаревшего программного обеспечения. Этих ошибок можно было с легкостью избежать", - подчеркнули в КаПо.
"Как отмечает Департамент государственной инфосистемы, эстонские учреждения недостаточно быстро реагируют на серьезные риски безопасности", - отметили в Полиции безопасности, задав вопрос: "Если мы не привыкли достаточно серьезно относиться к известным уязвимостям, сможем ли мы выявить риски, которые пока остаются незамеченными?".
По оценке КаПо, это касается не только программного обеспечения и аппаратных средств, но и людей: риски кибербезопасности создаются не только через сети и компьютеры, но и попытками продвигать на правильную должность завербованных людей, что характерно для враждебной разведдеятельности.
Полиция безопасности упоминает и о кибератаках на западные страны, в том числе на Эстонию, проведенных при поддержке России в контексте войны в Украине: "Сейчас мы больше, чем в любое другое время, нуждаемся в ответственном киберповедении, выявлении возможных уязвимостей в своих системах и их устранении, а также в хорошем взаимодействии как внутри государства, так и между другими государствами, чтобы Эстония была защищена и в киберпространстве".
Редактор: Андрей Крашевский