Госконтроль: местные самоуправления не могут обеспечить свою кибербезопасность ({{commentsTotal}})

Иллюстративное фото.
Иллюстративное фото. Автор: Kristina Alexanderson/CreativeCommons

Аудит Госконтроля, опубликованный 12 июня, показал, что безопасность доверенных самоуправлениям данных надлежащим образом не обеспечена: риски, связанные с ИТ-защитой, не осознаются, поэтому плохо выполняются и установленные государством требования, хотя к настоящему времени они действуют уже почти 10 лет. 

Ни в одном из проверенных самоуправлений не была оценена потребность в защите информации, содержащейся в базах данных. В некоторых самоуправлениях имеются сложности с применением мер безопасности даже самой низкой степени защиты. Во многих местах ИТ-пользователям необдуманно предоставлены неограниченные права, часто отсутствовал и обзор, кто и к чему вообще имеет доступ, управление паролями было неудовлетворительным, установка патчей часто была предоставлена пользователям, легальность программного обеспечения в рабочих компьютерах не проверялась.

Комментируя результаты аудита, государственный контролер Янар Хольм сказал, что в отношении некоторых местных самоуправлений у аудиторов Госконтроля создалось впечатление, что они напоминают "дикий Запад", куда слухи о действующих в Эстонии требованиях к содержанию инфосистем еще не дошли.

Примеры крупных инцидентов:

В 2017 г. были взломаны камеры видеонаблюдения в четырех МСУ Харьюмаа. Для этого использовались незалатанные защитные отверстия камер и неограниченность доступа к устройству.

В 2017 году работник Вильяндиской музыкальной школы из-за неосведомленности разрешил доступ к своему компьютеру в ответ на телефонный звонок, в котором позвонивший сказал на английском языке, что он является представителем Microsoft и ему нужен доступ к компьютеру, поскольку компьютер кишит вирусами. К тому времени, когда ИТ-специалисты установили причину, на компьютер был уже установлен пароль. Однако на этот раз мошенники данных не получили.
Стоит упомянуть и произошедшую в 2017 году масштабную утечку пользовательских данных (более 550 пользовательских аккаунтов) через установленный в компьютеры Тартуского центра профессионального образования т. н. "клавиатурный шпион".

В 2014 году во многих МСУ произошел "фишинг", когда служащим было отправлено электронное письмо на эстонском языке, в котором призывали обновить и исправить свои контакты, а также контакты коллег и учреждения в одной базе данных.

В 2013 году несколько школ столкнулись с подсаженными на веб-сервер школы порносайтами, сайтами, распространявшими вирусы и сайтами по продаже лекарств.

В 2010 году неизвестные мошенники получили доступ к серверам Нарвской Кесклиннаской гимназии, через которые было перенаправлено около 3700 звонков телефонных пользователей Майами и Кубы. Гимназии был представлен счет на 24 000 евро, который был оплачен из бюджета города Нарвы.

Редактор: Артур Тооман



ERR kasutab oma veebilehtedel http küpsiseid. Kasutame küpsiseid, et meelde jätta kasutajate eelistused meie sisu lehitsemisel ning kohandada ERRi veebilehti kasutaja huvidele vastavaks. Kolmandad osapooled, nagu sotsiaalmeedia veebilehed, võivad samuti lisada küpsiseid kasutaja brauserisse, kui meie lehtedele on manustatud sisu otse sotsiaalmeediast. Kui jätkate ilma oma lehitsemise seadeid muutmata, tähendab see, et nõustute kõikide ERRi internetilehekülgede küpsiste seadetega.
Hea lugeja, näeme et kasutate vanemat brauseri versiooni või vähelevinud brauserit.

Parema ja terviklikuma kasutajakogemuse tagamiseks soovitame alla laadida uusim versioon mõnest meie toetatud brauserist: