Мы должны признать, что живем в условиях, когда нас окружают иностранные технологии, в первую очередь IT. Мы все пользуемся западными технологиями, живем с ними и зависим от них. Это телевидение, телефоны, ПК, ноутбуки, бытовая техника и пр.
Что можно сказать про информационную безопасность, когда в технологиях может быть «зашито» все что угодно? Например, та же Microsoft неоднократно привлекалась в США к суду за то, что американские же фирмы обнаруживали утечку информации по интернет-каналу при установке продуктов компании (таких как, например, Internet Explorer и пр.). И я лично читал, как Microsoft оправдывалась, что таким образом они собирают статистику, которая позволит улучшить продукт. Я не сомневаюсь в том, что западные компании собирают статистику, чтобы улучшить нашу жизнь. И стоит признать, что мы должны научиться жить в таких условиях.
Мой знакомый, заместитель начальника департамента ЦБ РФ, однажды сказал: «Каждое утро, когда я прихожу на работу, я готов отдать пропуск на проходной, потому что если будет принято решение об увольнении, дальше работника не пускают, он сдает пропуск, и начинается процедура увольнения… Я к этому привык, и вся моя семья знает об этом». И мы должны привыкнуть к тем условиям, в которых сейчас живем: нас везде снимают камеры, наша жизнь может быть записана и т.п.
Сфера обязательного медицинского страхования (ОМС) — это сфера деятельности нашего государства, которое гарантирует оказание бесплатной медицинской помощи каждому застрахованному лицу. Эту помощь оказывает Минздрав. Мы же, ФОМС, — финансово-кредитное учреждение. Мы ежегодно получаем деньги на ОМС и по определенному алгоритму переводим их субъектам. Основной закон, по которому мы живем, — ФЗ-326 «Об обязательном медицинском страховании в РФ».
Федеральный фонд получает информацию от страхователей работающих граждан. У нас такими страхователями являются фирмы, которые страхуют своих работников, а также индивидуальные предприниматели. Вся эта информация поступает в Пенсионный фонд, который передает ее нам, в систему ОМС. Как в федеральный фонд, так и в территориальные фонды. А страхователи неработающих граждан (пенсионеров, детей, студентов, инвалидов) — это руководство субъектов РФ, которое сообщает эти данные в федеральный и территориальные фонды.
Система ОМС состоит из федерального фонда и 84 территориальных фондов (в ближайшее время появятся еще 2 в Крыму). Особенность системы ОМС в том, что территориальные фонды ведут базы данных застрахованного населения, которые состоят из двух сегментов: персональные данные и данные об оказанной каждому гражданину медицинской помощи. И система такова, что есть территориальные фонды и страховые медицинские организации — коммерческие структуры, которые каждый год участвуют в конкурсе, и если выигрывают, заключают договора. В зависимости от того, какое количество граждан застраховано в организации, она получает деньги на медицинское обеспечение. После экспертизы оказанной медицинской помощи она сразу расстается с ними.
В 2012 году у нас было 70 страховых организаций. Сейчас примерно столько же. В России в 2012 году, по официальным данным, было 142,5 млн застрахованных людей, а по неофициальным данным из «Единого регистра застрахованных лиц» (ЕРЗ) на 1 января 2014 года — 144,13 млн человек. Это граждане, персональные данные которых есть в системе ОМС. Все они хранятся не у нас, а в территориальных фондах, страховых и медицинских организациях. Они осуществляют реализацию практической программы, ведут базы данных и защищают эти сведения. У федерального фонда персональных данных нет. Тем не менее мы ведем ЕРЗ. У нас по всей России есть защищенные каналы связи, с помощью российской криптографии, естественно. У нас есть удостоверяющий центр, а также концепция информационной безопасности.
Первая проблема, с которой мы сталкиваемся, — это недостаточная компетентность специалистов по информационной безопасности тех коммерческих фирм, которые предлагают свои услуги. Недаром в этих фирмах работает масса людей, которые вышли из ФСТЭК, 8-го Центра ФСБ и т.д. Они, по крайней мере, являются специалистами в своей области. И им можно доверять. Но когда приходит специалист, утверждает, что он все может, и начинает говорить какую-то ересь…
Вторая проблема — это то, что нас окружают импортные технологии. И как защититься от утечки информации с их помощью, я не знаю. Другими словам, нам нужно учиться работать, подразумевая, что такая утечка есть. Например, если есть критически важная информация, ее надо шифровать. И наверняка шифрование должно проходить не на том компьютере, который доступен из интернета или других фрагментов сети.
Еще одна проблема — недостаточная компетентность персонала. В частности, в сфере ОМС. Нам постоянно приходится обучать всех правилам информационной безопасности. Например, недавно мы разослали очередное письмо о том, что по требованию работника федерального фонда один территориальный фонд по факсу послал конфиденциальную информацию с персональными данными. В очередной раз мы будем проводить служебное расследование. И такую работу надо вести постоянно. Компетентность персонала — это одна из важнейших составляющих не только строительства технической ИБ-системы, но и создания соответствующего климата.
Недавно мы вернулись из Владивостока, и там приводили цифры, что по специальности «Информационная безопасность» ежегодно выпускается столько-то сотрудников, а организации продолжают испытывать кадровый голод. Куда же деваются эти специалисты? А нам говорят: они приходят и ничего не знают. Но зачем выпускать некомпетентного ИБ-специалиста, который не в состоянии работать в этой сфере и не может дать чего-то полезного? В принципе, система подготовки специалистов по информационной безопасности у нас не продумана и адресно не ориентирована. Сейчас мы получаем «полуфабрикат», который должен 3 года поработать у тебя, ты его обучишь, после чего он станет специалистом и, естественно, уйдет работать в банк. Так поступали практически все специалисты, которые прошли через наш отдел. У нас путь такой…
Владимир Поихало выступал на конференции «ИБ бизнеса и госструктур: актуальные решения», которая проходила 22 мая в Москве.
