Чиновник на удалёнке: Минцифры и ФСТЭК готовят ряд решений для работы в новой реальности

Интернет-портал Tadviser.ru, февраль, 2021

Экспертный комментарий Сергея Груздева, генерального директора компании "Аладдин Р.Д."

Неожиданная удалёнка

Когда осенью 2019 года Московская областная дума приняла закон, разрешающий переводить местных госслужащих на удалённую работу, это выглядело как эксперимент с отдалённой перспективой тиражирования на всю страну. До сих пор удалёнка выглядела уделом преимущественно разработчиков и фрилансеров. Но добравшаяся до России новая коронавирусная инфекция сделала дистанционную работу неожиданной реальностью для многих чиновников по всей стране в марте 2020-го.

Правительство поручило федеральным органам исполнительной власти с 27 марта перевести максимальное число сотрудников на удалённую работу в связи с инфекцией. Также принимались инициативы на уровне регионов.

В Минцифры говорят, что у них нет данных, сколько всего госслужащих тогда в пике перешло на удалёнку. Но исход чиновников из офисов в некоторых федеральных ведомствах принял впечатляющий размах. Так, к примеру, в апреле Минэнерго отчитывалось о переводе домой 70% своих сотрудников.

Оказались не готовы, не хватило денег

Оглядываясь назад, можно сказать, что госсектор тогда не был в высокой степени готовности к переходу на удалёнку. Директор департамента проектов по информатизации Минцифры Константин Гурзов, выступая на форуме по безопасности в феврале 2021 года, отметил, что тогда случилось всё достаточно резко, вышли постановления правительства, в которых говорилось, чтобы их ведомство помогло обеспечить перевод на удалённую работу госслужащих.

В апреле и мае 2020-го Минцифры провело опрос 64 ФОИВ, который выявил цифровое неравенство в ведомствах и наличие проблем с базовыми сервисами. Он показал, например, что 28% госслужащих не имеют корпоративной почты и используют популярные почтовые сервисы, как российские, так и зарубежные. А 83% ФОИВ используют сервисы Microsoft для организации почты. 59% ФОИВ не используют интеграций с коммуникационными системами, 19% не имеют комплементарных базовых сервисов (организация встреч, календари рабочего времени и пр.).

Кроме того, у ведомств сильно разнятся бюджеты на цифровизацию, и не у всех была возможность резко взять и обеспечить безопасные удалённые рабочие места большому числу своих сотрудников, отметил Константин Гурзов.

Особенно много вопросов возникло к информационной безопасности на удалёнке. Несмотря на то, что все занимаются вопросами безопасности, когда встал вопрос о переходе на удалённый режим работы, оказалось, что многие не очень к этому готовы, отметил замдиректора ФСТЭК Виталий Лютиков на той же конференции в феврале 2021 года. Он пояснил, что, говоря о готовности, ориентируется в первую очередь на госсектор и критическую информационную инфраструктуру (КИИ).

Если в действующей парадигме, согласно нормативной базе, организации стремятся обеспечить контроль периметра инфраструктуры, то при переходе работников на удалённый режим периметр начинает размываться. Самым оптимальным вариантом была бы выдача организацией сотруднику удалённого рабочего места с предустановленным ПО, всеми настройками, блокировками и т.д. По этому пути ФСТЭК и пошёл, когда тогда выпускал первые рекомендации, связанные с удалённым доступом, отметил Лютиков. Но и тут реализация уперлась в деньги.

Потом оказалось, что нет средств. Это огромные затраты. Хорошо, если у кого-то есть, но в большинстве случаев их не оказалось, - констатировал замдиректора ФСТЭК.

В этих условиях, добавил он, нужно было оценивать угрозы и принимать какие-то другие решения. Первая угроза, очевидно, связана с рабочим местом пользователя. Если пользователю дают право доступа к ресурсам, допустим, документооборота госоргана или госкомпании, то средство, с которого обеспечивается этот доступ, считается уже не доверенным.

Виталий Лютиков пояснил, что устройство в этом случае не подчиняется политикам безопасности, установленным в госоргане, непонятно, какой установлен на нём софт, какие там есть уязвимости и т.д. В таких условиях количество угроз, связанных с воздействием на рабочее место, начинает расти.


Кстати, отмечу про 2020 год: кто-то внёс изменения в действующие модели угроз? Через нас такие прецеденты точно не проходили. Это к вопросу готовности. Никто не кинулся вносить изменения в действующие модели. Все госорганы и госкомпании, допустим, перешли на удалённый режим работы, а внесение изменений в действующие модели … я что-то такого не замечаю, – сказал замдиректора ФСТЭК. – Может, конечно, они как-то проходили вне нашего поля. Тогда хорошо, хотя бы так. Но это маловероятно.

Помимо самого конечного устройства вопросы по части безопасности возникают и к роутеру, к которому оно подключено, и к сети. Представитель ФСТЭК считает, что вопросы безопасности удалённого рабочего места еще долго будут актуальны.

Всегда готов: типовое автоматизированное рабочее место сотрудника

И действительно, несмотря на то, что по состоянию на февраль 2021-го многие чиновники и сотрудники компаний, в разгар пандемии в России ушедшие на удалёнку, уже вернулись в свои офисы, дистанционная работа теперь выглядит как реальная работающая опция, к которой можно прибегнуть при разных обстоятельствах, в том числе и в госсекторе. Вопрос готовности остаётся в силе.

На этом фоне дистанционную работу в России недавно легализовали: с 1 января 2021 года вступил в силу федеральный закон, подписанный президентом Владимиром Путиным, о дистанционной работе, которым проясняются многие "серые" области, остававшиеся в этой сфере.

Минцифры ещё до пандемии прорабатывало проект создания типового автоматизированного рабочего места (ТАРМ) госслужащего в рамках "Цифровой экономики", а в период пандемии этот проект получил толчок к ускоренному развитию с расчётом, в том числе, на возможность дистанционной работы для госслужащего с личного компьютера.

Константин Гурзов рассказал, что в рамках ТАРМ весной 2020-го госслужащим федерального уровня начали предоставлять два сервиса, как наиболее востребованные на тот момент: видеоконференцсвязи на базе решения TrueConf и мгновенных сообщений MyTeam. Они были развёрнуты на отдельных серверах в НИИ "Восход", уточнил он TAdviser.

Необходимость на тот момент быстро "причесать под одну гребёнку" весь госсектор федерального уровня для того, чтобы им эти сервисы предоставить и обеспечить линию поддержки, было сложной задачей, отметил Гурзов.

В 2021 году ведомство планирует начать предоставление ТАРМ с полным набором сервисов. Эта платформа позиционируется как инструмент безопасной удалённой работы с информацией ограниченного доступа (ДСП), обеспечивающая возможность работы с любого типа устройств, включая домашние ПК.


Мы планируем это направление развивать. Сейчас готовится концепция, подразумевающая создание комплексного платформенного решения ТАРМ, на которое через VPN смогут заходить пользователи и выбирать необходимые им сервисы. В их числе будут сервисы для управления проектной деятельностью, социализации, возможности управлять календарями и встречами и т.д. Это портал, который в плиточном интерфейсе позволял бы их выбирать, - пояснил TAdviser директор департамента проектов по информатизации Минцифры.


В Минцифры рассчитывают написать концепцию до лета 2021-го и осенью начать предоставлять ТАРМ как платформенное решение, начав с федеральных госорганов. Но в Минцифры рассматривают дать доступ к ТАРМ в дальнейшем и госорганам регионального уровня.

Развернуть ТАРМ планируется на базе государственной единой облачной платформы ("Гособлако"). Константин Гурзов пояснил в разговоре с TAdviser, что уже существующие сервисы видеоконференцсвязи и мгновенных сообщений вскоре будут переезжать на инфраструктуру "Гособлака" и предоставляться оттуда.


Функциональным заказчикам мы хотим предоставлять сервисы ТАРМ бесплатно. Но здесь есть много нюансов, связанных с тем, чтобы всё правильно рассчитать. С учётом, что мы являемся главным распорядителем средств соответствующего бюджета и нам будет необходимо предоставлять финансирование по облаку, это довольно сложная история с точки зрения денег. С одной стороны, если смотреть упрощённо, кажется, что всё это дешёво, но когда это обрастает множеством сервисов, получается довольно значительная сумма, а на существующее количество чиновников получаются миллиарды рублей, - пояснил TAdviser Константин Гурзов.


Безопасность на флешке

На конференции в феврале Гурзов также рассказал, что было решено пойти еще одним путём – использования аппаратного решения, которое позволяло бы госслужащим осуществлять подключение с личного компьютера и к сервисам ТАРМ, и к сервисам внутренней корпоративной сети через удалённое подключение к рабочему столу служебного компьютера (Remote Desktop), или вести работу с виртуальным рабочим столом (VDI). Идея "зашла". По поручению правительства Минцифры совместно с ФСТЭК и ФСБ организовали рабочую группу с представителями разработчиков операционных систем и защищённых продуктов для выработки требований к такому решению.

Участники группы сошлись на том, что реализовать безопасное удалённое рабочее место можно на базе технологии Live USB – решения, содержащего крипто-токен со встроенной защищённой флеш-памятью, с сертифицированной защищённой ОС и др. Подобное решение полностью изолирует пользователя от любого стороннего контента, который он может скачать, от открытых интернет-источников, пояснил Константин Гурзов.

Представитель Минцифры рассказал TAdviser, что по состоянию на февраль 2021-го требования к такому решению уже разработаны и согласованы с ФСТЭК и ФСБ, но пока они носят характер ДСП. Однако это уже даёт возможность проводить пилотные проекты. А ФСТЭК как регулятор готовится выпустить приказ с регистрацией в Минюсте. С этого момента требования вступят в действие.

При разработке требований к USB-решению в Минцифры ориентировалось, прежде всего, на госслужащих, отметил Константин Гурзов в разговоре с TAdviser. Он отметил, что аппаратное решение на базе Live USB будет одним из вариантов легитимного использования корпоративных ресурсов вовне. Оно позволило бы использовать для работы и личный, недоверенный компьютер, и загружать компьютер с внешнего USB-накопителя.

При организации удалённой работы госорганы должны руководствоваться мерами защиты, утверждёнными ФСТЭК в рамках приказа N17. Но тут, как упоминалось ранее, встает вопрос цены. Чтобы соответствовать этим требованиям, нужно купить сотруднику ноутбук, оснастить его наложенными средствами защиты, поставить специализированное ПО, пояснил Гурзов, добавив, что это выходит дороже, чем использование USB-решения.

Сергей Груздев, генеральный директор компании "Аладдин Р.Д.", участвовавший в рабочей группе с регуляторами по разработке требований к аппаратному решению по безопасной дистанционной работе сотрудников при использовании ими личных средств вычислительной техники и уже предлагающий на рынке сертифицированный продукт на базе технологии Live USB, соответствующий этим требованиям, оценил, сколько может стоить организация рабочего места в соответствии с требованиями в рамках приказа ФСТЭК России N17.


Нормальный ноутбук стоит где-то 75 тыс. рублей, может быть и под 100 тыс. Средства защиты, которые необходимо установить в соответствии с требованиями ФСТЭК России, составляют порядка 30%, а то и до 50% от стоимости ноутбука. Это огромные дополнительные расходы, особенно, если организация очень крупная. Используя технологию Live USB, можно организовать удалённое рабочее место с гораздо меньшими затратами. Собственно, изначально идея разработки требований для такого решения родилась из экономических соображений: дать возможность государственным структурам, которые обязаны выполнять требования по защите информации, организовать удалённое рабочее место с меньшими затратами, - пояснил Сергей Груздев.


По словам ген. директора "Аладдин Р.Д.", интерес к решению уже проявили ряд крупных госкомпаний и ведомств, запущены ряд пилотных проектов в организациях, но о деталях и результатах пока говорить преждевременно.

Говоря о потенциальных масштабах сбыта решения на базе Live USB в госсекторе, Константин Гурзов в разговоре с TAdviser привёл оценку, что без силовиков в общей сложности насчитывается порядка 1,3 млн госслужащих. Но удалённая работа нужна не всем. Если брать очень обобщённо, то это минимум порядка 200-300 тыс. госслужащих, где можно тиражировать Live USB.

Решение также может оказаться востребованным и в силовых структурах, и в госкорпорациях, полагает Гурзов.

ПК, который везде с тобой

Но это не всё. Не исключено, что в перспективе у чиновников появится еще одна опция для организации удалённых рабочих мест, позволяющая соответствовать установленным требованиям безопасности. Источник TAdviser, близкий к рабочей группе, разрабатывавшей требования к решению на базе Live USB, говорит, что в Минцифры также обсуждают вопрос возможности использования в госсекторе мини-компьютеров – носимых устройств на базе маленькой микросхемы, которые содержат в себе крипто-токен.

Защищённый мини-компьютер можно было бы брать с собой и на работу, и домой, говорит собеседник TAdviser. Такие компьютеры на базе новой гарвардской архитектуры разрабатывает, в частности, "ОКБ САПР".

Насколько перспективен такой способ организации безопасного рабочего места для удалёнки – во многом будет определяться ценой. Кроме того, встаёт вопрос удобства: если использовать тот же мини-компьютер и дома, и на работе, насколько удобно будет каждый раз его переподключать к различным устройствам.


Поделиться публикацией

Другие публикации