Комитет цифрового развития объявил о предотвращении угрозы информационной безопасности медучреждениям

10 июня "Секунда" опубликовала материал о том, как областной комитет цифрового развития и связи препятствует работе частных IT-компаний. В администрации области, напротив, уверены, что смогли предотвратить информационную угрозу. Однако сотрудники IT-компаний не понимают, о какой угрозе идет речь. 

info bezopasnost ba32f

Читайте по теме: Комитет цифрового развития Курской области уничтожает рынок IT?

- На днях на одном из популярных интернет-ресурсов прошла информация о препятствиях работе компании «Техно-Щит», которые создает комитет цифрового развития и связи Курской области. Руководители ООО "Техно-Щит" обвинили региональное ведомство в отказе на получение сертификатов доступа к сетям, объединяющим лечебные учреждения. Это, по словам предпринимателей, срывает выполнение ими госконтракта по созданию единой информационной системы для медицинской отрасли региона.

Руководство комитета поясняет, что именно действия подрядчиков заставили принять все меры к обеспечению информационной безопасности, как того требует от них должностной регламент: это ведомство является на территории региона уполномоченным органом в сфере использования информационных технологий и обеспечения защиты информации.

Как пояснил руководитель комитета Борис Юровчик, к их обязанностям также относится формирование и защита Единой информационно-коммуникационной среды Курской области (ЕИКС). По сути, это компьютерная сеть, которая объединяет органы государственной власти и бюджетные, в том числе медицинские учреждения.

- Подключение и выход абонентов из сети ЕИКС, согласно регламенту, должен согласовываться непосредственно с нами, — говорит Борис Юровчик.

Однако, как оказалось, компания "Техно-Щит" самостоятельно приобрела у производителя программно-аппаратных комплексов "ИнфоТеКС" комплекс, предназначенный для настройки и управления защищенной сетью - ViPNet Administrator — и запросила номер новой сети.

- Иными словами, за спиной администрации Курской области была совершена попытка незаконного выхода из сети ЕИКС и создание самостоятельной новой защищённой цифровой сети, обслуживающей медицинские учреждения региона, - ппродолжает Юровчик.

Борис Юровчик упомянул и о прямой финансовой заинтересованности "Техно-Щита" в создании такой сети для комитета здравоохранения.

- Сотрудники медицинского информационно-аналитического центра без консультации и помощи со стороны специалистов ООО "Техно-Щит" не смогли бы организовать процесс выхода. А финансовая заинтересованность заключалась в том, что до начала проведения процедуры закупки программно-аппаратных средств криптографической защиты, "Техно-Щит" забронировал у "ИнфоТеКСа" необходимое оборудование на сумму больше 29 млн рублей, поэтому ни один из партнёров "ИнфоТеКСа" не стал заявляться на стадии проведения закупочных процедур, а значит вся закупка выполнялась бы только "Техно-Щитом".

Таким образом, по мнению руководства, комитет цифрового развития и связи фактически своевременно предотвратил угрозу информационной безопасности медицинским учреждениям.

Кроме этого, в материале также было допущено еще несколько неточностей. Подведомственная комитету цифрового развития и связи компания «Регион-Курск», несмотря на свой статус, не является единственным поставщиком интернета для госорганов. Услуги связи по передаче данных и доступа к единой информационной коммуникационной сети Курской области помимо этой организации представляют также ООО "Авант", ООО "Курсктелеком", ООО "КТК", ООО "Совтест". Также за 10 лет с момента создания "Регион-Курск" ни разу не заключал контракты на услуги с компанией "Ростелеком".

Однако в ООО "Техно-Щит" с такой постановкой вопроса не согласны. 

- Хочется подчеркнуть, что владельцем и оператором нового комплекса, предназначенного для настройки и управления защищенной сетью ЕМИСЗ (ViPNet Administrator) является ОБУЗ «Медицинский информационно-аналитический центр», уставом которого предусмотрена основная цель деятельности – формирование единого информационного пространства в сфере здравоохранения Курской области путём организации на основе современных информационно-коммуникационных технологий системы сбора, обработки, хранения и предоставления информации (а вовсе не ООО «ТЕХНО-ЩИТ»), - комментируют в компании.

Не совсем понятно, что именно мешает комитету цифрового развития и в дальнейшем осуществлять должный контроль использования информационных технологий и обеспечения защиты информации в новой сети как уполномоченному органу?

- Комитет здравоохранения находится на том же уровне структуры Администрации Курской области, что и комитет цифровизации, но видимо, в формулировке «Компьютерные сети больниц должны быть под контролем государства» под государством комитет цифрового развития понимает только себя, а под контролем – непосредственное владение.

В компании напоминают, что подобный случай далеко не первый: в конце 2013 года «Многофункциональный центр по предоставлению государственных и муниципальных услуг» приобрел собственный ViPNet Administrator и в течение 2014 года перевёл криптографическую защиту всей информации, обрабатываемой при предоставлении госуслуг, из ЕИКС в собственную новую сеть. В том же году был назначен на должность председателя комитета информатизации Борис Юровчик.

Ни о каких сложностях и угрозах при выводе из Единой информационно-коммуникационной среды Курской области такой огромной и важной системы предоставления государственных услуг в электронном виде не было слышно, в чём же принципиальное отличие с нынешней ситуацией?

Кроме того, реализуемое в настоящий момент обновление программно-аппаратных комплексов ViPNet до версии 4  направлено на исполнение требований законодательства РФ в части применения прошедших процедуру оценки соответствия средств защиты информации, т.к. сроки действия сертификатов соответствия ФСБ России и ФСТЭК России на версию 3 давно окончены, а централизованного обновления со стороны комитета цифрового развития не предвиделось.

Более того, полный перевод программно-аппаратных комплексов в отдельную защищенную сеть здравоохранения позволит повысить класс криптографической защиты информации до КС3, в то время как ViPNet-сеть Администрации позволяет обеспечить класс криптографической защиты информации не выше КС2, а на отдельных узлах ЕИКС и вовсе до сих пор установлены устаревшие несертифицированные версии ПО ViPNet.

В свете этого стоит задуматься, кто представляет большую потенциальную угрозу информационной безопасности медицинских учреждений.

Для проведения работ по защите информации в соответствии с законодательством Российской Федерации при необходимости привлекаются организации, имеющие соответствующие лицензии на деятельность по защите информации в соответствии с Федеральным законом от 04 мая 2011 г. №99-ФЗ «О лицензировании отдельных видов деятельности».

- Естественно, что привлечение сторонних организаций осуществляется не на безвозмездной основе, однако процедуры по определению исполнителей для выполнения работ по обновлению собственных программно-аппаратных комплексов проводились и проводятся медицинскими организациями в полном соответствии с нормами Федерального закона №44-ФЗ от 05.04.2013 «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», в них могут поучаствовать любые коммерческие организации, имеющие соответствующие лицензии и партнерское соглашение с производителем оборудования. - говорят в компании. 

- Если говорить о финансовой заинтересованности, то с производителем криптографического оборудования ОАО «ИнфоТеКС» силами ООО «ТЕХНО-ЩИТ» были согласованы беспрецедентные специальные условия для Курской области в рамках реализации проекта «Создание единого цифрового контура в здравоохранении на основе единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ)»: перенос оборудования из одной сети в другую, составляющий в обычных условиях 25 % от стоимости программно-аппаратных комплексов ViPNet Coordinator, осуществляется в рамках обновления версий ПО бесплатно, что позволило сэкономить бюджету Курской области в общей сложности более 5,7 млн. руб.

Комментарий по теме 

Из группы Администрации Курской области Вконтакте: 

- Регламент участия в ЕИКС предусматривает возможность выхода в одностороннем порядке. В чем проблема? Что незаконного? Ну надоело какой-то госструктуре бороться с некомпетентными бюрократами, затягивающими на месяцы решение любого вопроса, который можно решить за пять минут — что такого-то? Если комитет цифрового развития считает что кто-то нарушил регламент, всё что они могут сделать это приостановить нарушителю доступ к ЕИКС — все права и обязанности сторон прописаны в регламенте, который они же и сочинили.
У всех поставщиков участвующих в госзакупках есть материальная заинтересованность — так вообще бизнес и работает, если что. Но вот публично отстаивать интересы "нужных" поставщиков, препятствуя работе других, это уже не очень хорошо для чиновника. 
Ну и да — никто не создаёт никаких сетей (они уже давным давно созданы), сейчас лишь осуществляется переход на новые алгоритмы шифрования в рамках исполнения закона. Интересно, если это официальная позиция администрации Курской области, кто-нибудь получит по шапке за предоставление недостоверных сведений? Ведь большая часть материала это прямая ложь.