Безопасность как фактор доверия
Первое заседание образованной в Региональном общественном центре интернет-технологий (РОЦИТ) Комиссии по облачным технологиям, хостингу и информационной безопасности было посвящено обеспечению безопасности дистанционного электронного голосования (ДЭГ). По данным Центральной избирательной комиссии, в единый день голосования 10 сентября 2023 г. воспользовались возможностью проголосовать дистанционно 3,77 млн человек. В 2024 г. это число достигнет 10 млн, и воспользоваться ДЭГ смогут жители 30 субъектов Российской Федерации.
Ключевым вопросом использования ДЭГ является доверие к его сервисам. "Все больше людей голосуют через интернет, и критически важно оперативно отражать возникающие угрозы и задействовать надежные механизмы защиты с использованием передовых технологий и методов", - заявил председатель Комиссии РОЦИТ по облачным технологиям, хостингу и информационной безопасности, генеральный директор ООО "ЭджЦентр" ("EdgeЦентр") Михаил Шурыгин. Он при этом обратил внимание на угрозы со стороны не только хакеров, но и разного рода манипулятивных технологий (фишинг, социальная инженерия) и информационных вбросов.
Член Центральной избирательной комиссии Российской Федерации Антон Лопатин заявил, что ЦИК в течение пяти лет работы ДЭГ накопил большой опыт по обеспечению бесперебойной работы, несмотря на то что пришлось идти во многом неизведанным путем, поскольку другой опыт в мире просто отсутствует. Объективной сложностью обеспечения доверия к ДЭГ он назвал повышенные требования к наблюдателям на выборах, которые должны не только понимать, как проходит избирательный процесс, но и иметь определенный уровень технической подготовки. Также Антон Лопатин отметил, что данные об избирателях необходимо постоянно актуализировать: каждый год происходит около 20 млн тех или иных изменений, так что сопоставление регистра избирателей с данными портала "Госуслуги" является непростой задачей.
Директор по развитию направления кибербезопасности "EdgeЦентра" Артем Избаенков призвал действовать проактивно, чтобы опережать злоумышленников и быть готовым отвечать на новые вызовы - например, на рост мощности DDoS-атак или применение дипфейков для информационного манипулирования. При этом он подчеркнул, что дипфейки могут распространяться не только обычными людьми или блогерами, но и СМИ, что усиливает эффект от атаки. Артем Избаенков предложил создать специальные механизмы мониторинга и контроля активности потенциальных злоумышленников. Причем работать эти механизмы должны постоянно, а не только в период выборных кампаний, и при этом с применением технологий защиты от цифровых рисков (DRP, digital risk protection), в частности, отслеживать активность на разного рода хакерских ресурсах, в том числе непубличных.
https://www.comnews.ru/content/226023/2023-05-11/2023-w19/drp-ne-prikho…
Директор по стратегии BI.ZONE Евгений Волошин назвал тревожной тенденцией рост компетенций злоумышленников: если раньше хактивисты ограничивались лишь участием в DDoS-атаках, то сейчас не редкость проведение высокотехнологичных операций с проникновением в инфраструктуру той или иной компании или учреждения для получения доступа к данным или уничтожения инфраструктуры с помощью необратимого шифрования.
Директор центра мониторинга и реагирования на кибератаки группы "Солар" Владимир Дрюков обратил внимание на необходимость киберпросвещения самых широких масс участников избирательного процесса - только так можно бороться с фишингом и социальной инженерией. Директор Центра компетенций по импортозамещению в сфере информационно- коммуникационных технологий Илья Массух обратил особое внимание на обучение не только рядовых избирателей, но и представителей избирательных комиссий, СМИ и общественных организаций, в том числе действиям в случае атак и прочих нештатных ситуаций.
Также Владимир Дрюков обратил внимание, что именно рядовые пользователи и их потенциально скомпрометированные устройства являются главным "слабым звеном" в системе, что может привести к непредсказуемым результатам. Эксперт РОЦИТ Максим Ксензов подчеркнул, что будет достаточно буквально одного доказанного случая, когда голосование прошло не так, как хотел тот или иной избиратель, чтобы нанести ДЭГ серьезный репутационный ущерб.