Недавно в редакцию поступил пресс-релиз компании «Новые облачные технологии» с кратким описанием исследования, посвященного использованию государственными организациями почтового сервиса и, в частности, публичных почтовых серверов. Само исследование, основной акцент которого сосредоточен на проблеме информационной безопасности, выполнено весьма подробно, его результаты находятся в открытом доступе (http://rosgospochta.ru/), поэтому не хотелось бы напрямую повторять его выводы
Постановку задачи, обозначенную в исследовании, по сути можно считать классической и конечно же актуальной, поскольку она, по крайней мере косвенно, наряду с вопросами использования e-mail и нюансами рынка спроса на ИТ-сервисы и их предложения затрагивает культуру автоматизации в целом. Недостаточно защищенные публичные сервисы, в том числе и самый популярный из них — почтовый, — плохо стыкуются с принципами государственного и муниципального управления, которые ассоциируются с регулярным использованием конфиденциальной или даже секретной информации. Мы уже много раз обсуждали эту проблему, демонстрируя данный зазор, хотя к ней можно подойти и с другой стороны. Поставить, например, в качестве первичного вопрос содержательной, прикладной автоматизации бизнес-процессов с помощью тех или иных публичных инструментов, предположив, что проблемы ИТ-безопасности ввиду ясно просматриваемой эффективности гарантированно будут решены. Если не прямо сейчас, то в некоторой перспективе.
Можно начать с того, что одной из наиболее заметных тенденций в госуправлении последнего времени, хотим мы того или нет, является интенсификация электронного взаимодействия исполнительной власти с населением. Основная причина этого в первую очередь связана с целенаправленной политикой развития госуслуг в электронной форме, о чем мы писали уже не раз и не два (см., в частности, http://www.iemag.ru/interview/detail.php?ID=31901). Электронная переписка с гражданами проходит всё интенсивнее также и потому, что автоматизация многих функций контроля за ситуацией в городах и на иных территориях начинает выстраиваться по всему жизненному циклу того или иного инцидента.
Классическим примером данного сценария, о котором мы тоже недавно говорили (http://www.iemag.ru/analitics/detail.php?ID=34012), является автоматизация полного цикла взаимодействия по вопросам нарушения правил дорожного движения — от полученного видеокамерой снимка до электронной переписки с гражданами по поводу взыскания штрафов и смежных претензий.
И тот и другой сценарии требуют весьма плотного взаимодействия с населением, по большей части выходящего в публичные почтовые сервисы. Причем последний из них, отражающий взаимодействие, более содержательно насыщенное и менее регламентированное по форме, может оказаться чувствительнее к утечкам конфиденциальной информации.
В любом случае доля использования публичных почтовых (да и не только почтовых) серверов в сценарии G2C, наверное, будет весьма высока.
Что касается информационного обмена внутри государственных организаций, а также по схеме B2G, то здесь риски утечки конфиденциальных данных более высоки, а экономические последствия подобных инцидентов зачастую более серьезны. А значит, использование публичных почтовых серверов в данном случае вряд ли вообще можно считать допустимым.
Но могут ли проникнуть публичные сервисы вообще и почтовые в частности в сферу государственного управления, и есть ли для этого объективные предпосылки?
Тут полезно сказать о возможностях и опыте автоматизации предприятий государственного сектора, наработанных Google — самым известным провайдером публичных услуг электронной почты. В последние годы компания целенаправленно движется по пути создания предложений, ориентированных на комплексную автоматизацию государственных учреждений. В 2010-м она выпустила на рынок приложение Google Apps for Government, в котором почтовый сервис наряду с некоторыми смежными удовлетворяет акту FISMA (Federal Information Security Management Act). Декларируется также, что серверы, на которых хранятся данные организаций-клиентов, в этом случае физически отделены не только от серверов, предназначенных для публичных сервисов, но даже от тех, что предназначены для коммерческих клиентов Google.
С другой стороны, известна драматическая история попыток перевода тридцати тысяч рабочих мест на платформу Google Apps, предпринятая властями Лос-Анджелеса еще в 2009 году — не в последнюю очередь потому, что публичная электронная почта в муниципальном управлении уже в то время начинала играть определенную роль. Но департамент полиции города, на который приходилось около половины рабочих мест, буквально «забастовал», заявив, что новая система не удовлетворяет необходимым условиям безопасности. Наш журнал упоминал об этой истории два с половиной года назад (см. http://www.iemag.ru/clouds/opinions/detail.php?ID=30268), и на тот момент, уже после появления Google Apps for Government, данный проект хотели реанимировать. Но снова без видимого успеха. Таким образом, в мировой практике развития автоматизации крупные поставщики публичных ИТ-сервисов стремятся работать с государственными структурами, хотя, как мы видим, это и не так просто.
Надо сказать, что редакции Intelligent Enterprise не раз приходилось вести переписку с представителями государственных организаций — как отечественных, так и зарубежных, и при этом нередко через публичные почтовые ящики наших респондентов. Не думаем, что даже в случае компрометации этой переписки могли наступить сколь-либо серьезные последствия. Впрочем, они вполне могли бы наступить в результате массовых утечек агрегированных данных, накопленных в течение длительного времени. Инструменты же борьбы с этим явлением непосредственно не связаны со средствами безопасности конкретных почтовых сервисов.
Использование внутренних коммуникаций, организованное на базе публичных сервисов, представляется более рискованным, да и с продуктовой точки зрения это менее естественный сценарий. Системы комплексной автоматизации, электронные торговые площадки и другие ключевые для госуправления инструменты сейчас в большинстве случаев имеют собственные средства организации электронного взаимодействия. Надо сказать, что на их развитие внутри бизнес-систем разной функциональности в определенной мере повлияла мода на «встроенные» социальные сети, инструменты для создания которых не так давно активно продвигало большинство крупных зарубежных поставщиков. Мода эта не очень прижилась, но «полезная привычка» уделять внимание инструментам электронных коммуникаций осталась.