Прошло уже почти две недели с тех пор, как завершилось голосование в США, и большинство данных говорит о том, что 2020 год был самым спокойным с точки зрения безопасности в наше время. Большая заслуга в этом принадлежит Агентству кибербезопасности и инфраструктурной безопасности (CISA) и его бесстрашному лидеру Крису Кребсу, который сделал безопасность выборов приоритетом номер один для своего агентства. И хотя государственные чиновники и IT-команды также заслуживают похвалы за их усилия по укреплению систем в преддверии выборов, хороший результат не должен усыплять нас ложным чувством безопасности: государственные IT-системы остаются опасно уязвимыми в то время, когда на них полагаются больше, чем когда-либо.

Иван Шилов ИА REGNUM
Хакер

В докладе, озаглавленном «Штаты в зоне риска», Национальная ассоциация главных информационных директоров Штатов (NASCIO) и консалтинговая фирма Deloitte рисуют ужасную картину состояния государственной IT-безопасности, выявляя недостаточные бюджеты, неадекватное штатное расписание и наличие устаревшей инфраструктуры в качестве барьеров для кибербезопасности.

Эти выводы подтверждаются данными рейтинговой компании SecurityScorecard, которая в своем недавнем отчете раскрыла, что три четверти американских штатов имеют рейтинги киберздоровья на уровне «С» или ниже. Эти оценки основаны на наблюдаемых проблемах с государственными IT-системами, включая непатченные системы и наличие вредоносных программ.

Кибервойска США

Незащищенные уязвимые места и заражение вредоносными программами — это не корень зла, а признаки более фундаментальной проблемы. Для большинства штатов плохая кибербезопасность является не только результатом нехватки ресурсов для обеспечения безопасности систем, но и следствием устаревших IT-систем, которые практически невозможно защитить.

SecurityScorecard обнаружил устаревшие операционные системы, такие как Windows 2000 и древние браузеры, включая ранние версии Internet Explorer, в правительствах штатов. Эти системы не только небезопасны, но и указывают на то, что правительства штатов работают с технологиями десятилетней давности в то время, когда современные гибкие IT-системы имеют решающее значение для кибербезопасности, эффективная работа государственных служб во время пандемии просто не может происходить на устаревшей IT-инфраструктуре.

Чтобы решить эту проблему, штатам требуется огромный приток средств для строительства, обеспечения безопасности и поддержания современной IT-инфраструктуры, однако они не в состоянии сделать эти инвестиции самостоятельно. NASCIO обнаружил, что большинство правительств штатов выделяют на кибербезопасность от одного до трех процентов своих IT-бюджетов — против более чем десяти процентов для финансовых учреждений и более чем 15 процентов для федеральных агентств. Закрыть этот пробел — не то, что штаты могут сделать сами.

(сс) Lorie Shaull
Участок для голосования в США

По данным Национальной конференции законодательных органов штатов, государственные налоговые поступления составляют сейчас на целых 30 процентов ниже доковидового уровня, а государственные услуги пользуются более высоким спросом, чем когда-либо. В этом году штаты и населенные пункты планировали инвестировать в IT-проекты более 110 миллиардов долларов, но большая часть этих инвестиций была отложена или вообще списана.

Во время, когда Конгресс стремится восстановить экономику после пандемии, федеральное финансирование модернизации и обеспечения безопасности IT-инфраструктуры штатов должно быть главным приоритетом. Учитывая, что бюджеты штатов были почти опустошены пандемией, федеральная поддержка имеет важное значение. В рамках следующего раунда финансовых стимулов Конгресс должен выделить значительные средства для активизации государственных расходов на IT для модернизации и обеспечения безопасности этих жизненно важных систем. Если есть какая-то хорошая новость, то ею может быть то, что плохая кибербезопасность в правительствах штатов, по-видимому, является проблемой для обеих партий (это актуально в свете возможности законодательного решения проблемы, чего сейчас ждут от Конгресса с новым законопроектом о модернизации IT в штатах). По оценке SecurityScorecard, республиканские штаты в среднем набрали 76 баллов, а демократические — 75 баллов по 100-балльной шкале кибербезопасности. Высокотехнологичные центры (и вечные демократические штаты) Массачусетса и Калифорнии набрали «С», а республиканские Кентукки и Канзас были двумя из трех штатов (наряду с колеблющимся Мичиганом), которые получили «А». Учитывая, что политика, по-видимому, не играет никакой роли в определении киберздоровья государственных IT-систем, Конгресс, возможно, действительно сможет согласиться с необходимостью решения этой проблемы.