МЧС обеспокоено. Оказалось, что оно работает на ПО из страны НАТО и фотографиях из США
МЧС оценит риски, связанные с тем, что ведомственная система «Атлас опасностей и рисков» работает на платформе ProxmoX Virtual Environment австрийского производства и пользуется данными из ресурсов американского NASA.
Европейское ПО под сомнением
МЧС оценит риски использования информационной системы «Атлас опасностей и рисков», которая базируется на австрийской платформе ProxmoX Virtual Environment. Об этом пишет «Коммерсант» со ссылкой на письмо директора департамента образовательной и научно-технической деятельности МЧС Александра Бондара первому заместителю министра Александру Чуприяну от 27 апреля 2022 г.
В «Атласе» используется система виртуализации ProxmoX VE – иностранное программное обеспечение с открытым кодом, которое позволяет создавать и управлять виртуальными машинами, а также централизовано управлять виртуализацией. Используется также NASA EOSDIS GIBS – открытый американский сервис, с помощью которого можно выгружать спутниковые снимки Земли.
«В текущих экономических и геополитических условиях представляется целесообразным провести оценку рисков дальнейшего использования в системах иностранного программного обеспечения», — пишет Александр Бондар.
Интерактивный атлас опасностей
МЧС презентовало атлас опасностей летом 2019 г., а запустило в 2021 г. Платформа с помощью технологий искусственного интеллекта анализирует информацию из паспортов территорий, выдает прогноз погоды, аккумулирует данные системы космического мониторинга, тематические сведения федеральных органов исполнительной власти и данные из открытых источников, среди которых, в частности, фигурирует NASA EOSDIS GIBS.
В МЧС изданию подтвердили, что на основе информации из «Атласа» ведомство принимает и управленческие решения. Интерактивная карта частично доступна для использования обычными гражданами — на сайте можно увидеть самые опасные участки дорог, периметр особо охраняемых территорий, штормы, оползни и другие ЧС на территории страны. Часть «Атласа» закрыта для обычных пользователей — информация предназначена только для специалистов МЧС.
На сайте ФГИС КИ опубликован паспорт цифровой трансформации МЧС — в документе отмечается, что на создание «Атласа» ушло 112 млн руб., а на развитие системы в ближайшие три года потребуется около 100 млн руб.
Какие риски могут быть
Специалисты по кибербезопасности отмечают, что риски в дальнейшем использовании австрийской платформы действительно есть. Об этом CNews сообщил Марат Цихмистров, менеджер по информационной безопасности компании «Акстим» (ex-Accenture).
«Риски вредоносных действий со стороны разработчиков платформы и правда существуют, в связи с этим необходимо замещать эти компоненты, — отметил эксперт. — Это может занять довольно длительное время, поэтому до замещения для снижения риска безопасности необходимо проводить ревью кода обновлений на предмет отсутствия закладок».
Подробнее о закладках «Коммерсанту» рассказал руководитель группы аналитики центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Ильназ Гатауллин. По его словам, они позволяют недоброжелателям получить первичный доступ в инфраструктуру и ко всем данным.
Еще одна неприятность, с которой может столкнуться МЧС — ограничение использование ProxmoX VE на территории России самим разработчиком. Об этом, в частности, предупреждает глава Центра компетенций по импортозамещению в сфере ИКТ Илья Массух.
Информационные системы спасателей
«Атлас опасностей и рисков» — не единственная информационная система МЧС, Так, летом 2021 г. CNews писал о том, что МЧС получит 3,8 млрд руб. на цифровизацию госуслуг в области пожарной безопасности и безопасности людей на водных объектах. Предполагается, что для этих целей будет разработано мобильное приложение пожарного инспектора Supervision 2.0 и информационная система для обмена информацией между МЧС и поднадзорными объектами.
Весь проект состоит из нескольких частей: приложение с программой оценки соблюдения организации гражданами требований пожарной безопасности и принятия мер, система оценки соответствия объектов требованиям пожарной безопасности. Также прелагается создать кластер информации, который содержит все регламентирующие документы, определяющие деятельность государственного пожарного надзора, формулы и расчеты, справочные и консультативные данные. Будет разработана и база данных с информацией о проведенной работе на объекте.