Руководители по информационной безопасности в государственном секторе СНГ: целостность данных в облаке за пределами архитектуры «Zero Trust»

Каждая организация сталкивается с риском угроз со стороны собственных сотрудников. Для организаций государственного сектора этот риск имеет особый характер, поскольку его последствия выходят далеко за рамки собственной деятельности организации.

Фальсифицированная документация по закупкам не только подвергает ведомство риску получения отрицательных выводов по результатам аудита — она потенциально может привести к коррупционным последствиям при принятии решений о заключении контрактов, затрагивающих сотни миллионов государственных расходов. Измененный нормативный документ не просто приводит к внутренним несоответствиям — он может привести к признанию недействительным законодательного или нормативного процесса. Целостность данных граждан — это не вопрос коммерческой ответственности. Это вопрос общественного доверия, с которым связана демократическая подотчетность.

Сайт Отчет Verizon о расследованиях случаев утечки данных за 2024 год места государственное управление как отрасль, в которой чаще всего совершаются непреднамеренные инсайдерские угрозы. Во всех секторах в 68% случаев утечек был задействован человеческий фактор — ошибка, злоупотребление привилегиями или социальная инженерия — причем часть утечённых данных хранилась в нескольких облачных средах. Государственные системы, которые обычно одновременно охватывают локальную суверенную инфраструктуру и одного или нескольких поставщиков публичных облачных услуг, полностью подпадают под этот профиль уязвимости, связанный с использованием нескольких сред.

Хронология обнаружения усугубляет последствия воздействия. Это Глобальный отчет Института Понемона «Стоимость рисков, связанных с внутренними угрозами, в 2025 году» согласно данным исследования, средний срок обнаружения и локализации внутренних угроз составляет 81 день, при этом облачные среды названы одной из проблемных областей. В контексте государственного управления 81 день незамеченного несанкционированного вмешательства означает 81 день, в течение которого потенциально подделанные данные могут использоваться для принятия стратегических решений, обеспечения процессов закупок, подготовки ответов на запросы парламента или Конгресса, а также при взаимодействии с гражданами. Любое последующее действие, предпринятое на основе поддельных данных, наследует нарушение их целостности.

Финансовый аспект усугубляет ситуацию. В настоящее время средний ущерб от инцидентов, связанных с злонамеренными действиями сотрудников, составляет $ 779 707 за каждый случай, при этом общие годовые затраты на инциденты, связанные с утечкой конфиденциальной информации, достигают $8,8 млн на каждую организацию. Для организаций государственного сектора эти затраты выражаются одновременно в виде расходования государственных средств и политической ответственности.

Механизм заключается в следующем: концептуально простой и криптографически надежный. Что особенно важно, в ходе всего процесса ваш документ ни на одном этапе не покидает вашего владения.

Для каждого документа или объекта данных, который необходимо защитить, на основе его содержимого с помощью алгоритма, такого как SHA-256, генерируется криптографический хеш — уникальный цифровой отпечаток. Хеш-функция принимает документ в качестве входных данных и выдает выходную строку фиксированной длины, независимо от того, является ли исходный документ двухстраничным брифингом или 10 000-страничным нормативным документом. Это вывод математически выводится из каждого бита содержимого документа в данный конкретный момент. Достаточно изменить один символ в любом месте — десятичную запятую, условие, метку времени в метаданных — и результирующий хеш будет совершенно другим.

Затем этот «отпечаток» записывается в блокчейн — неизменяемый распределенный реестр, который не контролируется ни одной отдельной стороной. Запись снабжается временной меткой и защищена от подделки благодаря самой структуре реестра. В цепочку записывается именно «отпечаток», а не сам документ. Содержание документа, его секретность, стороны, условия — ничто из этого не раскрывается. Главная книга знает лишь то, что в момент времени T существовал документ с именно таким содержанием.

Верификация — это обратная операция. Когда необходимо доказать аудитору, регулирующему органу или контрагенту, что документ не изменялся с момента его запечатывания, вы генерируете новый хеш текущего документа и сравниваете его с записью в цепочке блоков. Этот вывод носит бинарный характер и является математически достоверным. Если хэши совпадают, документ идентичен своему зафиксированному состоянию. Если же они не совпадают, это означает, что содержание изменилось — причем изменение даже одного символа в любом месте приводит к появлению совершенно другого хэша. Здесь нет никакой двусмысленности, никакого пространства для интерпретации и никакой зависимости от заверений поставщика.

Защита реестра от несанкционированного вмешательства носит структурный характер. Хеш каждого блока включает в себя хеш предыдущего блока. Изменение любой исторической записи требует пересчёта всех последующих блоков и одновременного достижения консенсуса по всей распределённой сети — что с точки зрения вычислительных затрат невыполнимо для любой устоявшейся цепочки. Это не модель доверия. Это математическое ограничение на возможность незаметного, невыявленного изменения.

При внедрении в государственном секторе, как правило, используется блокчейн с ограниченным доступом — причем Hyperledger Fabric является наиболее широко распространенной моделью корпоративного управления — где участие в сети контролируется и определяется консорциумом. Гибридная архитектура добавляет второй уровень, периодически привязывая корневой хеш цепочки с ограниченным доступом к публичной блокчейн-сети, такой как Ethereum. Такая привязка «хеш-из-хешей» означает, что даже в случае взлома сети с ограниченным доступом публичная цепочка обеспечивает независимо проверяемое доказательство с глобальной временной меткой. Содержание вашего документа на протяжении всего процесса остается в контролируемой вами среде — передается только хеш, а не сам файл.

Именно такая архитектура, которая Port of Trust внедряет в производство. Port of Trust является криптографическим ядром Truth Enforcer framework — основанный на блокчейне уровень обеспечения целостности, предназначенный для привязки к любому файлу, записи или событию криптографического отпечатка и хранения доказательства в публичных блокчейнах, при этом конфиденциальные данные никогда не покидают вашу среду. В цепочке блоков хранится только хеш. Оригинал документа остается под вашим контролем. Проверка может быть выполнена независимо в любой момент - включая годы, прошедшие после первоначального запечатывания, — с полной прозрачностью и возможностью аудита, а также без необходимости предоставления доступа к системе или учетных данных со стороны проверяющей стороны. Для организаций государственного сектора, которым требуется данная функциональность без дополнительных затрат на индивидуальную реализацию, Truth Enforcer предоставляет готовое к использованию в производственной среде приложение для оперативной печати файлов с сопутствующим инструментом Truth Verifier, который позволяет аудиторам, регулирующим органам и надзорным органам подтверждать подлинность документов через общедоступный интерфейс — доступ к внутренней системе не требуется. Доказательство целостности находится у вас. Его можно проверить независимо. И оно полностью находится за пределами административного контроля вашего поставщика облачных услуг.

Оценка затрат на должность руководителя службы информационной безопасности (CISO) в государственном секторе предполагает наличие двух параллельных каналов подотчетности, которые в частном секторе в такой же форме отсутствуют: финансовые затраты и затраты, связанные с публичной подотчетностью. Обе проблемы возникают, когда подделка данных остается незамеченной.

На финансовом уровне именно в процессе выявления происшествий затраты растут быстрее всего. Отчет IBM «Стоимость утечки данных» за 2024 год устанавливает разницу в $980,000 между нарушениями, о которых сообщил злоумышленник, и теми, которые были выявлены внутри компании — то есть каждый дополнительный день невыявленные попытки несанкционированного вмешательства представляют собой измеримый финансовый риск. При среднем сроке обнаружения в 81 день, установленном Ponemon, эта надбавка не является чисто теоретической.

На операционном уровне «хвост» обязательств по архивированию является риском, который наиболее часто недооценивается в государственных программах по внедрению облачных технологий. Документы в архиве хранятся с уменьшенной периодичностью проверки и исходя из предположения об их стабильности. Когда это предположение не подтверждается — в ходе расследования регулирующих органов, рассмотрения запроса о предоставлении информации, парламентского расследования или сбора доказательств в рамках судебного разбирательства — нарушение целостности обнаруживается в самый неподходящий момент, что чревато максимально возможными последствиями.

Стоимость внедрения уровня обеспечения целостности на основе блокчейна с ограниченным доступом, функционирующего в качестве совместно используемого сервиса в рамках ведомства или департамента, существенно ниже, чем ущерб от одного инцидента, связанного с действиями злонамеренного сотрудника — и это без учета рисков правового, нормативного, репутационного и политического характера. Аргумент о суверенитете добавляет стратегическое измерение: ваше доказательство целостности находится за пределами административной зоны вашего поставщика облачных услуг, сохраняется независимо от вашего контракта с поставщиком и переходит вместе с вами при пересмотре условий, миграции или расторжении договора. Это актив программы, а не накладные расходы.

Уровень целостности, привязанный к блокчейну, по своему дизайну не зависит от конкретной облачной платформы. Независимо от того, где выполняются ваши рабочие нагрузки — в AWS GovCloud, Microsoft Azure Government, суверенном локальном центре обработки данных или в гибридной комбинации всех трёх — хеш-уровень функционирует одинаково во всей инфраструктуре. Основной принцип не меняется в зависимости от инфраструктуры: Ваше доказательство целостности должно всегда храниться в месте, недоступном для вашего поставщика облачных услуг.

Развертывание в государственных средах выигрывает от применения ритма, учитывающего уровень секретности. Документы уровня «OFFICIAL» могут проходить идентификацию по цифровому отпечатку при записи и проверку по расписанию. Документы уровня «OFFICIAL SENSITIVE» и выше требуют проверки при каждом доступе и в каждой точке выхода — при этом хеш, временная метка и идентификатор пользователя, осуществляющего доступ, регистрируются в качестве дополнительной записи в цепочке блоков. Смарт-контракты автоматически обеспечивают соблюдение этого рабочего процесса: политика, заложенная в коде, выполняется без вмешательства человека, превращение проверки доступа из процедурной операции в криптографическую запись, которую невозможно изменить задним числом.

Интеграция с существующей инфраструктурой на архитектурном уровне это довольно просто. Генерация хэшей интегрируется в существующие рабочие процессы SIEM и SOAR в качестве дополнительного канала телеметрии. Для государственных организаций, которые обрабатывают значительные объемы документов с помощью SharePoint — системы, которая по-прежнему остается доминирующей платформой управления документами в центральных органах власти Великобритании, Австралии и администрациях стран-членов ЕС — Truth Enforcer for SharePoint встраивает рабочий процесс подписания и проверки непосредственно в библиотеку документов, не требуя от пользователей изменения своего подхода к работе, а от ИТ-специалистов — создания специального уровня интеграции. Secure Sync for SharePoint расширяет эти возможности в развертываниях с несколькими средами, обеспечивая управляемую политиками синхронизацию библиотек документов между локальными, гибридными и облачными экземплярами SharePoint с помощью средств фильтрации, которые обеспечивают поток данных с учетом классификации — гарантируя, что между зонами безопасности передается только утвержденный, неконфиденциальный контент, а пломбы целостности перемещаются вместе с документом.

Конфигурации хранилищ неизменяемых объектов — S3 Object Lock, Azure Immutable Blob Storage — служат полезным процедурным дополнением, но остаются в сфере административного управления провайдера и не следует рассматривать в качестве замены независимой проверки целостности. Архивные манифесты, построенные в виде деревьев Меркла, обеспечивают математически проверяемую сверку данных на уровне коллекций, что соответствует требованию о проверке целостности при восстановлении после инцидентов в сфере ИКТ; данное положение напрямую применимо к государственным учреждениям, на которые распространяются требования NIS2.

Вопросы управления требуют тщательного внимания: речь идет о вопросах управления программой, а не о технических аспектах. Кто является владельцем узла блокчейна? Кто определяет и проверяет периодичность верификации? Как обнаружение несоответствий целостности данных интегрируется с вашим существующим руководством по реагированию на инциденты? Эти вопросы должны быть одновременно отражены в документации по вашей стратегии использования облачных технологий и в системе управления рисками, связанными со сторонними организациями — их нельзя просто решить на этапе внедрения и больше к ним не возвращаться.