Департамент информационных технологий Москвы (ДИТ) проведёт масштабное тестирование защищённости своих IT-систем за 287 млн рублей. Тендер на этот проект опубликован на портале госзакупок.
Данный проект является частью программы мероприятий по повышению уровня защищённости информационных систем города Москвы, оператором которых является ДИТ.
Согласно ТЗ по этой закупке услуг, за 600 суток (в рамках 2022-2024 годов) исполнитель будет должен провести такие работы:
- анализ защищённости с использованием доступа к информационным ресурсам
и аппаратному обеспечению с учётом возможностей внешнего нарушителя; - анализ защищённости с использованием доступа к информационным ресурсам
и аппаратному обеспечению из локальных сетей; - анализ защищённости беспроводной сети;
- анализ защищённости информационных систем со стороны приложений для мобильных устройств;
- анализ защищённости элементов инфраструктуры ЦОД.
Каждый этап анализа включает в себя три части: подготовительные мероприятия, проведение первичного анализа, проведение углублённого анализа. Разрешено использовать системы автоматизированного и ручного сканирования объектов анализа. Все программные и инструментальные средства для проведения анализа IT-инфраструктуры должны быть сертифицированы по требованиям информационной безопасности ФСТЭК России, а также обеспечивать анализ бинарного кода законченного приложения, языков программирования (Java, Java for Android, JavaScript, JSP, TypeScript, VBScript, Scala, HTML5, PHP, Python, Groovy, Kotlin, Go, Ruby, С#, C/C++, Objective‑C, Swift, PL/SQL, T/SQL, Visual Basic 6.0, Delphi, VBA, 1C, ASP.NET, Perl, VB.NET), выявлять уязвимости в обфусцированном коде.
Применяемые исполнителем проекта инструменты и способы должны предусматривать проведение тестирования на проникновение нарушителя в информационные системы ДИТ, в том числе, в случае необходимости, с помощью методов социальной инженерии. Тестирование на проникновения внешним нарушителем должно представить собой практическую демонстрацию возможных сценариев атаки, позволяющих злоумышленнику обойти механизмы защиты системы и получить максимальные привилегии в её критически важных компонентах. Тестирование на проникновение со стороны внутреннего нарушителя должно показать максимально возможный уровень доступа в критически важных компонентах IT-инфраструктуры.
В ходе выполнения каждой работы исполнитель должен предоставить:
- отчёт о выявлении уязвимостей в информационных системах ДИТ, связанных с обеспечением информационной безопасности и ошибками конфигурации компонентов
IT-инфраструктуры; - полную информацию для специалистов служб эксплуатации информационных систем Заказчика по всем уязвимостям;
- оценку текущего уровня защищённости информационных систем Заказчика, доступных из публичных сетей (сеть Интернет);
- отчёт по анализу текущего состояния защищённости периметра ЦОД.
В ходе выполнения работ по проекту исполнитель должен предпринимать предупредительные меры, предотвращающие нарушение штатной работы компонентов IT-инфраструктуры ДИТ, а также осуществление необходимых и достаточных мер по минимизации рисков возникновения угрозы отказа в обслуживании (DoS).
Согласно ТЗ, в ходе оказания услуг по анализу защищённости IT-инфраструктуры ДИТ «допускается снижение доступности и производительности анализируемых информационных систем, а также полная остановка и отказ в обслуживании, включая потерю данных, если таковые последствия согласованы с ДИТ».
Самой дорогой услугой по закупке является анализ защищённости с использованием доступа к информационным ресурсам и аппаратному обеспечению из локальных сетей, то есть со стороны внутреннего нарушителя. На неё приходится более 60% стоимости всего госконтракта. На внешние пентесты ДИТ планирует потратить около 12% от суммы госконтракта.
Аналогичные тендеры ДИТ Москвы проводил в 2020 году и 2021 году. Тогда сроки оказания услуг, прописанные в ТЗ, составляли 345 и 300 суток, а стоимость услуг по анализу безопасности была 150 млн рублей и 167 млн рублей соответственно. В прошлые годы госконтракты по итогам тендеров на анализ защищённости IT-инфраструктуры ДИТ были заключены с компанией «Визум».
21 сентября СМИ сообщили, что в работе цифровой инфраструктуры Москвы, которая находится под управлением ДИТ, произошёл сбой. Нескольких суток был недоступен сервис «Московская электронная школа» (МЭШ). ДИТ пояснил, что инцидент связан с «плановыми техническими работами городских сервисов, специалисты работают над их устранением и восстановлением стабильной работы системы».
Эксперты отрасли и источники СМИ рассказали, что сбои в работе сервисов произошли из-за мощной DDoS-атаки на IT-инфраструктуру ДИТ, а также атаки вирусов-шифровальщиков. По их версии, в итоге было зашифровано два сервера, но специалисты ДИТ смогли все исправить и вернуть пострадавшие сервисы в работу. Также сетевые инженеры в ходе восстановительных работ, по утверждению источников СМИ, выявили, что в инфраструктуре на вычислительных мощностях ДИТ были развёрнуты в скрытом режиме майнеры криптовалюты. Это нелегальное ПО также было удалено из IT-инфраструктуры.
