Статья

Почтовые сервисы органов госвласти России практически не защищены

ИТ в госсекторе
мобильная версия
, Текст: Наталья Рудычева

Почтовые сервисы органов государственной власти практически незащищены. 78% государственных организаций использует публичную почту. Среди органов государственной власти всех уровней этот показатель составляет не менее 50%, в регионах – 73%. Не менее 70% федеральных органов власти используют почтовые сервисы, не имеющие формальных договоров с органами власти (бесплатные сервисы почты) либо созданные на базе ПО и услуг зарубежных вендоров.

Государственные учреждения в России находятся под угрозой взлома почтовых аккаунтов. К такому выводу пришли авторы исследования «Использование электронной почты в государственной инфраструктуре РФ», организованного компанией «Новые облачные технологии» при экспертной поддержке АНО «Информационная культура» в 2016 г.

В рамках исследования было проанализировано использование почтовых сервисов в 72 федеральных органах исполнительной власти (ФОИВ) и почти 260 тыс. государственных структур различного уровня. При анализе ФОИВ использовались данные из открытых источников, в первую очередь ресурсов Bus.gov.ru и Budget.gov.ru, а также их официальных сайтов. Анализ адресов электронной почты госорганизаций проводился на основании данных реестра, размещенного на портале государственных закупок. В выборку были включены организации, проводящие закупки по 44-Ф3, то есть финансирующиеся из бюджета РФ. На 31 марта 2016 г. в реестре было представлено 269 619 организаций. Так как 44-ФЗ вступил в силу в 2014 г., в выборку были включены только те адреса организаций, которые используются с 2014 г. по настоящее время.

Почтовые сервисы госорганизаций

Согласно полученным данным, подавляющее число государственных организаций – почти 76% – пользуется публичной веб-почтой. «Внутренние» почтовые сервисы –хостинги, собственные серверы, сервисы, предоставляемые интернет-провайдером – используются в 16% рассмотренных организаций. Еще 2% из них предпочитают публичную почту с привязкой к собственному домену. Привязка к своему домену делает электронный адрес более «официальным» и имиджевым, но фактически условия предоставления услуг, а следовательно, уровень безопасности остаются теми же, что в случае применения публичной веб-почты. Таким образом, можно утверждать, что 78% государственных организаций использует публичную почту.

Использование почтовых сервисов в государственном секторе


Источник: Новые облачные технологии, 2016

Сервисы провайдеров публичных почтовых услуг уже в силу масштаба своей аудитории постоянно подвергаются хакерским атакам. Это значит, что, помимо целенаправленных кибератак, государственные организации, использующие публичные сервисы, рискуют стать жертвами общих атак.

Провайдеры публичных почтовых сервисов


Источник: Новые облачные технологии, 2016

На всех уровнях власти (муниципальном, региональном, федеральном) доля организаций, использующих публичную почту, составляет не менее 50%. На региональном уровне публичные почтовые сервисы в среднем по России используют 73% госорганизаций.

Безопасность на федеральном уровне

В рамках исследования был проведен анализ почтовых серверов 43 федеральных органов исполнительной власти (ФОИВ). Наибольшей популярностью пользуются почтовые сервисы Microsoft – их использует более 30 ведомств (около 70%), в основном с организацией доступа через интернет (Outlook Web App). 3 федеральные службы (ФСТЭК, Росавиация и ФАДН) используют сервисы почты для доменов Mail.ru, Nic.ru и Yandex’а соответственно. Одно федеральное агентство (Ростуризм) использует почту своего интернет-провайдера. Некоторые ведомства, например Росслесхознадзор, продолжают указывать в качестве контактных адреса на сервисах бесплатной почты, например на доменах bk.ru, gmail.com, yandex.ru.

Microsoft – ведущий игрок на рынке. Это значит, что его сервисы неизбежно становятся мишенью для целенаправленного взлома, и методы взлома постоянно совершенствуются. Таким образом, не менее 70% федеральных органов власти используют почтовые сервисы, не имеющие формальных договоров с органами власти (бесплатные сервисы почты) либо созданные на базе ПО и услуг зарубежных вендоров.

Ведомственная почта

Публичные почтовые сервисы используют 81% отделений Территориальных избирательных комиссий (ТИК), 81% отделов ОВД, 75% районных отделений Казначейства.

Использование почтовых сервисов в подразделениях ведомствах различного типа


Источник: Новые облачные технологии, 2016

Отдельный интерес представляет использование электронной почты силовыми структурами, которым по долгу службы необходимо соблюдать секретность: ФСБ, ФСО, Следственным комитетом, ФСКН и Фельдъегерской службой. 63% этих организаций используют публичную веб-почту. Несмотря на доступ к средствам специальной связи и режим повышенной секретности, почти половина центров спецсвязи ФСО использует публичную почту для контакта с поставщиками.

Управления делами президентов вообще не используют публичные сервисы. Одновременно с этим наблюдается заметное преобладание публичных сервисов над внутренними в таких крупных и ответственных федеральных службах, как МИД, ФМС и МВД.

Использование электронной почты ведомствами


Источник: Новые облачные технологии, 2016

Тем не менее, можно выделить ряд ведомств и министерств, у которых использование внутренних почтовых сервисов преобладает над использованием публичных сервисов. К их числу относится Министерство финансов, Министерство экономического развития, а также департаменты по информатизации значительного числа государственных организаций.

Таким образом, отсутствие защищенных почтовых сервисов у органов государственной власти является повсеместным, делают вывод авторы исследования.

Как защитить госпереписку

Электронная почта постепенно становится самым популярным сервисом взаимодействия не только между гражданами, но и между организациями, и государственными ведомствами. Именно поэтому вопросы ее безопасности необходимо решать комплексно, разрабатывая на государственном уровне стандарты по работе с информацией. Первые шаги в этом направлении уже предприняты 531-ФЗ, предписывающим госорганизациям всех уровней размещать имеющиеся у них информационные ресурсы только на территории России. Также на государственном уровне неоднократно высказывались предложения об ограничении использования в госсекторе зарубежных сервисов, таких как Google, Yahoo и WhatsApp.

Между тем, как показывают результаты исследования, до настоящего времени почтовые сервисы государственных ведомств всех уровней не могут в полной мере гарантировать сохранность передаваемой ими информации. А значит, вопрос обеспечения их безопасности по-прежнему актуален.

Полный текст исследования «Использование электронной почты в государственной инфраструктуре РФ» доступен здесь.