Разделы

Безопасность Стратегия безопасности Интернет Веб-сервисы ИТ в госсекторе

Госсайты используют зарубежные сервисы вопреки требованиям Минцифры

Региональные госсайты продолжают использовать зарубежные сервисы, несмотря на то, что Минцифры еще полгода назад требовало миграции на российские аналоги. Каждый второй сайт органов власти на местах базируется на сервисах Google. ИБ-эксперты отмечают, что использование кодов, загружаемых из-за рубежа чревато неприятностями.

Не «слезают» с иностранных сервисов

Госсайты органов власти в регионах продолжают использовать коды, загружаемые из-за рубежа, говорится в докладе общественного движения «Информация для всех». Документ опубликован на сайте движения в рамках проекта «Монитор госсайтов» 2022.

Согласно исследованию, 99% сайтов до сих пор используют сторонние компоненты, не входящие в состав информсистем, на которых они работают. Аналитики в сентябре 2022 г. проанализировали 170 сайтов и выяснили, что 102 из них загружают сторонний код с ресурсов из «недружественных» России государств, которые его в том числе контролируют. В частности, коды YouTube и reCAPTCHA (сервис защиты от спама) и других сервисов Google исследователи нашли на каждом втором местном госсайте.

Госсайты не убирают коды в том числе потому, что они используются для сбора аналитики

Что касается сайтов федеральных органов исполнительной власти, аналитики сообщают, что, несмотря на требования Генпрокуратуры, 27 (38%) ФОИВ все еще пользуются счетчиками посещений Google Analytics, Liveinternet, «Рамблер топ 100», Hotlog и SpyLog. В то же время заметен прогресс по сравнению с 2021 г., когда это требование нарушали 76% ФОИВ, а на госсайтах встречался код еще двух счетчиков – NewRelic и Openstat, которые в этом году исчезли с сайтов. Также каждый десятый сайт не поддерживает защищенное соединение со своими посетителями (что в случае с сайтами федеральных органов исполнительной власти является нарушением), а более половины остальных делают это лишь формально.

Исследователи сообщают, 86% исследованных госсайтов используют технические средства, не входящие в состав информационных систем соответствующих сайтов, и размещенные в 31% случаев за пределами территории России. Удаленный доступ для обновления и управления этих средств предоставляется посторонним, а информация бесконтрольно передается разработчикам указанных программных средств.

Хуже всего от атак типа XSS защищены сайты Центробанка, Росархива и Росалкогольрегулирования. Худшая поддержка HTTPS оказалась у сайтов Росморречфлота, Рособрнадзора, Росприроднадзора, Россотрудничества, ФАС и ФТС. Практически все эти сайты не поддерживают расширение протокола TLS Extended Master Secret, что создает предпосылки для прослушивания (MitM) «защищенного» соединения с посетителями.

Что требовало Минцифры

Аналитики напомнили, что быстрее переходить на российские альтернативы госорганы должны были подтолкнуть не только меры прокурорского реагирования, но и масштабные кибератаки на информационную структуру страны, которые усилились после 24 февраля 2022 г.

CNews писал о том, что в 2022 г. каждый второй российский государственный орган подвергся кибератакам, каждый третий – многократно. В основном атаки совершались с помощью вирусов и программ-вымогателей, за ними идут DDoS-атаки, фишинг, атаки на корпоративную сеть и взлом паролей. А чтобы противостоять хакерам, власти даже решили создать единую платформу для обмена информацией о киберинцидентах.

В начале марта 2022 г. Минцифры потребовало от федеральных органов исполнительной власти и органов исполнительной власти субъектов удалить из страниц своих сайтов весь код JavaScript, загружаемый с иностранных ресурсов.

«Многие получатели это требование проигнорировали, – констатируют авторы доклада. – Также регулятор требовал отказаться от услуг зарубежных хостеров. Наконец госорганам рекомендовалось в случае размещения публичного ресурса в доменной зоне, отличной от доменной зоны .RU, переместить его в доменную зону .RU».

Почему важно уходить от иностранных сервисов

Эксперты «Информация для всех» объясняют, что загрузка стороннего кода из неконтролируемых администраторами госсайтов источников абсолютно недопустима из-за возможной утечки данных о посетителях госсайтов.

Мобильное приложение как главная точка формирования клиентского опыта
ПО

«Третьи лица, кто бы они ни были, не должны иметь доступ к информации о посетителях госсайтов, даже обезличенной, которая в современном мире больших данных и повсеместного шпионажа интернет-гигантов за интернет-пользователями, без труда сопоставляется с реальными личностями. Тем более очевидной представляется недопустимость загрузки на госсайты кода третьих лиц, находящихся вне юрисдикции Российской Федерации, в том числе странах, называемых сегодня недружественными», – отмечается в докладе.

В беседе с СNews Михаил Сергеев, ведущий инженер CorpSoft24, согласился, что использовать сторонние коды на сайте очень опасно. Простейший пример – сторонние картинки, встроенные на сайт. Когда источник поменяет изображение, на сайте могут появиться совершенно другие картинки, например, нарушающие законодательство России.

«Js скрипты, которые использует Google для сбора аналитических данных, может запрашивать файлы cookies, читать и вносить изменения в локальное хранилище, – приводит пример эксперт. – Сторонний CSS позволяет встроить кейлоггер и все данные вводимые пользователем можно перехватывать в том числе логины и пароли».

Госсайты не спешат убирать коды, так как они используются для сбора аналитики, но выход есть – перейти на российский аналог сервиса «Яндекс.метрика», предлагает Сергеев.

Суперапп для ЦОД: что это такое и как его внедрять
ПО

Иной точки зрения придерживается ИТ-специалист Филипп Кулин, рассказавший «Коммерсанту», что из-за содержимого со сторонних ресурсов на госсайтах проблем для их посетителя не возникает. Он уверен, что в обычной ситуации с проблемами не сталкиваются и сами госорганы. Даже утечки персональных данных, уверен эксперт, возникают не из-за загрузки контента извне.

В то же время, сейчас сотрудники ведомств не несут серьезной ответственности за использование небезопасных компонентов на госсайтах, статья КоАП (ч. 1 ст. 13.27) предусматривает штраф 3–5 тыс. руб. Это значит, что в ближайшее время ситуация с госсайтами вряд ли изменится в лучшую сторону.

Анжела Патракова