С 1 декабря 2022 г. адреса электронной почты, которую используют госорганы и органы местного самоуправления, должны формироваться из доменных имен и сетевых адресов в российской национальное доменной зоне. Имеются в веду домены .ru, .рф и .su.

Переезд в национальную доменную зону

Адреса электронной почты государственных органов власти и органов местного самоуправления должны создаваться с использованием доменных имен и сетевых адресов в национальной доменной зоне. Постановление Правительства России, регулирующее этот вопрос, было опубликовано 2 ноября 2022 г.

Российская доменная зона включает домены .ru, .рф и .su. Первый из них занимает шестое место в мире по числу зарегистрированных доменных имен, а домен .рф признан крупнейшим кириллическим доменом в мире.

Согласно тексту приказа Роскомнадзора от 29 июля 2019 г. № 216, в национальной доменной зоне также находятся другие домены верхнего уровня, которыми управляют юрлица, зарегистрированные на территории России как владельцы баз данных указанных доменов в международных организациях распределения сетевых адресов и доменных имен. К примеру, это могут быть такие домены, как .дети, .москва, .moscow, .tatar.

Общеизвестно, что некоторые госведомства до сих пор используют общедоступные почтовые веб-сервисы, на которых любой пользователь может создать себе почтовый аккаунт: Mail.ru, Yandex.ru, Rambler.ru, Gmail.com. Сервисы были популярными еще в 2016 г., данные приводятся в аналитическом исследовании, проведенном компанией «Мой офис» при экспертной поддержке АНО «Информационная культура».

Зачем это нужно

Минцифры уточняет, что документ разработан для «обеспечения информационной безопасности в работе госорганов». В беседе с CNews Михаил Сергеев, ведущий инженер CorpSoft24, объяснил, что теоретически, если использовать домены не в российской национальной зоне, то можно потерять контроль над таким доменом.

Во-первых, его могут не продлить, так как каждый год необходимо продлять домен, чтобы являться его собственником. Во-вторых, его могут элементарно «отобрать» власти недружественных стран.

«Если в какой-то момент домен перейдет под контроль третьих лиц, то злоумышленники смогут переключить почтовые MX-записи на свои серверы и получать чужую конфиденциальную почту, – отметил эксперт. – Они смогут не только читать почту и отвечать на нее. Последствия могут быть еще серьезнее: с помощью почты можно уже украсть аккаунт с административными правами в какой-нибудь госсистеме. Если, например, нажать "забыл пароль", можно получить письмо с токеном на восстановление пароля и получить полный доступ к информационной системе, так как во многих из них используется авторизация или восстановление через почту».

Использования доменов доменных имен в российской национальное доменной зоне исключает возможность провернуть такую схему, отмечает Сергеев, добавляя, что в любом случае всегда и везде необходимо использовать двухфакторную авторизацию, не полагаясь исключительно на почту.

Что было раньше

В 2014 г. до 80% государственных организаций пользовались бесплатными email-серверами, в числе которых были иностранные. В 2015 г. о недопустимости использования госведомствами зарубежных онлайн-сервисов впервые заявили в Совете безопасности. После этого в регионах стали вводить локальные запреты: так, в 2015 г. чиновникам Московской области запретили использовать зарубежные интернет-сервисы.

С 1 июля 2015 г. также вступил в силу закон от 31 декабря 2014 г. № 531-ФЗ, запрещающий размещать сайты госорганов и учреждений, муниципальных образований на зарубежных серверах. Предполагалось, что в тексте закона появится положение, которое обяжет ведомства использовать собственные почтовые службы, но в итоге его не включили.

В 2021 г. чиновники продолжали использовать бесплатные почтовые сервисы для корпоративной переписки – в частности, МЧС России использовал адреса на доменах mail.ru и rambler.ru. В декабре 2021 г. аналитики «Ростелеком-солар» поделились результатами исследования «Случайные утечки информации в госорганах». Эксперты объяснили, что чаще всего утечки информации происходят по вине руководителей среднего звена из-за дефицита знаний в области кибербезопасности. Чаще всего каналами утечек становятся соцсети и личная почта – утекают служебные документы и внутренняя конфиденциальная переписка из-за их пересылки госслужащими на личную электронную почту.

Ситуацию усугубил геополитический кризис в феврале 2022 г., после которого инфраструктура госведомств России стала мишенью для хакеров со всего мира. Так, в апреле 2022 г. в открытый доступ попали 230 тыс. писем Министерства культуры, администрации Благовещенска и аппарата губернатора Тверской области. В сентябре 2022 г. свыше 100 сотрудников МВД наказали за использование на работе личной почты и мессенджеров.

Что предпринимали власти

В апреле 2022 г. глава Минцифры разослал сотрудникам российских госорганов письмо, в котором рекомендовал перечень отечественных сервисов. Зарубежную почту Gmail и Microsoft Outlook предложили заменить почтой Mail.ru и «Моего офиса». В качестве альтернативы иностранных соцсетей и мессенджеров Минцифры предлагает использовать «Вконтакте», «Одноклассники», Yappy, Telegram, TamTam, ЯRus, TenChat, «Мой мир», ICQ и Frisbee.

Также летом 2022 г. вице-премьер Дмитрий Чернышенко дал главе Минцифры Максуту Шадаеву поручение перевести российских региональных чиновников в новый мессенджер VK, который компания разработала специально для госслужащих. Вести рабочую переписку в привычных Telegram и WhatsAp больше не получится.

Источник: Cnews