17 марта 2022

Госорганам России предписано удалить со своих сайтов Google Переводчик, Analytics, САРТСНА и чужие API

Перед лицом угрозы, исходящей от зарубежных хакерских группировок, ФСТЭК разослала госорганам рекомендации, которые призваны обезопасить их официальные интернет-сайты. С ресурсов рекомендовано удалить ряд зарубежных сервисов, включая Google Analytics, Google Maps, Google Translate.

ФСТЭК — в заботе о безопасности госсайтов

Федеральная служба по техническому и экспортному контролю России (ФСТЭК) подготовила для госорганов рекомендации по повышению защищенности их официальных сайтов в связи с новыми данными о специфики хакерских атак зарубежных группировок.

Рекомендации были направлены 28 февраля 2022 г. федеральным органам исполнительной власти и неназванным в документе «организациям по указателю рассылки». Копию письма опубликовал telegram-канал «Майский указ» (скачать с сервера CNews: стр.1стр. 2). Редакция CNews ожидает от ФСТЭК подтверждения подлинности документа.

В письме за подписью заместителя директора ФСТЭК Виталия Лютикова сообщается, что, согласно поступившей в ведомство информации от Национального координационного центра по компьютерным инцидентам, компрометация и нарушение функционирования официальных сайтов госорганов является одним из векторов проведения компьютерных атак из-за границы в отношении информационной инфраструктуры России.

В этой связи ФСТЭК полагает, что госорганам нужно провести инвентаризацию служб и веб-сервисов, используемых для функционирования сайтов, отключить неиспользуемые службы, усилить требования к парольной политике администраторов и пользователей, исключив при этом использование паролей, заданных по умолчанию, отключить сервисные и неиспользуемые учетные записи.

Служба считает необходимым обеспечить сетевое взаимодействие с применением защищенных актуальных версий протоколов НТТРS, SSН и др.

Иностранные сервисы под запретом

Также ФСТЭК рекомендует исключить применение на госсайтах сервисов подсчета и сбора данных о посетителях, сервисов предоставления информации о местоположении «и иных сервисов, разработанных иностранными организациями». Вихчисле — onthe.io, RеСАРТСНА, Youtube, Google AnalyticsGoogle MapsGoogle Translate.

С точки зрения регулятора, госорганам надо исключить на сайтах возможность использования встроенных видео- и аудиофайлов, интерфейсов взаимодействия API, «виджетов» и других ресурсов, загружаемых со сторонних сайтов, заменив их при необходимости гиперссылкой на такие ресурсы.

Защита от DDoS

Ряд рекомендованных действий касается мер повышения устойчивости госсайтов к распределенным атакам, направленным на отказ в обслуживании (DDoS). В частности предлагается обеспечить настройку правил средств межсетевого экранирования, направленных на блокировку неразрешенного входящего трафика, обеспечить фильтрацию трафика прикладного уровня с применением средств межсетевого экранирования уровня приложений (webapplicationfirewall, WAF), переведенных в режим противодействия атакам, активировать функции защиты от DDoS-атак на средствах межсетевого экранирования и других средствах защиты информации.

Также рекомендуется ограничить количество подключений с каждого IP-адреса (например, установить на веб-сервере параметр rate-limit), блокировать входящий трафик, поступающий с IP-адресов из США, стран Европейского союза или любой другой страны, являющейся источником компьютерных атак.

Наконец, ведомство предписывает блокировать трафик, поступающий из «теневого Интернета» через Tor-браузер (список узлов, которые необходимо заблокировать содержится по адресу dan.me.uk/tornodes).

«О выполнении указанных рекомендаций просим проинформировать ФСТЭК России до 30 апреля 2022 г.», — прописано в документе.

Комментарии рынка

Директор по информационной безопасности компании SEQ Анастасия Мельникова в разговоре с CNews сообщила, что в ее понимании, речь идет о вполне стандартном наборе рекомендаций по повышению уровня безопасности и отказоустойчивости систем, «которым разумно следовать и в нейтральной обстановке».

«За вычетом акцента на неиспользовании иностранных ресурсов, предлагаемые меры вполне стандартны, — полагает она. — Атаки на инфраструктуру госорганов осуществляются постоянно, их регулярно пытаются проверять на прочность хакеры любого уровня. Каких-то совсем уж нестандартных мер в этом документе не предполагается».

Во многом с Мельниковой солидарен ведущий инженер CorpSoft24 Михаил Сергеев, считающий, что ограничения, описанные в данном документе, кроме блокировки IP США/Европы и сервисов Youtube/ReCAPTCHA, должны были быть исполнены еще задолго до недавних событий так как это основа безопасности.

«Заблокировать страну на уровне IP, на уровне оператора вэб-сайта очень проблематично и потребует много усилий и определенных компетенций, поэтому есть смысл делать это на уровне провайдера, который предоставляет услуги по предоставлению IP-адресов, — считает он. — Блокировка сервисов Youtube/ReCAPTCHA/Analytics и других американских продуктов очень сильно затронет многие ресурсы, и отсутствие российских аналогов данных сервисов вызовет проблемы в работе сайтов, но подтолкнет к развитию аналогов в РФ».

Сергеев также отмечает, что в целом рекомендации направлены на обеспечение безопасности государственных систем и сайтов. «Из-за текущей обстановки количество атак на них увеличилось, поэтому блокировка целых стран позволит минимизировать вектор атаки, а также возможно и полностью исключить эту возможность, — рассуждает он. — Провайдеры сайта “Госуслуги” на уровне автономных систем уже заблокировали возможность доступа из указанных стран, поэтому граждане России, находящиеся на территории заблокированных стран, не смогут пользоваться сервисом».

Источник: Cnews

Исследование iTrend: зарплата для ИТ-специалистов — не решающий фактор при выборе работодателя

23 апреля 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали критерии выбора работы, а также медиапредпочтения более 300 высокоуровневых специалистов из крупных российских ИТ-компаний.

 

Команда iTrend начала работу с Институтом iSpring

19 апреля 2024

Институт iSpring — частный ИТ-вуз нового поколения. Он был основан в 2021 году в Йошкар-Оле российским предпринимателем и основателем международной ИТ-компании iSpring Юрием Усковым.

 

Вебинар РУССОФТ, iTrend и BiToBe: «Работодатель-as-a-Service: новая реальность привлечения ИТ-специалистов»

15 апреля 2024

23 апреля в 15:00 прошел открытый вебинар «Работодатель-as-a-Service: Новая реальность привлечения ИТ-специалистов»

 

iTrend: освоить маркировку интернет-рекламы можно только на собственном опыте

25 марта 2024

В феврале 2024 года в Москве прошла Конференция «Digital-коммуникации России». Организатор мероприятия – Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР). Эксперты конференции обсудили острые вопросы рынка digital, в том числе маркировку интернет-рекламы. Об опыте коммуникационного агентства в рамках перехода на работу по новым правилам рассказала Екатерина Саранцева, директор по развитию iTrend.

 

Медиалогия: iTrend – в ТОП-4 коммуникационных агентств по медиаиндексу за январь 2024 года

20 марта 2024

Коммуникационное агентство iTrend вошло в пятерку агентств, получивших наиболее высокий медиаиндекс по данным рейтинга «Медиалогии» за январь 2024 года. Компания заняла четвёртую строчку ранкинга, набрав 433,2 пункта МИ. Медиаактивность участников рынка оценивалась на основе анализа базы российских СМИ, включающей в себя более 88 тыс. источников — ТВ, радио, газеты, журналы, информационные агентства и Интернет-СМИ.

 
Все новости iTrend