29 октября 2022

Госсайты используют зарубежные сервисы вопреки требованиям Минцифры

Региональные госсайты продолжают использовать зарубежные сервисы, несмотря на то, что Минцифры еще полгода назад требовало миграции на российские аналоги. Каждый второй сайт органов власти на местах базируется на сервисах Google. ИБ-эксперты отмечают, что использование кодов, загружаемых из-за рубежа чревато неприятностями.

Не «слезают» с иностранных сервисов

Госсайты органов власти в регионах продолжают использовать коды, загружаемые из-за рубежа, говорится в докладе общественного движения «Информация для всех». Документ опубликован на сайте движения в рамках проекта «Монитор госсайтов» 2022.

Согласно исследованию, 99% сайтов до сих пор используют сторонние компоненты, не входящие в состав информсистем, на которых они работают. Аналитики в сентябре 2022 г. проанализировали 170 сайтов и выяснили, что 102 из них загружают сторонний код с ресурсов из «недружественных» России государств, которые его в том числе контролируют. В частности, коды YouTube и reCAPTCHA (сервис защиты от спама) и других сервисов Google исследователи нашли на каждом втором местном госсайте.

Что касается сайтов федеральных органов исполнительной власти, аналитики сообщают, что, несмотря на требования Генпрокуратуры, 27 (38%) ФОИВ все еще пользуются счетчиками посещений Google AnalyticsLiveinternet, «Рамблер топ 100», Hotlog и SpyLog. В то же время заметен прогресс по сравнению с 2021 г., когда это требование нарушали 76% ФОИВ, а на госсайтах встречался код еще двух счетчиков – NewRelic и Openstat, которые в этом году исчезли с сайтов. Также каждый десятый сайт не поддерживает защищенное соединение со своими посетителями (что в случае с сайтами федеральных органов исполнительной власти является нарушением), а более половины остальных делают это лишь формально.

Исследователи сообщают, 86% исследованных госсайтов используют технические средства, не входящие в состав информационных систем соответствующих сайтов, и размещенные в 31% случаев за пределами территории России. Удаленный доступ для обновления и управления этих средств предоставляется посторонним, а информация бесконтрольно передается разработчикам указанных программных средств.

Хуже всего от атак типа XSS защищены сайты ЦентробанкаРосархива и Росалкогольрегулирования. Худшая поддержка HTTPS оказалась у сайтов РосморречфлотаРособрнадзораРосприроднадзораРоссотрудничестваФАС и ФТС. Практически все эти сайты не поддерживают расширение протокола TLS Extended Master Secret, что создает предпосылки для прослушивания (MitM) «защищенного» соединения с посетителями.

Что требовало Минцифры

Аналитики напомнили, что быстрее переходить на российские альтернативы госорганы должны были подтолкнуть не только меры прокурорского реагирования, но и масштабные кибератаки на информационную структуру страны, которые усилились после 24 февраля 2022 г.

CNews писал о том, что в 2022 г. каждый второй российский государственный орган подвергся кибератакам, каждый третий – многократно. В основном атаки совершались с помощью вирусов и программ-вымогателей, за ними идут DDoS-атакифишинг, атаки на корпоративную сеть и взлом паролей. А чтобы противостоять хакерам, власти даже решили создать единую платформу для обмена информацией о киберинцидентах.

В начале марта 2022 г. Минцифры потребовало от федеральных органов исполнительной власти и органов исполнительной власти субъектов удалить из страниц своих сайтов весь код JavaScript, загружаемый с иностранных ресурсов.

«Многие получатели это требование проигнорировали, – констатируют авторы доклада. – Также регулятор требовал отказаться от услуг зарубежных хостеров. Наконец госорганам рекомендовалось в случае размещения публичного ресурса в доменной зоне, отличной от доменной зоны .RU, переместить его в доменную зону .RU».

Почему важно уходить от иностранных сервисов

Эксперты «Информация для всех» объясняют, что загрузка стороннего кода из неконтролируемых администраторами госсайтов источников абсолютно недопустима из-за возможной утечки данных о посетителях госсайтов.

«Третьи лица, кто бы они ни были, не должны иметь доступ к информации о посетителях госсайтов, даже обезличенной, которая в современном мире больших данных и повсеместного шпионажа интернет-гигантов за интернет-пользователями, без труда сопоставляется с реальными личностями. Тем более очевидной представляется недопустимость загрузки на госсайты кода третьих лиц, находящихся вне юрисдикции Российской Федерации, в том числе странах, называемых сегодня недружественными», – отмечается в докладе.

В беседе с СNews Михаил Сергеев, ведущий инженер CorpSoft24, согласился, что использовать сторонние коды на сайте очень опасно. Простейший пример – сторонние картинки, встроенные на сайт. Когда источник поменяет изображение, на сайте могут появиться совершенно другие картинки, например, нарушающие законодательство России.

«Js скрипты, которые использует Google для сбора аналитических данных, может запрашивать файлы cookies, читать и вносить изменения в локальное хранилище, – приводит пример эксперт. – Сторонний CSS позволяет встроить кейлоггер и все данные вводимые пользователем можно перехватывать в том числе логины и пароли».

Госсайты не спешат убирать коды, так как они используются для сбора аналитики, но выход есть – перейти на российский аналог сервиса «Яндекс.метрика», предлагает Сергеев.

Иной точки зрения придерживается ИТ-специалист Филипп Кулин, рассказавший «Коммерсанту», что из-за содержимого со сторонних ресурсов на госсайтах проблем для их посетителя не возникает. Он уверен, что в обычной ситуации с проблемами не сталкиваются и сами госорганы. Даже утечки персональных данных, уверен эксперт, возникают не из-за загрузки контента извне.

В то же время, сейчас сотрудники ведомств не несут серьезной ответственности за использование небезопасных компонентов на госсайтах, статья КоАП (ч. 1 ст. 13.27) предусматривает штраф 3–5 тыс. руб. Это значит, что в ближайшее время ситуация с госсайтами вряд ли изменится в лучшую сторону.

Источник: Cnews

iTrend: освоить маркировку интернет-рекламы можно только на собственном опыте

25 марта 2024

В феврале 2024 года в Москве прошла Конференция «Digital-коммуникации России». Организатор мероприятия – Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР). Эксперты конференции обсудили острые вопросы рынка digital, в том числе маркировку интернет-рекламы. Об опыте коммуникационного агентства в рамках перехода на работу по новым правилам рассказала Екатерина Саранцева, директор по развитию iTrend.

 

Медиалогия: iTrend – в ТОП-4 коммуникационных агентств по медиаиндексу за январь 2024 года

20 марта 2024

Коммуникационное агентство iTrend вошло в пятерку агентств, получивших наиболее высокий медиаиндекс по данным рейтинга «Медиалогии» за январь 2024 года. Компания заняла четвёртую строчку ранкинга, набрав 433,2 пункта МИ. Медиаактивность участников рынка оценивалась на основе анализа базы российских СМИ, включающей в себя более 88 тыс. источников — ТВ, радио, газеты, журналы, информационные агентства и Интернет-СМИ.

 

iTrend: интерес деловых СМИ к ИТ вырос в 6 раз за последние пять лет

20 марта 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали, как менялся медиаландшафт в ИТ-индустрии в последние пять лет. В компании сравнили количество упоминаний крупнейших российских разработчиков и системных интеграторов в деловых СМИ и пришли к выводу, что об ИТ-компаниях стали писать в 6 раз чаще.

 

Как строить личный бренд в 2024 году? Запись вебинара iTrend и РБК Компании

12 марта 2024

27 февраля 2024 года коммуникационное агентство iTrend и сервис РБК Компании провели вебинар «Новая искренность 2.0. Почему личный бренд — это тренд 2024?».

 

Проект «Облакотеки» и iTrend номинирован на премию «ЦОДы.РФ» в номинации «Креатив года»

12 марта 2024

Telegram-канал КучевыеАйТи, проект разработчика облачных сервисов «Облакотека» и коммуникационного агентства iTrend, номинирован на национальную премию «ЦОДы.РФ».

 
Все новости iTrend