29 октября 2022

Госсайты используют зарубежные сервисы вопреки требованиям Минцифры

Региональные госсайты продолжают использовать зарубежные сервисы, несмотря на то, что Минцифры еще полгода назад требовало миграции на российские аналоги. Каждый второй сайт органов власти на местах базируется на сервисах Google. ИБ-эксперты отмечают, что использование кодов, загружаемых из-за рубежа чревато неприятностями.

Не «слезают» с иностранных сервисов

Госсайты органов власти в регионах продолжают использовать коды, загружаемые из-за рубежа, говорится в докладе общественного движения «Информация для всех». Документ опубликован на сайте движения в рамках проекта «Монитор госсайтов» 2022.

Согласно исследованию, 99% сайтов до сих пор используют сторонние компоненты, не входящие в состав информсистем, на которых они работают. Аналитики в сентябре 2022 г. проанализировали 170 сайтов и выяснили, что 102 из них загружают сторонний код с ресурсов из «недружественных» России государств, которые его в том числе контролируют. В частности, коды YouTube и reCAPTCHA (сервис защиты от спама) и других сервисов Google исследователи нашли на каждом втором местном госсайте.

Что касается сайтов федеральных органов исполнительной власти, аналитики сообщают, что, несмотря на требования Генпрокуратуры, 27 (38%) ФОИВ все еще пользуются счетчиками посещений Google AnalyticsLiveinternet, «Рамблер топ 100», Hotlog и SpyLog. В то же время заметен прогресс по сравнению с 2021 г., когда это требование нарушали 76% ФОИВ, а на госсайтах встречался код еще двух счетчиков – NewRelic и Openstat, которые в этом году исчезли с сайтов. Также каждый десятый сайт не поддерживает защищенное соединение со своими посетителями (что в случае с сайтами федеральных органов исполнительной власти является нарушением), а более половины остальных делают это лишь формально.

Исследователи сообщают, 86% исследованных госсайтов используют технические средства, не входящие в состав информационных систем соответствующих сайтов, и размещенные в 31% случаев за пределами территории России. Удаленный доступ для обновления и управления этих средств предоставляется посторонним, а информация бесконтрольно передается разработчикам указанных программных средств.

Хуже всего от атак типа XSS защищены сайты ЦентробанкаРосархива и Росалкогольрегулирования. Худшая поддержка HTTPS оказалась у сайтов РосморречфлотаРособрнадзораРосприроднадзораРоссотрудничестваФАС и ФТС. Практически все эти сайты не поддерживают расширение протокола TLS Extended Master Secret, что создает предпосылки для прослушивания (MitM) «защищенного» соединения с посетителями.

Что требовало Минцифры

Аналитики напомнили, что быстрее переходить на российские альтернативы госорганы должны были подтолкнуть не только меры прокурорского реагирования, но и масштабные кибератаки на информационную структуру страны, которые усилились после 24 февраля 2022 г.

CNews писал о том, что в 2022 г. каждый второй российский государственный орган подвергся кибератакам, каждый третий – многократно. В основном атаки совершались с помощью вирусов и программ-вымогателей, за ними идут DDoS-атакифишинг, атаки на корпоративную сеть и взлом паролей. А чтобы противостоять хакерам, власти даже решили создать единую платформу для обмена информацией о киберинцидентах.

В начале марта 2022 г. Минцифры потребовало от федеральных органов исполнительной власти и органов исполнительной власти субъектов удалить из страниц своих сайтов весь код JavaScript, загружаемый с иностранных ресурсов.

«Многие получатели это требование проигнорировали, – констатируют авторы доклада. – Также регулятор требовал отказаться от услуг зарубежных хостеров. Наконец госорганам рекомендовалось в случае размещения публичного ресурса в доменной зоне, отличной от доменной зоны .RU, переместить его в доменную зону .RU».

Почему важно уходить от иностранных сервисов

Эксперты «Информация для всех» объясняют, что загрузка стороннего кода из неконтролируемых администраторами госсайтов источников абсолютно недопустима из-за возможной утечки данных о посетителях госсайтов.

«Третьи лица, кто бы они ни были, не должны иметь доступ к информации о посетителях госсайтов, даже обезличенной, которая в современном мире больших данных и повсеместного шпионажа интернет-гигантов за интернет-пользователями, без труда сопоставляется с реальными личностями. Тем более очевидной представляется недопустимость загрузки на госсайты кода третьих лиц, находящихся вне юрисдикции Российской Федерации, в том числе странах, называемых сегодня недружественными», – отмечается в докладе.

В беседе с СNews Михаил Сергеев, ведущий инженер CorpSoft24, согласился, что использовать сторонние коды на сайте очень опасно. Простейший пример – сторонние картинки, встроенные на сайт. Когда источник поменяет изображение, на сайте могут появиться совершенно другие картинки, например, нарушающие законодательство России.

«Js скрипты, которые использует Google для сбора аналитических данных, может запрашивать файлы cookies, читать и вносить изменения в локальное хранилище, – приводит пример эксперт. – Сторонний CSS позволяет встроить кейлоггер и все данные вводимые пользователем можно перехватывать в том числе логины и пароли».

Госсайты не спешат убирать коды, так как они используются для сбора аналитики, но выход есть – перейти на российский аналог сервиса «Яндекс.метрика», предлагает Сергеев.

Иной точки зрения придерживается ИТ-специалист Филипп Кулин, рассказавший «Коммерсанту», что из-за содержимого со сторонних ресурсов на госсайтах проблем для их посетителя не возникает. Он уверен, что в обычной ситуации с проблемами не сталкиваются и сами госорганы. Даже утечки персональных данных, уверен эксперт, возникают не из-за загрузки контента извне.

В то же время, сейчас сотрудники ведомств не несут серьезной ответственности за использование небезопасных компонентов на госсайтах, статья КоАП (ч. 1 ст. 13.27) предусматривает штраф 3–5 тыс. руб. Это значит, что в ближайшее время ситуация с госсайтами вряд ли изменится в лучшую сторону.

Источник: Cnews

Приглашаем на конференцию для директоров по маркетингу и PR-руководителей ИТ-компаний 

5 июня 2024

На мероприятии встретятся директора по маркетингу и PR-руководители крупных российских ИТ-компаний.

 

Экс-редактор Comnews присоединился к команде iTrend

30 мая 2024

На позицию руководителя проектов коммуникационного агентства iTrend вышел Денис Шишулин – ранее многолетний выпускающий редактор издательской группы ComNews, одного из самых авторитетных ИТ-изданий в России. В iTrend Денис будет отвечать за стратегическое руководство ряда PR-проектов с ИТ-компаниями, оперативное взаимодействие со СМИ, координацию работы команд, а также за качество проектов, которыми руководит в агентстве.

 

iTrend — в числе топ-агентств России по версии «Рейтинга Рунета»

28 мая 2024

Опубликованы итоги ранкинга коммуникационных агентств от «Рейтинга Рунета–2024». iTrend занял лидирующие места в ключевых для агентства срезах — PR в ИТ-отрасли, SMM в ИТ-отрасли, PR и SMM на аудиторию b2b enterprise, PR-аналитика, PR первых лиц и др.

 

Исследование iTrend: зарплата для ИТ-специалистов — не решающий фактор при выборе работодателя

23 апреля 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали критерии выбора работы, а также медиапредпочтения более 300 высокоуровневых специалистов из крупных российских ИТ-компаний.

 

Команда iTrend начала работу с Институтом iSpring

19 апреля 2024

Институт iSpring — частный ИТ-вуз нового поколения. Он был основан в 2021 году в Йошкар-Оле российским предпринимателем и основателем международной ИТ-компании iSpring Юрием Усковым.

 
Все новости iTrend