30 ноября 2022

Защищенность региональных госсайтов оставляет желать лучшего

Сай­ты выс­ших ор­га­нов влас­ти субъ­ек­тов РФ за­щище­ны сла­бо. Об этом сви­детель­ствуют дан­ные еже­год­но­го ис­сле­дова­ния в рам­ках проек­та "Мо­нито­ринг гос­сай­тов". Бо­лее то­го, в пя­ти субъ­ек­тах РФ у ор­га­нов влас­ти офи­циаль­ные сай­ты и вов­се от­сутс­твуют.

Общественное движение "Информация для всех" опубликовало результаты ежегодного исследования 170 официальных сайтов высших органов власти 85 субъектов Российской Федерации. Исследование проводится в рамках проекта "Мониторинг госсайтов". По итогам исследования выпущен доклад "Информационная безопасность сайтов государственных органов субъектов Федерации - 2022".

Правительства пяти субъектов Российской Федерации (Астраханская, Калужская, Оренбургская области, Москва и Ставропольский край) и вовсе не имеют официальных сайтов. Их администрирование передано подведомственным организациям или несуществующим госорганам, что выводит сайты из разряда официальных. Правительства Воронежской области и Крыма на момент проведения исследования были и вовсе недоступны.

Как показало исследование, защищенность сайтов региональных органов власти находится на низком уровне. К примеру, 15% исследованных сайтов не поддерживают защищенное соединение по протоколу HTTPS, а еще две трети поддерживают его лишь формально, не обеспечивая надежную защиту соединения со своими посетителями. Все это создает условия для перехвата или подмены трафика третьей стороной. Только в 29 субъектах сайты соответствовали всем современным требованиям.

Также авторы исследования обращают внимание, что сайты региональных органов власти до сих пор применяют посторонний код, в том числе зарубежного происхождения. Такие проблемы обнаружены на 99% ресурсов. Федеральные сайты же, как напоминают авторы исследования, практически отказались от Google Analytics и на 40% сократили загрузки иного постороннего кода. Зато больше половины администраторов для защиты от DDoS-атак закрыли доступ к сайтам с зарубежных IP, в том числе и из стран ЕАЭС, хотя данная мера показала себя неэффективной.

Руководитель Центра предотвращения киберугроз CyberART ГК Innostage Антон Кузьмин отметил, что с февраля 2022 г. произошло резкое увеличение интенсивности компьютерных атак на информационные ресурсы органов государственной власти, в том числе объекты критической информационной инфраструктуры. В качестве целей выступают в том числе и сайты госорганов и государственных информационных систем. Вместе с тем, по оценке Антона Кузьмина, преобладающим типом атак является взлом с компрометацией данных: "Появляются новые векторы атак и уязвимости нулевого дня, но список самых популярных типов атак пока остается неизменным. Сюда можно отнести шифрование данных, DDoS, фишинг, подбор паролей от учетных записей пользователей и SQL-инъекции. По нашим наблюдениям, наиболее распространенным видом атак является взлом с компрометацией данных - такие нападения составили 37% от общего числа атак. Взломы электронной почты, так же как и взломы с целью подмены и порчи информации, составили 19% всех нападений, фишинг - 17%. На DDoS-атаки пришлось 7% инцидентов".

"Мы постоянно наблюдаем большое число DDoS-атак, организуемых на ресурсы государственных органов РФ, особенно находящихся в приграничных регионах. Количество сетевых атак в этом году возросло кратно, и сайты госсервисов стали одной из основных мишеней злоумышленников", - делает вывод основатель Qrator Labs Александр Лямин.

"Органы прокуратуры понуждали, а жизнь принуждала госорганы к усилению информационной безопасности госсайтов. Но новые вызовы были восприняты многими госорганами со стоическим равнодушием", - такой вывод по результатам исследования приводится в докладе "Информационная безопасность сайтов государственных органов субъектов Федерации - 2022". На ситуацию не смогли значимым образом повлиять ни рост атак, в том числе на сайты, ни активность регуляторов.

Прогноз на 2023 г. также не слишком благоприятный. "Точнее всего на этот вопрос может ответить прокуратура: если она устроит несколько "показательных порок" нерадивым чиновникам, ситуация начнет меняться стремительно, если нет - будет обычное незначительное улучшение ситуации, связанное с плановым обновлением используемого "железа" и ПО. Дополнительно стимулировать укрепление информационной безопасности в госорганах призван указ президента от 1 мая 2022 г. №250, возлагающий персональную ответственность за ее обеспечение на руководителей госорганов, а не "стрелочников". Но пока я не слышал о случаях его применения", - так в комментарии для ComNews спрогнозировал ситуацию на ближайшее будущее координатор проекта "Монитор госсайтов" Евгений Альтовский.

"Каждая компания должна знать специфику своей информационной системы. Для эффективной борьбы нужно понимать цели своего противника. У хакеров могут быть разные цели, реализацию которых можно задетектировать на разных уровнях информационной инфраструктуры, поэтому каждое средство защиты работает в своей зоне ответственности. К примеру, для защиты веб-приложений компании должны внедрять решения класса WAF. SIEM-системы помогают выявить, что происходит в инфраструктуре. Предотвращение DDoS-атак в зоне ответственности систем Anti DDoS. Антивирусные продукты усиливают защиту на уровне конечного узла. Есть классы защиты внутреннего сетевого трафика", - считает Антон Кузьмин.

"Ситуация с защищенностью региональных сайтов улучшится только в том случае, когда госорганы осуществят переход от бумажной безопасности к реально работающей защите. Важно, чтобы внедряемые решения не только соответствовали требованиям регуляторов, но и обеспечивали эффективную защиту от самых современных атак, поскольку злоумышленники постоянно наращивают мощности и придумывают новые способы нападений, совершенствуя свои инструменты. В связи с этим необходимо принципиально менять парадигму обеспечения информационной безопасности региональных госсервисов, чтобы повысить устойчивость их ресурсов к DDoS и другим сетевым угрозам", - уверен Александр Лямин.

Евгений Альтовский предлагает создать единый национальный корпус нормативных правовых актов в области информационной безопасности и поддерживающих их документов: "Необходимо разработать набор инструкций, руководств, образцов лучших практик, как это сделано в США в виде NIST SP 800. Надзорные органы должны постоянно следить за соблюдением этих НПА, а их нарушители - нерадивые чиновники привлекаться к ответственности. Уберите хотя бы одно из этих слагаемых, и мы получим текущую ситуацию, когда гром уже грянул, но большинство чиновников и не подумало "перекреститься". Единственная заметная реакция на текущие события на сайтах региональных органов власти - георгиевские ленточки и акцент на буквах Z и V в адресах их сайтов".

"Органам государственной власти необходимо задуматься о своей цифровой устойчивости, то есть понять, какие события являются для них неприемлемыми. Пример недопустимого события - авария в сфере ЖКХ, которая может повлечь за собой тяжелые последствия или даже гибель людей. Чтобы этого не допустить, нужно определить системы, которые завязаны на реализации бизнес-процессов и функций. В первую очередь постараться обеспечить их защиту и контроль", - рекомендует Антон Кузьмин.

Источник: Comnews

iTrend: освоить маркировку интернет-рекламы можно только на собственном опыте

25 марта 2024

В феврале 2024 года в Москве прошла Конференция «Digital-коммуникации России». Организатор мероприятия – Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР). Эксперты конференции обсудили острые вопросы рынка digital, в том числе маркировку интернет-рекламы. Об опыте коммуникационного агентства в рамках перехода на работу по новым правилам рассказала Екатерина Саранцева, директор по развитию iTrend.

 

Медиалогия: iTrend – в ТОП-4 коммуникационных агентств по медиаиндексу за январь 2024 года

20 марта 2024

Коммуникационное агентство iTrend вошло в пятерку агентств, получивших наиболее высокий медиаиндекс по данным рейтинга «Медиалогии» за январь 2024 года. Компания заняла четвёртую строчку ранкинга, набрав 433,2 пункта МИ. Медиаактивность участников рынка оценивалась на основе анализа базы российских СМИ, включающей в себя более 88 тыс. источников — ТВ, радио, газеты, журналы, информационные агентства и Интернет-СМИ.

 

iTrend: интерес деловых СМИ к ИТ вырос в 6 раз за последние пять лет

20 марта 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали, как менялся медиаландшафт в ИТ-индустрии в последние пять лет. В компании сравнили количество упоминаний крупнейших российских разработчиков и системных интеграторов в деловых СМИ и пришли к выводу, что об ИТ-компаниях стали писать в 6 раз чаще.

 

Как строить личный бренд в 2024 году? Запись вебинара iTrend и РБК Компании

12 марта 2024

27 февраля 2024 года коммуникационное агентство iTrend и сервис РБК Компании провели вебинар «Новая искренность 2.0. Почему личный бренд — это тренд 2024?».

 

Проект «Облакотеки» и iTrend номинирован на премию «ЦОДы.РФ» в номинации «Креатив года»

12 марта 2024

Telegram-канал КучевыеАйТи, проект разработчика облачных сервисов «Облакотека» и коммуникационного агентства iTrend, номинирован на национальную премию «ЦОДы.РФ».

 
Все новости iTrend