Новости / октябрь 2023
КонтентИнформационная безопасностьНормативные акты

Защищенность региональных госсайтов по-прежнему оставляет желать лучшего

Три госоргана субъектов Российской Федерации не имеют официальных сайтов: два не имеют сайтов вообще, 10% исследованных госсайтов не поддерживают защищенное соединение, а более 70% поддерживают его лишь формально, не обеспечивая надежную защиту. До сих пор региональные госсайты загружают потенциально небезопасный код из-за рубежа.
Яков
Шпунт
© ComNews
10.10.2023

Такие данные приводятся в результатах исследования сайтов высших органов власти 89 субъектов Российской Федерации, которое регулярно проводит общественное движение "Информация для всех". Как отметил координатор проекта "Монитор госсайтов" Евгений Альтовский, кибератаки на российские госсайты привели к заметному улучшению ситуации с их защищенностью на федеральном уровне, а к 2023 г. сигнал дошел на уровень субъектов Федерации: "Мы наблюдаем некоторое улучшение, но до принципиального изменения ситуации еще далеко и предпосылок к нему не видно".

В 2023 г., по данным исследования, два сайта госоргана субъектов РФ набрали 80 баллов в рейтинге защищенности соединения с посетителями. К прошлогоднему рекордсмену - сайту Законодательного собрания Челябинской области присоединился сайт правительства Астраханской области. Средний результат региональных госсайтов все еще ниже - 26 против 27 баллов у федеральных госсайтов (минимально приемлемым является результат в 29 баллов).

Как показало исследование "Информационная безопасность сайтов государственных органов Российской Федерации: культура отмены информационной безопасности федеральных госсайтов", которое проводилось в июле 2023 г., на сайты федеральных органов власти также проходила бесконтрольная загрузка ресурсов с 44 сторонних хостов, лишь пять из которых контролируются государством. Только 15% госсайтов не загружали код со сторонних ресурсов, при этом 26% из них находились в "недружественных" странах. Также авторы исследования обнаружили, что даже администраторы сайтов не всегда были в курсе, какой сторонний код загружают вверенные им ресурсы.

https://www.comnews.ru/content/227467/2023-07-17/2023-
w29/gossayty-ostayutsya-nekontroliruemoy-mozaikoy-resursov

До сих пор три госоргана субъектов не имеют официальных сайтов (по результатам аналогичного исследования 2022 г. таких было пять), два не имеют сайтов вообще (их количество не изменилось). Также авторы исследования обнаружили, что 10% исследованных госсайтов не поддерживают защищенное соединение, а более 70% поддерживают его лишь формально, не обеспечивая надежную защиту. Впрочем, в 2022 г. не поддерживали протокол HTTPS 15% региональных госсайтов.

По мнению авторов исследования, не лучшим образом обстоят дела с избавлением региональных госсайтов от загружаемого на них из-за границы кода. Если федеральные сайты в 2023 г. полностью избавились от загрузки Google Analytics, региональные стали использовать его на 40% чаще, а сайт парламента Карелии продолжает загружать код объявленной в России экстремистской соцсети Facebook. 97% исследованных сайтов по-прежнему загружают посторонний код, позволяя тем самым третьим лицам контролировать контент и собирать сведения о посетителях. Особо отмечают авторы исследования, что 53% госсайтов загружают ресурсы, контролируемые резидентами недружественных стран.

Заместитель председателя правительства Тульской области - министр по информатизации, связи и вопросам открытого управления Тульской области Ярослав Раков в ходе выступления на конференции "Инфофорум Центр" назвал одной из главных причин для успеха атак, в том числе и на веб-сайты, эксплуатацию уязвимостей, прежде всего в популярной системе управления контентом "1С-Битрикс: Управление сайтом". Именно их эксплуатация, по его словам, привела к дефейсу сайтов двух муниципальных учреждений Тульской области в ходе массовой волны схожих инцидентов по всей стране 26 мая 2023 г.

https://www.comnews.ru/content/229237/2023-10-05/2023-w40/1008/biznes-o…

По оценке основателя ООО "Паравеб" Эмиля Ахтямова, которую он высказал на конференции Cyber V, основными причинами взлома сайтов госучреждений являются устаревшее и уязвимое ПО на серверах, атаки злонамеренных ботов, DDoS, подбор паролей, ошибки в настройке конфигурации системы (в частности, незакрытые порты). При этом, по его оценке, часто имеет место сочетание нескольких факторов, чем и пользуются злоумышленники. "Один из наших клиентов - известная госкорпорация. Ее сайт находится в ведомстве одной организации, а размещается на серверах другой организации, входящей в холдинг. Бюрократический механизм устроен таким образом, что ответственные за обслуживание сайта на сервере не могут обновить веб-окружение по причине того, что сайт может начать работать с ошибками. В 2022 г. из-за неактуального веб-окружения база данных компании была взломана и размещена в телеграм-канале. Она содержала в себе пароли сотрудников этой госкорпорации. После проверки паролей службой безопасности обнаружено, что они совпадают с паролями их информационных систем. Сайт и все учетные записи были заблокированы. Был уведомлен Роскомнадзор, и началось глобальное расследование утечки базы данных", - таким примером из практики поделился Эмиль Ахтямов.

"Результаты наших исследований показывают, что лучшим стимулом для повышения инфобезопасности госсайтов пока является прокуратура и проводимые ею проверки, - заявил Евгений Альтовский. - Однако профильные нормативно-правовые акты последовательно выхолащиваются или вовсе отменяются, и у прокуратуры не остается оснований для реагирования на массовое пренебрежение в госсекторе базовыми требованиями информационной безопасности".

Новости из связанных рубрик