Безответственность приводит к незащищенности

Мониторинг охватывает 81 сайт всех федеральных органов законодательной, исполнительной и судебной власти, а также госорганов с особым статусом - Генпрокуратуры, Соцфонда, Счетной палаты, Федерального фонда обязательного медицинского страхования, Банка России и Центризбиркома. Его проводит общественное движение "Информация для всех".

Согласно данным, собранным за 2023 г., ситуация мало изменилась: средний балл исследованных сайтов в Индексе надежности HTTPS вырос на единицу и достиг 28 баллов из 100 возможных. Порог минимально приемлемого уровня безопасности составляет 29 баллов. Средний балл в Индексе защищенности от XSS вырос до 22.

Руководитель направления сервисов защиты облачного провайдера "Нубес" (Nubes) Александр Быков связал вялый прогресс в повышении уровня защиты с тем, что пик активности атак на российские госсайты прошел: "Мы наблюдали всплеск атак в 2022 г. Основные риски за этот период купированы, имеющиеся критические уязвимости выявлены и закрыты. По сути, сайты были защищены, насколько это возможно. По мере снижения количества и остроты угроз постепенно снизилась и активность специалистов, которые отвечают за безопасность сайтов в различных госорганах".

Руководитель группы OSINT центра противодействия киберугрозам SOC CyberART Innostage Альберт Антонов также обратил внимание, что мониторинг охватывает защищенность соединения между сайтом и пользователем и не включает уязвимости самого веб-ресурса: "В связи с чем невозможно подтвердить вывод о снижении темпа повышения безопасности из-за недостаточного охвата данной методики. XSS с 2017 г. не входит в топ угроз и на любом современном браузере будет блокироваться по умолчанию. Для ряда публичных ресурсов допустимо отсутствие шифрования, если информация на ресурсе общедоступная и нет форм взаимодействия с пользователем (например, новостная лента). Использование устаревших протоколов шифрования может привести к раскрытию передаваемых между пользователем и сервером данных. А вот подгрузка части контента со сторонних ресурсов может быть опасна - в частности, с зарубежных и неконтролируемых, - действительно может привести к серьезным проблемам в случае злонамеренной подмены этого контента".

При этом в 2023 г. первый госсайт федерального органа власти - официальный сайт МВД вошел в группу А Индекса надежности HTTPS, набрав 81 балл. Для сравнения, среди региональных ресурсов в 2023 г. два (правительства Астраханской области и Законодательного собрания Челябинской области) продемонстрировали показатель в 80 баллов.

https://www.comnews.ru/content/229340/2023-10-10/2023-w41/1008/zaschischennost-regionalnykh-gossaytov-prezhnemu-ostavlyaet-zhelat-luchshego

Как показал мониторинг, защищенное соединение не поддерживает каждый десятый сайт, в том числе сайты президента, правительства, обеих палат парламента и всех спецслужб - СВР, ФСБ и ФСО. Каждый пятый исследованный сайт автоматически и бесконтрольно загружает программный код компаний из стран, признанных недружественными к России. При этом авторы исследования обращают особое внимание, что администраторы госсайтов забывают, что управляемый ими сайт может в любой момент стать неработоспособным даже не в результате злонамеренного воздействия со стороны такого кода, а из-за его блокировки по закону о "приземлении" хостеров Роскомнадзором.

Вместе с тем ситуация стала существенно лучше по сравнению с июлем 2023 г., когда больше половины федеральных ресурсов бесконтрольно загружали код со сторонних сайтов, в том числе зарубежных, что дало основания назвать сайты федеральных ведомств "неконтролируемой мозаикой ресурсов".

https://www.comnews.ru/content/227467/2023-07-17/2023-w29/gossayty-ostayutsya-nekontroliruemoy-mozaikoy-resursov

"Санкционное давление продолжает расти, западные производители программных продуктов соревнуются в дисциплине "отключи Россию". Только на прошлой неделе популярный у российских госорганов бельгийский УЦ GlobalSign отозвал TLS-сертификат у сайта Минобороны, однако администраторы госсайтов продолжают полагаться на иностранный код, - прокомментировал полученные результаты координатор проекта "Монитор госсайтов" Евгений Альтовский. - Провозглашенный руководством страны курс на импортозамещение большинством из них был безнаказанно проигнорирован, поэтому сегодня мы можем говорить лишь об усилении безответственности в этой области информационной безопасности". Также координатор проекта "Мониторинг госсайтов" сделал важное дополнение: ответственность тех, кто не защитил эти системы от взлома, либо не наступает, либо вовсе не предусмотрена.

По мнению Альберта Антонова, такая ситуация связана с двумя факторами: "Веб-приложения не относятся к критической информационной инфраструктуре, в связи с чем требования к защищенности данных ресурсов ниже. Кроме того, отсутствие шифрования или подгрузка постороннего кода, что стало предметом исследования, не связаны напрямую с проблемами компрометации ресурсов".

Директор по продукту доменного бизнеса RU-CENTER Марина Брик связывает данную ситуацию с некоторым неудобством российских сертификатов: "На рынке есть несколько массовых SSL-сертификатов: бесплатный SSL от Минцифры и коммерческий от ТЦИ. В техническом плане они мало чем отличаются от сертификатов западных удостоверяющих центров, кроме того что в них используются криптоалгоритмы по ГОСТ. Некоторое их неудобство, из-за которого снижается привлекательность для пользователей, связано с потребностью устанавливать вручную в большинство общедоступных браузеров. Но предполагаем, что в скором времени продукты смогут переболеть этой детской болезнью".

Александр Быков считает, что популярность сертификатов зависит от пользователей сайтов, а у них никаких проблем с действующими сертификатами нет: "Владельцам сайтов нет необходимости переходить на новые сертификаты. Компаний, которые имеют проблемы с получением сертификатов на зарубежных площадках, относительно немного, только те, которые попадают в санкционные списки, поэтому массового перехода сайтов на отечественные сертификаты мы не наблюдаем. Если условия для отечественных владельцев сайтов в части получения сертификатов будут меняться в худшую сторону, переход на российские сертификаты будет происходить быстрее и с большим размахом".

Альберт Антонов напомнил, что сертификаты Минцифры не предустановлены в большинстве браузеров, самые популярные приложения зарубежные и почти все разработаны на основе Chromium от Google: "Все они, кроме "Яндекс браузера", "Атома" и нескольких других, по умолчанию не работают с сертификатами Минцифры, Это и делает трудным для рядового пользователя работу с российскими сертификатами. Их нужно отдельно искать, скачивать и добавлять в доверенные".

ГК "Гарда" отказалась от комментариев. ПАО "Группа Позитив" (Positive Technologies) не смогло вовремя предоставить комментарии.