Регионам трудно раскодироваться
Госсайты на местах продолжают использовать зарубежные сервисы
Спустя полгода после предписания Минцифры убрать коды, загружаемые из-за рубежа, региональные госсайты продолжают ими пользоваться, следует из мониторинга общественного движения «Информация для всех». Каждый второй сайт местных органов власти использует сервисы Google, а функция защиты внешних ресурсов от подмены не настроена ни на одном из них. Госсайты обязаны следовать правилам, но их нарушение грозит лишь штрафом до 5 тыс. руб., отмечают авторы исследования. Эксперты, впрочем, считают требование Минцифры излишними: использование на сайтах зарубежного кода не несет рисков при нормальной организации информационной безопасности.
“Ъ” ознакомился с докладом общественного движения «Информация для всех» о кибербезопасности сайтов региональных органов власти. Согласно исследованию, 99% таких ресурсов до сих пор используют сторонние компоненты, не входящие в состав информсистем, на которых они работают.
Из 170 сайтов, проанализированных в сентябре, 102 загружают сторонний код с ресурсов из стран, объявленных властями РФ недружественными.
Код YouTube, reCAPTCHA (сервис защиты от спама) и других сервисов Google был обнаружен на каждом втором региональном сайте.
Российские власти обратили внимание на использование зарубежных кодов на госсайтах после начала военных действий на Украине. Тогда на страницы российских ведомств были предприняты массированные кибератаки. Вице-премьер Дмитрий Чернышенко поручил Минцифры разработать меры защиты информационной инфраструктуры. Министерство велело региональным госорганам к 11 марта удалить со своих сайтов коды, загружаемые с зарубежных ресурсов (см. “Ъ” от 6 марта). “Ъ” направил запросы в аппарат господина Чернышенко и Минцифры.
Сейчас сотрудники ведомств не несут серьезной ответственности за использование небезопасных компонентов на госсайтах. Так, соответствующая статья КоАП (ч. 1 ст. 13.27) предусматривает штраф 3–5 тыс. руб. «К тому же практика правоприменения по этой статье невелика — по большей части потому, что до 2022 года даже Генпрокуратура ограничивалась отписками или "спуском" обращений в регионы»,— объясняет координатор проекта «Монитор госсайтов» Евгений Альтовский. По его словам, проблема усугубляется низкими зарплатами в региональных госорганах и невысокой квалификацией администраторов их сайтов.
От того, что госсайты используют содержимое со сторонних ресурсов, проблемы для их посетителя не возникают, говорит IT-специалист Филипп Кулин. Он отмечает, что в обычной ситуации с проблемами не сталкиваются и сами госорганы: «Другой вопрос, что администраторы не могут контролировать, что размещают чужие ресурсы». Проблемы для пользователей могут возникнуть, только когда дело касается утечек персональных данных, но это уже уровень «внутренностей сайта госуслуг», а не загрузки контента извне, добавляет господин Кулин.
Страна происхождения интернет-ресурса не важна с точки зрения кибербезопасности, добавляет консультант компании Positive Technologies Алексей Лукацкий: «Скомпрометировать можно все, и оценивать защищенность тоже нужно для всего».
Например, взлом системы «Мониторинг госсайтов» (разработана Минэкономики) в марте позволил злоумышленникам разместить антивоенный баннер на ресурсах, которые использовали ее счетчик. К сентябрю счетчик сохранился на пяти региональных сайтах, сказано в исследовании.
Существует возможность, что иностранные владельцы ресурсов могут заблокировать доступ из России, «но это больше организационный риск», добавил главный специалист отдела комплексных систем защиты информации «Газинформсервиса» Дмитрий Овчинников. От взлома же, по его словам, «может спасти только грамотное обслуживание и защита своих информационных ресурсов, а не отдельная технология».