Безответственность приводит к незащищенности

Мониторинг охватывает 81 сайт всех федеральных органов законодательной, исполнительной и судебной власти, а также госорганов с особым статусом — Генпрокуратуры, Соцфонда, Счетной палаты, Федерального фонда обязательного медицинского страхования, Банка России и Центризбиркома. Его проводит общественное движение "Информация для всех". Согласно данным, собранным за 2023 г., ситуация мало изменилась: средний балл исследованных сайтов в Индексе надежности HTTPS вырос на единицу и достиг 28 баллов из 100 возможных. Порог минимально приемлемого уровня безопасности составляет 29 баллов. Средний балл в Индексе защищенности от XSS вырос на до 22. Как отметил руководитель направления сервисов защиты облачного провайдера "НУБЕС" (Nubes) Александр Быков связал вялый прогресс в повышении уровня защиты с тем, что пик активности атак на российские госсайты прошел: "Мы наблюдали всплеск атак в 2022 г. Основные риски за этот период были купированы, имеющиеся критические уязвимости выявлены и закрыты. По сути, сайты были защищены насколько это возможно. По мере снижения количества и остроты угроз, постепенно снизилась и активность тех специалистов, которые отвечают за безопасность сайтов в различных госорганах". Руководитель группы OSINT центра противодействия киберугрозам SOC CyberART Innostage Альберт Антонов также обратил внимание на то, что мониторинг охватывает защищенность соединения между сайтом и пользователем и не включает уязвимости самого веб-ресурса: "В связи с чем, невозможно подтвердить вывод о снижении темпа повышения безопасности из-за недостаточного охвата данной методики. XSS с 2017 г. не входит в топ угроз и на любом современном браузере будет блокироваться по умолчанию. Для ряда публичных ресурсов допустимо отсутствие шифрования, если информация на ресурсе общедоступная и нет форм взаимодействия с пользователем (например, новостная лента). Использование устаревших протоколов шифрования может привести к раскрытию передаваемых между пользователем и сервером данных. А вот подгрузка части контента со сторонних ресурсов может быть опасна, (в частности, с зарубежных и неконтролируемых), действительно может привести к серьезным проблемам в случае злонамеренной подмены этого контента". При этом в 2023 г. первый госсайт федерального органа власти — официальный сайт МВД — вошел в группу А Индекса надежности HTTPS, набрав в нем 81 балл. Для сравнения, среди региональных ресурсов в 2023 г. два (правительства Астраханской области и Законодательного собрания Челябинской области) продемонстрировали показатель в 80 баллов.\[quote\] https://www.comnews.ru/content/229340/2023-10-10/2023-w41/1008/zaschisc… \[/quote\] Как показал мониторинг, защищенное соединение не поддерживает каждый десятый сайт, в том числе сайты президента, правительства, обеих палат парламента, и всех спецслужб — СВР, ФСБ и ФСО. Каждый пятый исследованный сайт автоматически и бесконтрольно загружает программный код компаний из стран, признанных недружественными к России. При этом авторы исследования обращают особое внимание на то, что администраторы госсайтов забывают, что управляемый ими сайт может в любой момент стать неработоспособным даже не в результате злонамеренного воздействия со стороны такого кода, а из-за его блокировки по закону о "приземлении" хостеров Роскомнадзором. Вместе с тем ситуация стала существенно лучше по сравнению с июлем 2023 г., когда больше половины федеральных ресурсов бесконтрольно загружали код со сторонних сайтов, в том числе зарубежных, что дало основания назвать сайты федеральных ведомств "неконтролируемой мозаикой ресурсов".\[quote\] https://www.comnews.ru/content/227467/2023-07-17/2023-w29/gossayty-osta… \[/quote\] "Санкционное давление продолжает расти, западные производители программных продуктов соревнуются в дисциплине "Отключи Россию". Только на прошлой неделе популярный у российских госорганов бельгийский УЦ GlobalSign отозвал TLS-сертификат у сайта Минобороны, однако администраторы госсайтов продолжают полагаться на иностранный код, — прокомментировал полученные результаты координатор проекта "Монитор госсайтов" Евгений Альтовский. — Провозглашенный руководством страны курс на импортозамещение большинством из них был безнаказанно проигнорирован, поэтому сегодня мы можем говорить лишь об усилении безответственности в этой области информационной безопасности". Также координатор проекта "Мониторинг госсайтов" сделал важное дополнение: ответственность тех, кто не защитил эти системы от взлома, либо не наступает, либо вовсе не предусмотрена. По мнению Альберта Антонова, такая ситуация связана с двумя факторами: "Веб-приложения не относятся к критической информационной инфраструктуре, в связи с чем, требования к защищенности данных ресурсов ниже. Кроме того, отсутствие шифрования или подгрузка постороннего кода, что стало предметом исследования, не связаны напрямую с проблемами компрометации ресурсов". Директор по продукту доменного бизнеса RU-CENTER Марина Брик связывает данную ситуацию с некоторым неудобством российских сертификатов: "На рынке есть несколько массовых SSL-сертификатов: бесплатный SSL от Минцифры и коммерческий от ТЦИ. В техническом плане они мало чем отличаются от сертификатов западных удостоверяющих центров, кроме того, что в них используются криптоалгоритмы по ГОСТ. Некоторое их неудобство, из-за которого снижается привлекательность для пользователей, связано с потребностью устанавливать вручную в большинство общедоступных браузеров. Но предполагаем, что в скором времени продукты смогут переболеть этой детской болезнью". Александр Быков считает, что популярность сертификатов зависит от пользователей сайтов, а у них никаких проблем с действующими сертификатами нет: "Владельцам сайтов нет необходимости переходить на новые сертификаты. Компаний, которые имеют проблемы с получением сертификатов на зарубежных площадках, относительно немного, только те, которые попадают в санкционные списки, поэтому массового перехода сайтов на отечественные сертификаты мы не наблюдаем. Если условия для отечественных владельцев сайтов в части получения сертификатов будут меняться в худшую сторону, переход на российские сертификаты будет происходить быстрее и с большим размахом". Альберт Антонов напомнил, что сертификаты Минцифры не предустановлены в большинстве браузеров, самые популярные приложения зарубежные и почти все разработаны на основе Chromium от Google: "Вс они, кроме "Яндекс браузера", "Атома" и нескольких других, по умолчанию, не работают с сертификатами Минцифры, Это и делает трудным для рядового пользователя работу с российскими сертификатами. Их нужно отдельно искать, скачивать и добавлять в доверенные". ГК "Гарда" отказалась от комментариев. ПАО "Группа Позитив" (Positive Technologies) не смогло вовремя предоставить комментарии. Ссылка на источник