Защищенность региональных госсайтов оставляет желать лучшего
Общественное движение "Информация для всех" опубликовало результаты ежегодного исследования 170 официальных сайтов высших органов власти 85 субъектов Российской Федерации. Исследование проводится в рамках проекта "Мониторинг госсайтов". По итогам исследования выпущен доклад "Информационная безопасность сайтов государственных органов субъектов Федерации - 2022".
Правительства пяти субъектов Российской Федерации (Астраханская, Калужская, Оренбургская области, Москва и Ставропольский край) и вовсе не имеют официальных сайтов. Их администрирование передано подведомственным организациям или несуществующим госорганам, что выводит сайты из разряда официальных. Правительства Воронежской области и Крыма на момент проведения исследования были и вовсе недоступны.
Как показало исследование, защищенность сайтов региональных органов власти находится на низком уровне. К примеру, 15% исследованных сайтов не поддерживают защищенное соединение по протоколу HTTPS, а еще две трети поддерживают его лишь формально, не обеспечивая надежную защиту соединения со своими посетителями. Все это создает условия для перехвата или подмены трафика третьей стороной. Только в 29 субъектах сайты соответствовали всем современным требованиям.
Также авторы исследования обращают внимание, что сайты региональных органов власти до сих пор применяют посторонний код, в том числе зарубежного происхождения. Такие проблемы обнаружены на 99% ресурсов. Федеральные сайты же, как напоминают авторы исследования, практически отказались от Google Analytics и на 40% сократили загрузки иного постороннего кода. Зато больше половины администраторов для защиты от DDoS-атак закрыли доступ к сайтам с зарубежных IP, в том числе и из стран ЕАЭС, хотя данная мера показала себя неэффективной.
Руководитель Центра предотвращения киберугроз CyberART ГК Innostage Антон Кузьмин отметил, что с февраля 2022 г. произошло резкое увеличение интенсивности компьютерных атак на информационные ресурсы органов государственной власти, в том числе объекты критической информационной инфраструктуры. В качестве целей выступают в том числе и сайты госорганов и государственных информационных систем. Вместе с тем, по оценке Антона Кузьмина, преобладающим типом атак является взлом с компрометацией данных: "Появляются новые векторы атак и уязвимости нулевого дня, но список самых популярных типов атак пока остается неизменным. Сюда можно отнести шифрование данных, DDoS, фишинг, подбор паролей от учетных записей пользователей и SQL-инъекции. По нашим наблюдениям, наиболее распространенным видом атак является взлом с компрометацией данных - такие нападения составили 37% от общего числа атак. Взломы электронной почты, так же как и взломы с целью подмены и порчи информации, составили 19% всех нападений, фишинг - 17%. На DDoS-атаки пришлось 7% инцидентов".
"Мы постоянно наблюдаем большое число DDoS-атак, организуемых на ресурсы государственных органов РФ, особенно находящихся в приграничных регионах. Количество сетевых атак в этом году возросло кратно, и сайты госсервисов стали одной из основных мишеней злоумышленников", - делает вывод основатель Qrator Labs Александр Лямин.
"Органы прокуратуры понуждали, а жизнь принуждала госорганы к усилению информационной безопасности госсайтов. Но новые вызовы были восприняты многими госорганами со стоическим равнодушием", - такой вывод по результатам исследования приводится в докладе "Информационная безопасность сайтов государственных органов субъектов Федерации - 2022". На ситуацию не смогли значимым образом повлиять ни рост атак, в том числе на сайты, ни активность регуляторов.
Прогноз на 2023 г. также не слишком благоприятный. "Точнее всего на этот вопрос может ответить прокуратура: если она устроит несколько "показательных порок" нерадивым чиновникам, ситуация начнет меняться стремительно, если нет - будет обычное незначительное улучшение ситуации, связанное с плановым обновлением используемого "железа" и ПО. Дополнительно стимулировать укрепление информационной безопасности в госорганах призван указ президента от 1 мая 2022 г. №250, возлагающий персональную ответственность за ее обеспечение на руководителей госорганов, а не "стрелочников". Но пока я не слышал о случаях его применения", - так в комментарии для ComNews спрогнозировал ситуацию на ближайшее будущее координатор проекта "Монитор госсайтов" Евгений Альтовский.
"Каждая компания должна знать специфику своей информационной системы. Для эффективной борьбы нужно понимать цели своего противника. У хакеров могут быть разные цели, реализацию которых можно задетектировать на разных уровнях информационной инфраструктуры, поэтому каждое средство защиты работает в своей зоне ответственности. К примеру, для защиты веб-приложений компании должны внедрять решения класса WAF. SIEM-системы помогают выявить, что происходит в инфраструктуре. Предотвращение DDoS-атак в зоне ответственности систем Anti DDoS. Антивирусные продукты усиливают защиту на уровне конечного узла. Есть классы защиты внутреннего сетевого трафика", - считает Антон Кузьмин.
"Ситуация с защищенностью региональных сайтов улучшится только в том случае, когда госорганы осуществят переход от бумажной безопасности к реально работающей защите. Важно, чтобы внедряемые решения не только соответствовали требованиям регуляторов, но и обеспечивали эффективную защиту от самых современных атак, поскольку злоумышленники постоянно наращивают мощности и придумывают новые способы нападений, совершенствуя свои инструменты. В связи с этим необходимо принципиально менять парадигму обеспечения информационной безопасности региональных госсервисов, чтобы повысить устойчивость их ресурсов к DDoS и другим сетевым угрозам", - уверен Александр Лямин.
Евгений Альтовский предлагает создать единый национальный корпус нормативных правовых актов в области информационной безопасности и поддерживающих их документов: "Необходимо разработать набор инструкций, руководств, образцов лучших практик, как это сделано в США в виде NIST SP 800. Надзорные органы должны постоянно следить за соблюдением этих НПА, а их нарушители - нерадивые чиновники привлекаться к ответственности. Уберите хотя бы одно из этих слагаемых, и мы получим текущую ситуацию, когда гром уже грянул, но большинство чиновников и не подумало "перекреститься". Единственная заметная реакция на текущие события на сайтах региональных органов власти - георгиевские ленточки и акцент на буквах Z и V в адресах их сайтов".
"Органам государственной власти необходимо задуматься о своей цифровой устойчивости, то есть понять, какие события являются для них неприемлемыми. Пример недопустимого события - авария в сфере ЖКХ, которая может повлечь за собой тяжелые последствия или даже гибель людей. Чтобы этого не допустить, нужно определить системы, которые завязаны на реализации бизнес-процессов и функций. В первую очередь постараться обеспечить их защиту и контроль", - рекомендует Антон Кузьмин.