96% госсайтов не соответствуют требованиям НПА по информационной безопасности
ОД «Информация для всех» опубликовало результаты очередного исследования уровня информационной безопасности сайтов государственных органов Российской Федерации, проведенного в рамках проекта «Монитор госсайтов». Исследование охватило 83 сайта всех федеральных органов законодательной, исполнительной и судебной власти, а также государственных органов Российской Федерации.
Согласно выпущенному по результатам исследования докладу «Информационная безопасность сайтов государственных органов Российской Федерации: ненормативные результаты», 96% исследованных сайтов не соответствуют тем или иным требованиям нормативно-правовых актов (НПА).
Сайты 3 госорганов не соответствуют требованиям, установленным законом к официальным сайтам государственных органов. 15% федеральных органов исполнительной власти (ФОИВ) игнорируют нормативное требование, предписывающее обеспечивать защищенное соединение своих сайтов с их посетителями. 75% сайтов ФОИВ загружают не контролируемый ими сторонний код, а на 64% размещен код счетчиков посещений, не зарегистрированных в едином реестре российских программ для ЭВМ.
Большинство сайтов госорганов продолжают оставаться «проходным двором», не обеспечивая своим посетителям приемлемый уровень защищенности соединения и не контролируя загрузку на свои страницы кода третьих лиц, большинство из которых являются иностранными компаниями, — отметил координатор проекта «Монитор госсайтов» Евгений Альтовский, — Одним из результатов такой безалаберности стала серия кибератак на ФОИВ, выявленная в прошлом году Национальным координационным центром по компьютерным инцидентам.
В ходе исследования выяснилось, что МВД и Управделами Президента так и не удосужились выполнить требования закона к официальным сайтам государственных органов, оставив право администрирования соответствующих доменных имен за подведомственными госпредприятиями. Администратором доменного имени сайта Минобороны числится некий «Центр (финансирования специальных программ)», ликвидированный ФНС еще в 2018 году по основаниям, с которыми обычно ликвидируют «налоговые ямы» — в связи с отсутствием признаков хозяйственной деятельности и непредставлением налоговой отчетности. Таким образом, регистрация доменного имени mil.ru должна быть вовсе аннулирована согласно «Правилам регистрации доменных имен в доменах .RU и.РФ».
Среди Требований к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти — обеспечение этими сайтами шифрования и защиты передаваемой информации, однако 15% сайтов ФОИВ игнорируют его, это сайты Правительства, Главного управления специальных программ Президента, СВР, ФСБ, ФСО, ФСВТС, Рособрнадзора, Росжелдора, Рослесхоза, Росморречфлота, ФАДН и Росрыболовства.
Защищенное соединение не поддерживается также на сайтах Президента, Совфеда, Госдумы, Конституционного суда, ФОМС и ЦИК, а если говорить не о формальной поддержке протокола HTTPS, а реальной защите соединения, то ее обеспечивают лишь 9% исследованных госсайтов.
Лишь 8% госсайтов не загружают ресурсы со сторонних хостов, при этом 58% госсайтов загружают ресурсы с хостов, контролируемых иностранными организациями, что противоречит законодательной норме о размещении технических средств информационных систем, используемых госорганами, на территории России.
Любовь к «бесплатному» постороннему коду и «аналитике» доходит порой до курьезов. Так на сайте Главного управления специальных программ Президента установлен счетчик OpenStat, который уже три года не подает признаков жизни, а на сайте Пенсионного фонда — счетчик SpyLog, не существующий уже более 10 лет. Однако в лидеры по количеству загружаемых счетчиков в этом году вышла Росаккредитация, на чьем сайте их оказалось сразу 7, причем 3 их них загружаются без ведома администратора сайта.
Согласно Требованиям к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти, на этих сайтах допускается применение программного кода «счетчика посещений», сведения о котором включены в единый реестр российских программ для ЭВМ и баз данных. Как показали результаты исследования, большинство ФОИВ данное требование игнорируют и пользуются «неуставными» счетчиками.
Несмотря на масштаб выявленных проблем и их количество, проблема несоответствия подавляющего большинства госсайтов требованиям НПА не была даже обозначена Минэкономразвития в прошлогоднем отчете «О результатах мониторинга официальных государственных сайтов».
Полученные нами результаты могут успокоить алармистов, видящих в стремлении государства взять под контроль национальный сегмент сети Интернет лишь намерение построить «суверенный Чебурнет», — отметил Альтовский, — даже сами государственные органы в большинстве случаев игнорируют требования соответствующих нормативно-правовых актов. Поэтому наш новый доклад и получил подзаголовок «ненормативные результаты».