image

Сколько региональных правительств и парламентов до сих пор не имеют официальных сайтов, насколько надежно защищено их соединение с посетителями, как щедро данные об этих посетителях раздаются посторонним, и что изменилось в этой области за последний год – предмет доклада «Информационная безопасность сайтов государственных органов субъектов Российской Федерации – 2021», выпущенного в рамках нашего проекта «Монитор госсайтов».

Исследование охватило 170 сайтов высших коллегиальных органов исполнительный (правительства, администрации) и законодательной (думы, совета депутатов) власти субъектов федерации, 8 из которых, с точки зрения закона, не являются официальными сайтами государственного органа (подробно мы уже разбирали этот вопрос).

Неофициальные сайты у правительств Алтайского и Ставропольского краев, Архангельской, Астраханской, Оренбургской, Рязанской и Тюменской областей, а также Москвы. Причем администраторами доменных имен сайтов правительств Алтайского края и Рязанской области уже много лет значатся несуществующие организации (ликвидированные в качестве юрлица).

Забавного в этом году тоже обнаружилось немало, например, администратором доменного имени сайта Московской областной думы значится она сама, но указанный в Реестре администраторов ИНН принадлежит подмосковному минфину.

Но самая примечательная запись в Реестре относится к доменному имени сайта Правительства Рязанской области, администратором которой значится «государственная Минпром Рязанской области», причем эта запись имеет статус VERIFIED. То есть, и тот кто заполнял поле ORG-R, и сотрудник Рег.ру, якобы вручную проверявший корректность внесенных данных, либо оба два страдали дислексией, либо курили одну и ту же траву.

И, наконец, мы с интересом наблюдали за передачей прав администрирования доменного имени сайта Правительства Калининградской области, которые во время проведения прошлогоднего исследования принадлежали самому правительству, затем были отпасованы ГБУ Калининградской области «Центр цифровых технологий», а буквально вчера – обратно правительству. Смысл этих телодвижений мы так и не поняли, а причиной последнего паса считаем «привет» от региональной прокуратуры, которую еще летом попросили оценить эту симбурду.

Таким образом, за прошедший год 11 исследуемых сайтов стали официальными, 9 предъявили доказательства законопослушности, и лишь 8 продолжают страдать от альтернативного толкования закона своими владельцами, которым мы передаем очередной «привет» через органы прокуратуры.

Несмотря на существенное ужесточение критериев оценки защищенности соединения исследуемых сайтов со своими посетителями, заметен прогресс, достигнутый рядом госорганов субъектов за прошедший год. Так, 5 сайтов, которые в прошлом году вошли в низшую группу В, в этом заняли верхние строчки рейтинга; компанию им составили 4 сайта, которые в прошлом году вовсе не поддерживали защищенное соединение. Еще 8 сайтов из группы В в этом году вошли в число «крепких середняков». Вместе с тем треть прошлогодних лидеров в этом году оказалась в хвосте.

И тут мы пришли к парадоксальному, на первый взгляд, выводу, что смена методики не только плохо, поскольку затрудняет сравнение динамики за год, но и хорошо. Возьмем, например, два сайта, разделивших в прошлом году с результатом 38 баллов третье место – Правительства Московской области и Законодательного собрания Ямало-Ненецкого автономного округа (привет, ZAZmaster!).

С изменением методики в этом году первый набрал лишь 14 баллов, а второй – 60. Означает ли это, что защищенность соединения посетителей с сайтом ЯНАО за год возросла вдвое, а с сайтом Подмосковья – вдвое снизилась? Нет, просто один сайт соответствует критериям защищенности, как их ни ужесточай, а реальный уровень защищенности второго стал нагляднее.

Отметим также прогресс сайтов парламента Татарстана, правительств Кабардино-Балкарии, Татарстана, ХМАО-Югры и Калининградской области, которые в прошлом году отнюдь не блистали, а также парламента Пермского края, правительств Оренбургской области и Тывы, которые в прошлом году вовсе не поддерживали защищенное соединение: все они в этом году оказались наверху рейтинга.

В то же время приходится констатировать, что хотя общее количество сайтов поддерживающих защищенное соединение за прошедший год почти не изменилось и составляет 71% (73% год назад), 38% сайтов поддерживают защищенное соединение лишь формально, тогда как год назад их было 22%. Поскольку критерии оценки были ужесточены, следует говорить не об ухудшении ситуации, а ее более точном отражении: лишь 23 (14%) сайта соответствуют всем рекомендуемым критериям и обеспечивают своим посетителям достаточно защищенное соединение.

33 (19%) исследованных сайтов соответствуют всем базовым критериям, но лишь части рекомендуемых. 64 (38%) исследованных сайтов можно назвать лишь формально защищенными, к ним относятся и сайты правительства Ярославской области, парламентов Иркутской, Калининградской и Калужской областей, на веб-серверах которых имеются критические уязвимости. Еще 18 (11%) сайтов набрали ноль баллов, поскольку не соответствуют даже минимальным критериям, «защищая» соединение со своими посетителями недействительными TLS-сертификатами. Оставшиеся 32 (19%) сайта и вовсе не поддерживают защищенное соединение, что хотя бы не вводит в заблуждение их посетителей относительно реального уровня защиты информационного обмена с такими сайтами.

В ходе исследования были зафиксированы 927 обращений сайтов госорганов к сторонним хостам, 106 из которых являются уникальными. По сравнению с прошлым годом, количество хостов, с которых госсайты загружают сторонний код, сократилось на 13%, а количество их владельцев на 7%; в то же время, количество самих загрузок возросло примерно на 11%.

Таким образом, сегодня каждый исследованный госсайт в среднем загружает ресурсы с 5,5 сторонних хостов, тогда как годом ранее загружал только с 5. Четыре исследованных сайта не загружают со сторонних хостов ничего, тогда как годом ранее их было пять, еще два сайта загружают только «государственный» сторонний код. При этом 74% сайтов госорганов субъектов федерации загружают ресурсы с хостов, управляемых иностранными организациями; годом ранее их было лишь 58%.

Лидерами по защищенности своих сайтов от угроз, связанных с загрузкой стороннего кода, в этом году, как и в прошлом, стали парламенты Тульской, Рязанской и Воронежской областей, а также Крыма.

Наиболее популярными сторонними загрузками являются ресурсы «Яндекса», обнаруженные на 142 госсайтах, Google (108 сайтов), аналитической системы «Спутник» (82 сайтов), портала «Госуслуги» (77 сайтов), системы мониторинга сайтов «Битрикс» (63 сайтов) и счетчика LiveInternet (29 сайтов).

Любовь к «бесплатному» коду и «аналитике» доходит порой до курьезов. Так на сайтах парламентов Москвы, Удмуртии и Калининградской области установлен код счетчика OpenStat, который уже три года не подает признаков жизни и удален с остальных госсайтов. Мосгордума в этом году также вышла в лидеры по количеству установленных на своем сайте счетчиков – 6 штук, отняв пальму первенства у лидера прошлого года – Правительства Алтайского края, сайт которого в этом году оказался «украшен» кодом лишь 5 разных систем аналитики; компанию ему на второй строчке соответствующего «рейтинга» составляют сайты правительства Волгоградской области, парламентов Тюменской области и Коми.

Если сравнивать ситуацию на региональном и федеральном уровнях, сайты госорганов субъектов федерации защищены в среднем лучше, чем сайты федеральных госорганов, уступая им лишь в одной «номинации» из-за повального неумения или нежелания обзавестись действительным TLS-сертификатом. Однако ситуация с защитой от XSS-угроз прямо противоположная: у федералов дела обстоят заметно лучше, хотя, если быть честным, у них всего лишь просто «ужас», а не «ужас-ужас-ужас-ужас».

Комментарии (23)


  1. sonor
    15.09.2021 13:24
    +4

    Я до сих пор не понимаю, почему не могут сделать единый шаблон для всех госучреждений, в том числе правительств, больниц и т.д. Чтобы был единый дизайн, качество и защищенность и все хостилось у одного хостера, тот же государственный РТ имеет много региональных цодов. И доменные имена единообразные .gov.ru, .med.ru и т.п. А то сделали для больниц обязательными сайты и кто во что горазд, а деньги не меньшие пилят, чем ушло бы на централизацию.


    1. ifap Автор
      15.09.2021 13:38

      Вроде как допинали до этого habr.com/ru/post/560892


    1. Eriksanny
      15.09.2021 13:43
      +2

      Поидее есть давно система дизайна для гос.учреждений но почему то он до сих пор не используется на уровне страны. Хотя инициаторы там весомые.

      http://gov.design/


      1. ifap Автор
        15.09.2021 13:45

        Gov.design — важная часть проекта Минкомсвязи
        <...>
        Дизайн-система Gov.design — это общественная и профессионаьная инициатива

        Ну-ну… https бы чтоль сперва прикрутили к общественной инициативе.


        1. Tenebrius
          15.09.2021 14:41
          +2

          Простите за профанский вопрос, но зачем https сайту-лендингу. где пользователь ничего не отправляет?


          1. ifap Автор
            15.09.2021 15:14
            +4

            Хотя бы для того, чтобы сайт отображался у посетителей как и было задумано, без «дополнений» недобросовестных провайдеров.


      1. amarao
        15.09.2021 13:53

        С таким доменом нужно слоган хороший.

        Gov. design - когда качество и сроки не важны.


        1. ifap Автор
          15.09.2021 13:55

          Не передразнивайте Артёмия Татьяновича ;)


          1. amarao
            15.09.2021 13:56

            Я вас не совсем понял. О чём речь?


            1. ifap Автор
              15.09.2021 14:10

              Он форсил слоган свой студии: долго, дорого, о*уенно, который приобрел известность в ширнармассах в виде: долго, дорого, *уево и прочих производных.


      1. hack3r
        15.09.2021 15:41

        Единый дизайн это классно, но слишком поздно они решили делать что-то вместе. Те, кто только пилит свой сайты, могут не знать о таком, а те, кто уже давно занимается поддержкой, наврядли захочет из бюджета брать деньги на переработку того, что и так работает. А за бесплатно такое точно не будут переписывать, ибо don't change this block because legacy doesn't work w/o it. Так что придется нам мириться с разнообразием всех ресурсов :с


    1. hack3r
      15.09.2021 15:36

      С нынешней ситуацией очень интересно искать то, что тебе нужно по обычному запросу в гугле, выбирая из десятка левых сайтов. Занимательно, когда на оф.сайте нужно вводить какие-то личные данные, а там хттп. Зачем же лишать людей такого прекрасного опыта!?


    1. Vorchun
      15.09.2021 16:22

      Шаблоны делали. Ссылку выше кидали. Я даже видел пару презентаций. Добавлю, что надо и шаблон и структуру спускать. Причем разные для министерства, уловной думы/парламента региона, администрации города, министерства.

      Сразу напрашивается единое решение для всех. И хорошо бы под руководством / кураторством головной организации. Чтобы сайт министерства строительства какого-то региона был созвучен минстроя России. А федеральные были по единым шаблонам.

      Но нет. Кто в лес, кто по дрова.


  1. ZAZmaster
    15.09.2021 13:24
    +1

    Приятно что не забыли!)


    1. ifap Автор
      15.09.2021 13:39

      Ну а как, рейтинг-то подрос даже ;) Признавайтесь, правительственный сайт — тоже Ваша заслуга?


  1. Smashrock
    15.09.2021 21:59

    Даже лидер рейтинга, Тульская областная Дума, выглядит так себе в плане защищённости https://www.hardenize.com/report/tulaoblduma.ru/1631728097

    Хотя, по сравнению с другими, у них хоть более-менее нормально подобраны шифронаборы в TLS 1.2, да и я удивился, что они настроили в email инфраструктуре SPF и DMARC - респект за это.


    1. ifap Автор
      15.09.2021 22:00

      Тульская облдума — лидер в XSS-рейтинге, в HTTPS-рейтинге ей гордиться совсем нечем ;)


      1. Smashrock
        15.09.2021 22:22

        Печально это(
        Кстати, а вы не планируете ещё сделать рейтинг сайтов крупных банков, в том числе на тех субдоменах, куда входят через ЛК клиенты? Там тот ещё трындец творится: https://www.ptsecurity.com/ru-ru/research/analytics/vulnerabilities-rbo-2019/


        1. ifap Автор
          15.09.2021 23:09
          +1

          Вряд ли, коммерческий сектор — не наша тема, если только на коммерческих же условиях ;) Немного касались этого сектора здесь, для сравнения habr.com/ru/post/542604 И таки да, тот же сайт ЛК Сбера — это нечто…


          1. Smashrock
            15.09.2021 23:25

            Я тут задумываю пнуть прокуратуру по этому поводу. Не подскажите, какие законы, госты и прочие плоды усиленной законотворческой деятельности нашего гос-ва могли бы помочь убедить прокуратуру взять лупу и посмотреть на предмет лажовой защищённости важных сайтов? В идеале, если прокуратура потом эту лупу запихнёт провинившимся, но это уже в идеале.


            1. ifap Автор
              16.09.2021 00:23
              +1

              Не хочу Вас демотивировать, но сам уже скоро год как пинаю прокуратуру по поводу нарушения госорганами совершенно конкретных НПА по этой части, и не наблюдаю рвения от слова совсем :( Последнее телодвижение — спихнули вопрос Роскомнадзору, который предсказуемо (и справедливо) ответит, что это не его компетенция. А по части банков… наверняка есть какая-то нормативка по этому поводу у Центробанка, но я ее не копал, так что не подскажу.


              1. Smashrock
                16.09.2021 12:55

                Значит добавим им головной боли) Я когда почитал эти доклады, а потом сам просканил несколько сайтов, то у меня волосы на голове дыбом встали.

                Вот мой самый большой concern - это банковские приложения для смартфонов. И всё руки не доходят врубить Wireshark и посмотреть, куда именно подключаются приложения и насколько безопасно само их подключение.

                В общем, спасибо вам за мониторинг, вы делаете реально нужную работу! :)


                1. ifap Автор
                  16.09.2021 13:26

                  Так держать, вода камень точит! И хотя после не значит вследствии, кой-какие подвижки я все-таки вижу.