«Приходите когда убьют» – принцип инфобеза в госсекторе. Как пользователи Портала для размещения НПА могут попасть в чужую учетку и почему это не беспокоит поддержку портала.
Мы в ОД «Информация для всех» не только критикуем законодательные инициативы, но и предлагаем свое видение, как их можно улучшить, тем более что государство предоставило для этого такой удобный инструмент, как Федеральный портал проектов нормативных правовых актов (кому интересно – можете почитать там наш свежий отзыв на проект требований к обеспечению доступности госсайтов для людей с ограниченными возможностями, в основу которого положен все тот же кривой ГОСТ; для незарегистрированных – тот же текст у нас на сайте).
И вот однажды захожу я на этот портал, ввожу логин-пароль и открывается удивительная картина:
Войдя в свою учетку «общественника» я оказался в учетке сотрудника одного из федеральных органов исполнительной власти. Для полноты картины побродил по ссылкам, убедился, что могу просматривать размещенные им проекты НПА, уведомления и т.д. Потом вспомнил, что диспозиция ст.272 УК РФ описывает последствия, но ничего не говорит о мотивах возбраняемого деяния, поэтому удержался от соблазна – исключительно в исследовательских целях, разумеется – разместить проект какого-нибудь искрометного НПА от имени ничего не подозревающего ФОИВ.
Подобрав челюсть с пола, перелогинившись и оказавшись уже в своей учетке, начал бить в набат: написал в поддержку портала, в Национальный координационный центр по компьютерным инцидентам (НКЦКИ) и самому сотруднику ФОИВ, в чью учетку я неожиданно вломился. Вспомнил про существование ст.13.12.1 КоАП РФ, которая предусматривает а-та-ташеньки за нарушение требований к обеспечению функционирования или безопасности объектов критической информационной инфраструктуры (КИИ), и добавил к списку адресатов ФСТЭК, уполномоченную возбуждаться по упомянутой статье.
Как думаете, кто из адресатов хоть как-то возбудился? НКЦКИ отреагировал автоматическим письмом, что информация принята к сведению. ФСТЭК сообщил, что Федеральный портал проектов нормативных правовых актов не является информационной системой, функционирующей в сферах, определенных Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации», следовательно не является объектом КИИ.
Оператором Федерального портала проектов НПА, увы, является Минэкономразвития, а не Минцифра, а выпуск общественниками пара в свисток – не считается отраслью энергетики.
Поддержка портала и вовсе ничего не ответила и, насколько можно судить, до сих пор не удосужилась даже прочесть мое сообщение.
Отреагировал только владелец учетки: поблагодарил за информацию и сообщил, что сам попадал в такую ситуацию – нежданно-негаданно оказался в чужой учетке. Давно ли дело было? – полюбопытствовал я. Месяца четыре назад, – ответил мой собеседник, – но я пару раз перезагрузил страницу и мой аккаунт вернулся в норму. Отписался в поддержку, на что мне ответили: ну раз у вас все вернулась в норму то и проблемы нет, чтобы открывать инцидент.
И впрямь, чего инцидент зря открывать? Когда портал целиком рухнет – тогда и откроют.
Комментарии (9)
Segrey646
14.06.2022 21:57+1Обидно за отечественный инфобез, хотя бы взяли и дырку залатали. А ведь нет будут ждать пока уронят, потом поднимут отряхнут и все...
ifap Автор
14.06.2022 22:04+3Не бывает безопасности без ответственности. Часовой сладко спит на посту, если знает, что не рискует проснуться у стенки.
dartraiden
14.06.2022 22:18+26ну раз у вас все вернулась в норму то и проблемы нет, чтобы открывать инцидент.
Чем-то напомнило техподдержку Gigabyte…
Примерный мой диалог с ними:
— У вас в прошивке к материнской плате XYZ-SuperPuperGaming вот такие баги (список багов из 10 пунктов)
— А вы пробовали это не только на последнем релизе, но и на последней бета-версии, вдруг мы там уже их исправили?
— Да, попробовал и на бета-версии
— Это бета-версия, там ошибки нормальное дело, закрываем тикет
— …
Dmitry_Dor
15.06.2022 00:16+1Вспомнилось:
— У вас тут дыра в безопасности!!!
— Ну хоть что-то у нас в безопасности…
© классика
SinAngeL
17.06.2022 09:17+1Дак. то что вы описали, это последствия. В этой стране люди которые принимают законы. Получают премии за количество принятых законов. А бюджетные конторы на закупки зачем выходят? Чтобы что-то сделать лучше в своей организации? Нет, чтобы реализовать бюджет, а "иначе сгорит, и следующем году денег могут не прислать совсем". И начинается в конце года вспоминают, что не весь бюджет реализовали.
В этой стране многие бюджетные проекты реализуются с одной целью. Чтобы реализовать бюджетный проект. Будет он работать? Сколько раз упадет. Да плевать. Надо сделать работу и получить денюшки. Надо придумать инициативу и получить денюшки. Надо принять еще двадцать законов и получить денюшки и поехать на бали. У нас все что делается государством имеет одну простую самоцель. Быть сделанным. И не подразумевает под собой что будет ли удобно этим сделанным пользоваться
Shaman_RSHU
Очень удобная уязвимость. Можно разобраться, как перебрать учётки и оставлять нужные комментарии, голосовать...
ifap Автор
На "нужных" комментариях мигом спалятся, когда настоящий владелец учетки заметит, а голосование... оно же ничего не решает на самом деле ;)
PereslavlFoto
Вас послушать, так эти учётки бесполезны. Тогда и суппорт правильно решил, что бесполезно починять бесполезное.
ifap Автор
Ну почему же, от имени "государственной" учетки можно какой-нибудь интересный проект НПА разместить или оставить веселенькие комментарии к отзывам. А вот собственно на процесс законотворчества повлиять - чуть менее, чем никак, даже если захватить полный контроль над порталом.