Лента новостей 195

Социальные сети оказались безопаснее порталов государственных услуг

ОД «Информация для всех» представило новую методику расчета Индекса надежности HTTPS и проект новой методики расчета Индекса защищенности от XSS, использующихся в рамках проекта «Монитор госсайтов».

Эти методики использовались при подготовке доклада «Порталы государственных услуг: мнимая защищенность», выпущенного по результатам исследования надежности защищенного соединения с тремя порталами госуслуг – всероссийским, московским и подмосковным, а также оценки принятых на этих порталах мер защиты от несанкционированного внедрения стороннего контента и кода.

Результаты мониторинга показывают, что сотни миллионов рублей, выложенных налогоплательщиками за разработку и поддержание порталов, не сказались на качестве работ. «Защищенное» соединение с порталами, обрабатывающими и хранящими персональные, финансовые и другие чувствительные данные миллионов россиян, выглядит скорее как имитация защиты.

Порталы госуслуг также оказались не защищены от несанкционированного внедрения стороннего контента и кода. Более того, они сами включают на свои страницы такой код, не контролируя его и полагаясь исключительно на порядочность третьих лиц – владельцев систем аналитики и прочих «бесплатных» сервисов, которая уже неоднократно и небезосновательно ставилась под сомнение в связи с агрессивным сбором ими информации об интернет-пользователях.

Сервера порталов госуслуг содержат уязвимости, настройки безопасности на них не выдерживают никакой критики, а их программное обеспечение подчас не обновлялось годами, – прокомментировал результаты исследования его автор – член Правления ОД «Информация для всех» Евгений Альтовский, – кроме того, порталы бесконтрольно загружают сторонний код, в том числе из зарубежных источников, что ставит под угрозу чувствительные данные миллионов россиян, а московский портал государственных услуг загружает ресурсы частной рекламной сети AdFox.

Все порталы госуслуг используют информационные системы, размещенные за пределами Российской Федерации, предоставляют удаленный доступ к используемым программным средствам для обновления или управления посторонним лицам, а также передают им информацию, что ставит вопрос о соблюдении их администраторами требований Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Согласно результатам мониторинга, Индекс надежности HTTPS подмосковного портала госуслуг составляет 37 баллов, всероссийского – 12, а московского – 11 из 108 возможных. Для сравнения индекс сайта «Аэрофлота», исследованного по той же методике, составляет 60 баллов, а социальных сетей «В контакте» и «Одноклассники» – 57 и 58 баллов соответственно.

Защита сайтов социальных сетей выгодно смотрится на фоне порталов госуслуг, – отметил Альтовский, – хотя и их администраторам есть к чему стремиться. Как ни удивительно, посещать эти сайты сегодня безопаснее, чем порталы государственных услуг.

Вместе с новой методикой расчета Индекса надежности HTTPS ОД «Информация для всех» опубликовало детальные пояснения к ней – «Руководство по достижению соответствия Индексу надежности HTTPS», которое адресовано администраторам веб-серверов, желающих повысить уровня защиты HTTP-соединения между поддерживаемыми ими веб-сайтами и их посетителями.


© Издание 12NEWS (ИП Маринин А.Л.) 12news.ru, 2021