Половина сайтов силовых структур России использует публичные почтовые серверы

    В связи с недавним массовым сливом логинов и паролей от популярных в России почтовых сервисов (Yandex, Mail, Gmail), пришла идея провести небольшой анализ использования подобных публичных почтовых серверов в работе наших государственных структур. Решено было остановиться на трех основных силовых структурах — следственном комитете, прокуратуре и МВД, которые, казалось бы, должны блюсти закон пуще других. О результатах же не трудно догадаться по заголовку топика…

    Под катом подробная аналитика и опросы.


    Пролог


    Господин Жаров (глава Роскомнадзора) так прокомментировал утечки идентификационных данных пользователей популярных почтовых сервисов:
    «К сожалению, взломы публичных почтовых или облачных сервисов — явление сегодня довольно распространенное. Как показывает практика, эффективной защитой своих сервисов от хакеров не может похвастаться ни один интернет-гигант – будь то Яндекс, Mail.ru или Google. Роскомнадзор как уполномоченный орган по защите персональных данных россиян внимательно следит, чтобы личная информация граждан не оказывалась в открытом доступе. По факту последних «громких» утечек почтовых паролей в интернет в Роскомнадзор поступило около двух десятков обращений граждан.
    Надо сказать, что в терминологии действующего законодательства логины и пароли электронной почты или аккаунтов в социальных сетях не являются персональными данными. Поэтому у нас нет законных оснований для проведения каких-либо проверок в отношении интернет-компаний, допустивших утечки. Другой вопрос, что получив доступ к почтовым идентификаторам, злоумышленники получают в свое распоряжение содержание вашей переписки – где, конечно, могут быть и ваши персональные данные: изображения, контактная информация, пересылаемые документы и т.д. Наша задача – оперативно выявить, когда такая информация появится в Сети, и прекратить ее распространение.
    Сейчас мы активно используем практику прекращения распространения персональных данных россиян в судебном порядке. За последние месяцы суды вынесли соответствующие решения об ограничении доступа к 12 сайтам-нарушителям законодательства о персональных данных, исковые заявления Роскомнадзора в отношении более 60 сайтов находятся в стадии судебных разбирательств. Отрадно, что в двух случаях суды вынесли определения о предварительных обеспечительных мерах – такая практика позволяет нам добиваться от интернет-ресурсов удаления персональных данных до того, как длительное судебное разбирательство будет завершено, и в течение месяца решение суда вступит в законную силу. В случае с персональными данными скорость нашей реакции критична, ведь всегда существует риск, что ваша личная информация будет использована преступниками, и возникнет угроза вашей физической безопасности, здоровью, жизни или репутации».

    Методика подсчета


    Хотелось проанализировать, что реально видит гражданин при обращении к сайту ведомства, поэтому адреса собирались вручную (спасибо контент-менеджерам, которые умудряются креативить не только с версткой отдельных страниц, но и тасовать разделы меню в рандомном порядке), без использования каких-либо справочников.

    1. Следственный комитет


    Электронный адрес был указан только у 39 подразделений, остальные 55 легко обходятся без оного:

    Следственный комитет оказался самым патриотичным — они используют только отечественные сервисы (в категорию «другие» вошли vologda.ru и nm.ru). Ребята даже помнят Rambler! Молодцы, чо.


    2. Прокуратура


    У данного ведомства какой-то адский ад с сайтами территориальных подразделений. Единого портала нет, каждый наворотил самостоятельно, что хотел. Квест под названием «найди раздел Контакты на 80+ сайтах» занял довольно много времени. Искренне жаль людей, которым приходится ориентироваться в этих дебрях.

    У 31 сайта email в контактах не обнаружился, другие 52 распределились следующим образом:

    Тут работают уже более продвинутые сотрудники — Rambler отправлен на свалку и появляется Gmail! В многочисленную категорию «Другие» попали различные городские порталы и серверы провайдеров, что, очевидно, связано с самобытностью каждого отдельного сайта.


    3. МВД


    Наилучшая ситуация у нас в полиции. Только у 7 подсайтов не обнаружилось ящика вообще, 51 расположен на ведомственном сервере mvd.gov.ru, 26 на публичных:

    В то время, как вокруг страны сжимается кольцо врагов, целых 3 структурных подразделения держат почтовые ящики на серверах все более вероятного противника. Стыдно, товарищи!

    Бывает, что полиция, как ни в чем не бывало, предлагает слать обращения на Yandex и Mail.ru:





    Иногда внешний адрес указывается совместно с ведомственным, но данный случай я также считал залетом, так как обычный гражданин не понимает разницы и способен отослать конфиденциальную информацию на любой из адресов:



    Итог




    Примерно оценить масштабы использования подобных адресов для МВД и СК можно с помощью нехитрых поисковых запросов.

    К чему я это всё


    Граждане обращаются по данным адресам с сообщениями о преступлениях, нередко хотят сохранить анонимность, поэтому нарушение конфиденциальности такого рода информации может реально угрожать их жизни и здоровью. Это уже не какие-то фотографии обнаженных девочек и даже не персональные данные.

    В центральных аппаратах данных ведомств есть люди, которые отвечают за контент сайтов, есть люди и целые отделы, отвечающие за связи с общественностью, имеются отделы по защите информации и гостайны. Почему они не работают?

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Беспокоит ли Вас данное положение дел?
    Приходилось ли Вам передавать конфиденциальную информация для госструктур через публичные почтовые серверы?
    Поделиться публикацией
    Комментарии 45
      –23
      A.C.A.B. в общем-то
        0
        Все интересовались, кому пришло в голову сливать старый паблик в паблик. Начало поста очень похоже на ответ на вопрос.
          +12
          Проверялось только окончание почтового адреса визуально? А как же почта для доменов, которую предоставляют все те же yandex, google, mail?
            0
            Как можно определить использование почты для доменов? Можно ли это определить, например, по заголовкам входящего письма?
              +11
              mx запись проверить. Там будет, например, mx.yandex.ru
              –2
              Визуально. Учитывая, что у ведомств есть официальные почтовые сервера, считаю такой вариант крайне маловероятным и бессмысленным.
                +8
                Взял для примера МВД Волгоградской области. Домен 34.mvd.ru. По DNS MX Check выдаются mx.yandex.ru, чтд.
                По моему мнению, вариант использовать почту для доменов — очень высок. Использование своих собственных почтовых серверов будет только тогда, когда об этом специально попросят и средства на поддержку веделят. И самый простой способ убрать публичные окончания mail.ru, yandex.ru — использовать почту для домена. Делов-то, одну-две строчки скопировать-вставить.
                  0
                  Ваша правда.
                    +2
                    Выходит, что ситуация еще более печальная, чем по моей статистике?
                      0
                      Печальная. Но не на столько, чтобы расстроиться. Как по мне — ничего удивительного не произошло. Все ожидаемо. Было бы наоборот радостно, если бы ваша статистика была бы приближенной к реальности дел. Тогда за 50% собственных серверов структур я бы удивился и порадовался. Причем порадовался стремлению к собственным серверам, но никак не потенциально возросшей безопасности. С одного конца — приватность данных относительно своего сервера и стороннего понятна, с другого конца — устойчивость ко взлому всяко выше у яндекса, мейла, гугла, чем у старшего лейтенанта Почтовика Ивана Сергеевича или отдела безопасности из двух человек и собаки где-то в далеком малоразвитом регионе.
                        0
                        Вы не правы, один хороший специалист может поддерживать и сотню почтовых серверов.
                        А сейчас как правило делают 1 почтовый сервис и раздают ящики своим подразделениям по стране, так что это еще дешевле, чем держать кучу почтовых серверов. А субдомены, как и редирект сделать можно пару строчками.
                          +4
                          То, про что вы рассказываете — это то, как делают коммерческие компании, которым нужно зарабатывать деньги. А в госструктурах ситуация совсем иная. Найти денег на одного-двух «хороших специалистов» там не получится. Скорее найдутся деньги за 100 «старших лейтенантов Почтовика». И да, безопасностью там не будет пахнуть даже близко.
                      0
                      Все-таки адреса mvd.gov.ru идут, как я понимаю, на ведомственный mail.mvd.gov.ru, других вида хх.mvd.ru — нет.
                      • НЛО прилетело и опубликовало эту надпись здесь
                  +2
                  То, что у них сайты по-разному сделаны — это не страшно.
                  А с почтой беда. Сделать единый почтовый сервер на 85 регионов силами местных админов невозможно. Такое под силу только интеграторам за несусветное количество миллионов — с созданием ЦОД и т.д. СК, прокуратура и МВД — видимо не самые богатые ведомства. Вот у ФНС есть единая почта.
                    0
                    Ну вообще, мой «юношеский» максимализм (полюбить — так королеву, проиграть — так миллион) подсказывает, что наверное, стоило бы сделать какой-нибудь gov.ru на все регионы и все ведомства (а может, он даже есть? кто знает). В результате всё равно может получиться существенная экономия.
                    А у нас (Мордовия) вообще форма для обращения к местным властям через сайт сделана :-). Возможно, так даже лучше — когда я вижу email на сайте, я вовсе не уверен, что напишу на этот адрес и мне ответят. Безотносительно того, сайт коммерческой структуры или государственной.
                      +3
                      Вроде как международный опыт показывает, что в правительстве вместо такого сложного единого мега-сайта лучше иметь много местных, но с едиными сервисами и форматами обмена данных.

                      Я встречал обратный подход три раза в своей практике, но не у правительственных организаций, а у международных компаний. Головной офис хостит полсотни сайтов для филиалов в разных странах на одной кодовой базе. Региональные подразделения имеют права редакторов и каждый их шаг регламентирован. В результате получаем шаблонные сайты, на которые на местах даже новую форму добавить невозможно. А любой запрос изменения фич CMS затягивается на несколько месяцев и чаще заканчивается отказом. Чтобы не завалить столько сайтов разом, программисты придерживаются стратегии «ничего не трогай». И такая централизация нафиг не нужна.
                        0
                        Уточню, что я имел в виду единый почтовый сервер (отвечал на комментарий про почту).
                          0
                          В прошлом году вроде какие-то были новости про государственную электронную почту, причем не только для чиновников, но и для плебеев. Но пока все затихло.
                        0
                        gov.ru и на яндекс, явно дешевле будет.
                          0
                          Я надеюсь, это всё-таки шутка была, да?
                          Я просто старенький становлюсь, перестаю понимать шутки.
                            0
                            веткой промахнулся )
                        0
                        Наверное все же это зависит от того, кто стоит во главе всей IT-инфраструктуры конкретного ведомства. НО! единая почта типа username@rXX.mXX.nalog.ru — это в основном для внутренней связи между инспекциями, а для работы, например, с электронными площадками, с контрагентами используются адреса на mail.ru и yandex.ru. Потому что с внутреннего ящика общаться можно, но параноидальные правила безопасности частенько не пропускали документы для бухгалтерии. Это лично мой опыт за 2 года работы в налоговой.
                          0
                          Беда в том, что свои почтовые домены (да и сервера) у них есть. И часть сотрудников пользуется ведомственными ящиками. Но чуть меньше половины пользуется мэйлру, остальные — другими сервисами. Жаль, что нельзя выложить статистику. Она печальная. Почему положение дел такое — я не знаю. Возможно, работа с корпоративным ящиком настолько неудобная, что люди используют бесплатные ящики.
                          +3
                          У опера который расследует дела по автомобилям в Челябинске мыл на маил. Ру и всю переписку он ведет через него.
                            0
                            Справедливости ради, что у следственного комитета, что у прокуратуры, что у МВД обычно на сайте есть «форма для отправки обращений».

                            sledcom.ru/internet-reception/feedback/
                            www.genproc.gov.ru/contacts/ipriem/send/
                            mvd.ru/request_main

                            Что она использует внутри, это уже конечно другой вопрос, но для официальных обращений, вроде бы, стоит использовать именно их.
                            Просто важный момент: нехорошо, что гос.учреждения используют открытые сервисы, а не собственные мощности. Но ведь и пользователи, с высокой вероятностью, будут отправлять письма именно с таких сервисов. Если одна сторона уязвима, столь ли важно, что использует вторая?
                              0
                              Хорошее уточнение. Однако, потенциально скомпрометированная отправляющая сторона все таки не повод безответственно относиться к приему. Это если рассматривать с точки зрения передачи данных. С точки зрения хранения, очевидно, что лучше использовать свое (при этом грамотно отнесясь к безопасности к взлому). Это избавит от потенциальной возможности читать важные данные самими службами яндекса, мейла, гугла, например. Также, нельзя не подумать о внутреннем документообороте. Наверняка в своем постоянстве где-то используется: — Вероника, отправь мне базу должников за первый квартал в почту! — Не вопрос, лови! (при этом два соседних ПК передали информацию через сторонний почтовый сервер где-то далеко — в другом городе, стране или континенте).
                                +1
                                (при этом грамотно отнесясь к безопасности к взлому)
                                Вот тут как раз основная проблема — у тех 2-3 админов на все ведомство в регионах может не быть соответствующих знаний (а может и времени) на правильную настройку и поддержание почтовой системы. И на мой взгляд лучше корпоративная почта на Яндексе например, чем криво настроенный и возможно потенциально уязвимый свой почтовый сервер. С другой стороны возможно для внутренней переписки у них есть собственный почтовый сервер (требования по защите существенно ниже), а для переписки с гражданами используется майл, яндекс итд.

                                Поддерживаю мысль что если и делать собсвенную почтовую систему то единую на все ведомство с ЦОДом в Москве (или единую для всех гос-органов в регионе). Тогда защищенность будет на уровне.
                              0
                              я надеюсь, в списках «слитых» e-mail адресов нет ни одного из «ведомственных»?
                                0
                                Его просто не стали добавлять в список.
                                +8
                                Вот какие ошибки я вижу в этой статье:
                                1) Подразумевается что почтовые сервисы «взломали». Нет, их не взломали, пароли увели у пользователей тем или иным образом. К тому же возникли большие подозрения в 100% актуальности баз. Все статьи есть на хабре.
                                2) Глава Роскомнадзора некомпетентен. Зачем его цитата здесь? Ради смеха?
                                3) Подразумевается что «свои» сервера надежнее «общих». Ага, админ, который работает за 15 тысяч в месяц смог обеспечить безопасность лучше компании, которая на этом зарабатывает. Статьи от админов госконтор тут тоже есть.
                                В то время, как вокруг страны сжимается кольцо врагов, целых 3 структурных подразделения держат почтовые ящики на серверах все более вероятного противника. Стыдно, товарищи!
                                Хабр — не для политики. На сайте крайне не приветствуются дискуссии на политические темы в любом их проявлении.
                                  +9
                                  Ну юмор-то на Хабре ещё не запретили
                                    0
                                    Согласен, свой почтовый сервер не значит надежней!
                                    +2
                                    Настроить сам почтовый сервер — это не трудно.
                                    А вот настроить нормальный анти спам — это мега сложная задача.
                                    Хотя нет, это не задача, а война.
                                    Потому парой хороших админов вы не обойдетесь.
                                    Вот у убегают люди на публичные сервера, пусть гугловые и яндексовые админы сражаются на этой войне.
                                      +1
                                      owa.mos.ru/ — единая почтовая система правительства Москвы.
                                      Сделана на Microsoft Exchange.
                                      Со следующего года адрес почты в домене mos.ru обязательно должен быть указан на бланках и официальных документах всех госучреждений Москвы.
                                        +1
                                        С невалидным сертификатом?
                                          0
                                          Формально — нет. Сертификат совершенно валиден, так как подписан неким CA, выдан для правильного сайта и действителен с 08.09.2014 по 07.02.2017. Да, вы не доверяете CA «JSC Electronic Moscow RSA», поэтому в вашем браузере этот сертификат не отображается как доверенный. Но у вас и аккаунта на этом owa.mos.ru нет, так что ваш личный пример не показателен.

                                          Весь вопрос в том, как устроен процесс заведения аккаунта у owa.mos.ru: заставляют ли они прописывать CA «JSC Electronic Moscow RSA» в доверенные или просто говорят: «добавьте исключение». Я бы поставил на второе, да в любом случае и первый вариант-то плох, поскольку чреват компрометацией.
                                            0
                                            Сертификат валидный для государственных ведомств, так как выдан доверенному ЦУ. Другое дело, что там используются вражеские алгоритмы шифрования.
                                          +1
                                          В центральных аппаратах данных ведомств есть люди, которые отвечают за контент сайтов, есть люди и целые отделы, отвечающие за связи с общественностью, имеются отделы по защите информации и гостайны. Почему они не работают?

                                          Возможно потому, что они существуют лишь на бумаге.
                                          Пример: в эти выходные «один мой друг» восстанавливал муфту высоковольтную, вместо того, чтобы отдыхать. По документам небезызвестной организации, осваивающей бюджетные средства, там были голландские муфты, а по факту — дешевый китай (самый дешевый из возможных), который шьет почем зря.
                                          • НЛО прилетело и опубликовало эту надпись здесь
                                              0
                                              Ребята даже помнят Rambler! Молодцы, чо.


                                              А чо? Я тоже помню рамблер, и это у меня основной ящик наряду с гмылом. Чем он так особо плох?
                                              Почту показывает, антиспам настраивается. Только что двухфакторной аутентификации нет да
                                              мобильного приложения.
                                                +1
                                                ФМС тоже. Взгляните на приложение 1 к административному регламенту. В этом приложении еще можно обратить внимание на почтовые адреса УФМС по Республике Коми, Марий Эл, Республике Мордовия, Камчатскому и Краснодарскому краю.
                                                  0
                                                  Мнда…
                                                    0
                                                    Чего-то они там напутали. Я для загранпаспорта искал список документов на www.fmsrm.ru/
                                                    Хотя почтовые адреса — всё равно на mail.ru
                                                    0
                                                    А может они дезу в gmail сливают :)

                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                    Самое читаемое