Компания Angara Security провела исследование 400 сайтов государственных организаций в 80 регионах России. Специалисты ИБ‑компании анализировали онлайн‑ресурсы правительств субъектов РФ, экономических ведомств, министерств здравоохранения и образования, рассказали информационной службе Хабра в пресс‑службе компании.
Исследование, проведённое с помощью инструментов OSINT, выявило несколько критичных рисков с позиции информационной безопасности онлайн‑ресурсов. OSINT — это методология сбора и анализа данных, находящихся в открытом доступе, для получения информации о цели.
По словам экспертов по кибербезопасности, чаще всего на региональных сайтах используется небезопасный протокол HTTP, передающий конфиденциальную информацию в открытом виде. Из‑за этого официальные сайты не воспринимаются в качестве легальных онлайн‑ресурсов, принадлежащих организации, потому что современные браузеры считают такие ресурсы опасными. В 10% случаев онлайн‑ресурсы недоступны для пользователей и не содержат информацию о проведении технических работ.
Аналитики компании отметили, что региональные сайты государственных ведомств не придерживаются единого стиля оформления порталов органов власти, а в некоторых случаях — и единых доменных имён для сайтов.
По данным исследования, уязвимость, связанная с небезопасным протоколом HTTP, была выявлена в 60% случаев. В 30% случаев сотрудники государственных ведомств на официальных ресурсах указывают личные адреса электронной почты для обращений граждан. В рамках анализа было проверено 2 тысячи e‑mail‑адресов.
Как утверждают специалисты ИБ‑компании, публикация этих данных особенно рискованна из‑за фишинговых атак. Например, на такую электронную почту может прийти псевдосообщение от «жителя региона» с просьбой оказать помощь, и в руки киберпреступников попадут учётные данные чиновников. Потом эти данные могут использоваться для более высокоуровневых кибератак от имени «сотрудников» ведомств». Однако чиновники, использовавшие личную почту для официальной коммуникации, указывали адреса в российской доменной зоне (например, mail.ru или.yandex.ru). Адресов в международных доменах (например, gmail.com) выявлено не было.
По данным этого исследования было установлено, что на сайтах присутствует информация о семьях сотрудников ведомств, которая также может быть использована в кибератаках с применением социальной инженерии. Все выявленные риски свойственны большинству онлайн‑ресурсов государственных организаций во всех регионах России, указанных в исследовании. При этом в некоторых случаях отмечено наименьшее сочетание указанных рисков по защите информации и персональных данных на онлайн‑ресурсах. К таким регионам относятся Московская, Владимирская, Ленинградская, Калининградская области и регионы Дальневосточного федерального округа.
Исследование онлайн‑ресурсов региональных государственных организаций проведено в период с 20 по 25 ноября 2023 года. Анализ сайтов проводился без применения специализированного ПО для анализа защищённости, использованы методы OSINT, которые предполагают анализ ресурсов с позиции обычных пользователей.
