Сколько региональных правительств и парламентов до сих пор не имеют официальных сайтов, насколько надежно защищено их соединение с посетителями, как щедро данные об этих посетителях раздаются посторонним, и что изменилось в этой области за последний год – предмет доклада «Информационная безопасность сайтов государственных органов субъектов Российской Федерации – 2021», выпущенного в рамках нашего проекта «Монитор госсайтов».
Исследование охватило 170 сайтов высших коллегиальных органов исполнительный (правительства, администрации) и законодательной (думы, совета депутатов) власти субъектов федерации, 8 из которых, с точки зрения закона, не являются официальными сайтами государственного органа (подробно мы уже разбирали этот вопрос).
Неофициальные сайты у правительств Алтайского и Ставропольского краев, Архангельской, Астраханской, Оренбургской, Рязанской и Тюменской областей, а также Москвы. Причем администраторами доменных имен сайтов правительств Алтайского края и Рязанской области уже много лет значатся несуществующие организации (ликвидированные в качестве юрлица).
Забавного в этом году тоже обнаружилось немало, например, администратором доменного имени сайта Московской областной думы значится она сама, но указанный в Реестре администраторов ИНН принадлежит подмосковному минфину.
Но самая примечательная запись в Реестре относится к доменному имени сайта Правительства Рязанской области, администратором которой значится «государственная Минпром Рязанской области», причем эта запись имеет статус VERIFIED. То есть, и тот кто заполнял поле ORG-R, и сотрудник Рег.ру, якобы вручную проверявший корректность внесенных данных, либо оба два страдали дислексией, либо курили одну и ту же траву.
И, наконец, мы с интересом наблюдали за передачей прав администрирования доменного имени сайта Правительства Калининградской области, которые во время проведения прошлогоднего исследования принадлежали самому правительству, затем были отпасованы ГБУ Калининградской области «Центр цифровых технологий», а буквально вчера – обратно правительству. Смысл этих телодвижений мы так и не поняли, а причиной последнего паса считаем «привет» от региональной прокуратуры, которую еще летом попросили оценить эту симбурду.
Таким образом, за прошедший год 11 исследуемых сайтов стали официальными, 9 предъявили доказательства законопослушности, и лишь 8 продолжают страдать от альтернативного толкования закона своими владельцами, которым мы передаем очередной «привет» через органы прокуратуры.
Несмотря на существенное ужесточение критериев оценки защищенности соединения исследуемых сайтов со своими посетителями, заметен прогресс, достигнутый рядом госорганов субъектов за прошедший год. Так, 5 сайтов, которые в прошлом году вошли в низшую группу В, в этом заняли верхние строчки рейтинга; компанию им составили 4 сайта, которые в прошлом году вовсе не поддерживали защищенное соединение. Еще 8 сайтов из группы В в этом году вошли в число «крепких середняков». Вместе с тем треть прошлогодних лидеров в этом году оказалась в хвосте.
И тут мы пришли к парадоксальному, на первый взгляд, выводу, что смена методики не только плохо, поскольку затрудняет сравнение динамики за год, но и хорошо. Возьмем, например, два сайта, разделивших в прошлом году с результатом 38 баллов третье место – Правительства Московской области и Законодательного собрания Ямало-Ненецкого автономного округа (привет, ZAZmaster!).
С изменением методики в этом году первый набрал лишь 14 баллов, а второй – 60. Означает ли это, что защищенность соединения посетителей с сайтом ЯНАО за год возросла вдвое, а с сайтом Подмосковья – вдвое снизилась? Нет, просто один сайт соответствует критериям защищенности, как их ни ужесточай, а реальный уровень защищенности второго стал нагляднее.
Отметим также прогресс сайтов парламента Татарстана, правительств Кабардино-Балкарии, Татарстана, ХМАО-Югры и Калининградской области, которые в прошлом году отнюдь не блистали, а также парламента Пермского края, правительств Оренбургской области и Тывы, которые в прошлом году вовсе не поддерживали защищенное соединение: все они в этом году оказались наверху рейтинга.
В то же время приходится констатировать, что хотя общее количество сайтов поддерживающих защищенное соединение за прошедший год почти не изменилось и составляет 71% (73% год назад), 38% сайтов поддерживают защищенное соединение лишь формально, тогда как год назад их было 22%. Поскольку критерии оценки были ужесточены, следует говорить не об ухудшении ситуации, а ее более точном отражении: лишь 23 (14%) сайта соответствуют всем рекомендуемым критериям и обеспечивают своим посетителям достаточно защищенное соединение.
33 (19%) исследованных сайтов соответствуют всем базовым критериям, но лишь части рекомендуемых. 64 (38%) исследованных сайтов можно назвать лишь формально защищенными, к ним относятся и сайты правительства Ярославской области, парламентов Иркутской, Калининградской и Калужской областей, на веб-серверах которых имеются критические уязвимости. Еще 18 (11%) сайтов набрали ноль баллов, поскольку не соответствуют даже минимальным критериям, «защищая» соединение со своими посетителями недействительными TLS-сертификатами. Оставшиеся 32 (19%) сайта и вовсе не поддерживают защищенное соединение, что хотя бы не вводит в заблуждение их посетителей относительно реального уровня защиты информационного обмена с такими сайтами.
В ходе исследования были зафиксированы 927 обращений сайтов госорганов к сторонним хостам, 106 из которых являются уникальными. По сравнению с прошлым годом, количество хостов, с которых госсайты загружают сторонний код, сократилось на 13%, а количество их владельцев на 7%; в то же время, количество самих загрузок возросло примерно на 11%.
Таким образом, сегодня каждый исследованный госсайт в среднем загружает ресурсы с 5,5 сторонних хостов, тогда как годом ранее загружал только с 5. Четыре исследованных сайта не загружают со сторонних хостов ничего, тогда как годом ранее их было пять, еще два сайта загружают только «государственный» сторонний код. При этом 74% сайтов госорганов субъектов федерации загружают ресурсы с хостов, управляемых иностранными организациями; годом ранее их было лишь 58%.
Лидерами по защищенности своих сайтов от угроз, связанных с загрузкой стороннего кода, в этом году, как и в прошлом, стали парламенты Тульской, Рязанской и Воронежской областей, а также Крыма.
Наиболее популярными сторонними загрузками являются ресурсы «Яндекса», обнаруженные на 142 госсайтах, Google (108 сайтов), аналитической системы «Спутник» (82 сайтов), портала «Госуслуги» (77 сайтов), системы мониторинга сайтов «Битрикс» (63 сайтов) и счетчика LiveInternet (29 сайтов).
Любовь к «бесплатному» коду и «аналитике» доходит порой до курьезов. Так на сайтах парламентов Москвы, Удмуртии и Калининградской области установлен код счетчика OpenStat, который уже три года не подает признаков жизни и удален с остальных госсайтов. Мосгордума в этом году также вышла в лидеры по количеству установленных на своем сайте счетчиков – 6 штук, отняв пальму первенства у лидера прошлого года – Правительства Алтайского края, сайт которого в этом году оказался «украшен» кодом лишь 5 разных систем аналитики; компанию ему на второй строчке соответствующего «рейтинга» составляют сайты правительства Волгоградской области, парламентов Тюменской области и Коми.
Если сравнивать ситуацию на региональном и федеральном уровнях, сайты госорганов субъектов федерации защищены в среднем лучше, чем сайты федеральных госорганов, уступая им лишь в одной «номинации» из-за повального неумения или нежелания обзавестись действительным TLS-сертификатом. Однако ситуация с защитой от XSS-угроз прямо противоположная: у федералов дела обстоят заметно лучше, хотя, если быть честным, у них всего лишь просто «ужас», а не «ужас-ужас-ужас-ужас».
