Через неделю после публикации нашего предыдущего доклада «Информационная безопасность сайтов государственных органов Российской Федерации: ненормативные результаты», основным выводом которого было «96% госсайтов не соответствуют требованиям НПА по информационной безопасности», Международный телекоммуникационный союз (ITU) выпустил свой доклад – Global Cybersecurity Index 2020, и воодушевившееся им Минцифры раскудахталось: Россия заняла 5 место, на 21 позицию выше по сравнению с предыдущим рейтингом, есть потенциал роста, ко-ко-ко!
За неделю, конечно, многое может измениться, но чтоб настолько… Следующий год мы провели в сладостном предвкушении результатов очередного исследования уровня информационной безопасности сайтов государственных органов Российской Федерации в рамках нашего проекта «Монитор госсайтов», результаты которого нынче и публикуем в докладе «Информационная безопасность сайтов государственных органов Российской Федерации: понуждение и принуждение». И знаете что? Прогресс, действительно, обнаружен, хотя до 5 места в общемировом забеге так же далеко, как и год назад.
Основные успехи за год: из 3 госорганов, не имеющих официального сайта, остался только один – Министерство внутренних дел; от 18% ФОИВ, не обеспечивающих посетителям своих сайтов защищенное соединение, осталось лишь 7%, включая СВР, ФСБ и ФСО, которая отвечает за защиту всех государственных коммуникаций; если год назад 76% ФОИВ размещали у себя на сайтах «неуставные» счетчики, то сегодня их уже 38%, а Google Analytics практически изгнана с «федеральных» госсайтов (лишь Росгидромет не в силах с ней расстаться).
Не было бы счастья, да несчастье помогло, – можете предположить вы, имея в виду «виртуальные» последствия военных действий на Украине, и ошибетесь: реакция госорганов на отзыв TLS-сертификатов, DoS-атаки и взлом «Госмонитора» с последующим дефейсом десятков госсайтов, напоминала пожар в борделе: это могло бы быть смешно, если бы не было так грустно. Кое-что об этом мы уже писали, кое о чем упомянули в докладе, а некоторые сюжеты заслуживают более подробного освещения и отдельной статьи, которая не за горами.
На самом деле из трех факторов, которые могли оказать влияние на улучшение ситуации с информационной безопасностью сайтов госорганов – осознание ее важности самими госорганами, кибератаки и понуждение к соблюдению требований закона контрольно-надзорными органами, решающим оказался последний.
Новое руководство Отдела по надзору за исполнением законов в сфере информационных технологий и защиты информации Генпрокуратуры внезапно стало исполнять свои обязанности, обозначенные прямо в названии отдела, вместо того чтобы пересылать поступающие обращения в Минцифры, Роскомнадзор, «Спортлото» и ЮНЕСКО (чем занимались их предшественники). Тут-то информационная безопасность и поперла в гору…
О том, что это заслуга именно прокурорских, говорит, например, такой факт: хотя Google Analytics с «федеральных» госсайтов практически изгнали, 19% оставили у себя код других «бесплатных» сервисов этой компании, который также позволяет собирать данные об их посетителях. То есть, требование НПА, запрещающего размещать «неуставной» код «счетчиков» на госсайтах выполнили, а про прочий код НПА ничего не говорят – значит, оставляем. И так во всем: НПА требует наличия защищенного соединения – ладно, включаем поддержку HTTPS, а что веб-сервер с «дырами» или защита обеспечивается протоколом SSL – так про это в законе ничего не сказано, зачем напрягаться?
Поэтому к следующему году ждем новых свершений на поприще укрепления киберружей госвеба в связи с указом Президента «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», возлагающего персональную ответственность за обеспечение информационной безопасности госорганов на их руководителей. Одно дело – административный штраф для безалаберного сисадмина, совсем другое – дисциплинарное взыскание с предупреждением о неполном служебном соответствии для какого-нибудь министра. Говорят, очень повышает информационную грамотность чиновничества и возбуждает в них живой интерес к кибербезопасности подведомственных сайтов.
Читайте наш новый доклад – там еще много вкусного, ожидайте в ближайшие недели несколько статей о том, что не вошло в доклад, а осенью – очередной доклад об информационной безопасности госсайтов субъектов федерации.
PS: ну правда же смешно, что главный фактор повышения информационной безопасности госсайтов – прокурор?
