Компания Angara Security изучила свыше 400 сайтов государственных организаций в более чем 80 регионах России. Объектом для анализа стали онлайн-ресурсы правительств субъектов РФ, экономических ведомств, министерств здравоохранения и образования. Мониторинг с помощью инструментов OSINT выявил несколько критичных рисков с позиции информационной безопасности онлайн-ресурсов.
Чаще всего на региональных сайтах используется небезопасный протокол HTTP, который передает конфиденциальную информацию, например, пароли, в открытом виде. Современные браузеры оповещают о данной проблеме пользователей, но это приводит к тому, что официальные сайты не воспринимаются в качестве легальных онлайн-ресурсов, принадлежащих организации. Эта уязвимость была выявлена в 60% случаев.
В 30% случаев эксперты Angara Security отметили, что сотрудники государственных ведомств на официальных ресурсах указывают личные адреса электронной почты для обращений граждан. Всего были проанализированы около 2000 e-mail-адресов, опубликованных на сайтах.
«Публикация этих данных особенно рискованна с т.з. фишинговых атак: например, на почту может прийти сообщение от «жителя региона» с просьбой оказать помощь. А так как регионы объективно испытывают сложности с закупкой специализированного ПО, то учетные данные чиновников могут попасть в руки преступников и использоваться для более высокоуровневых кибератак от имени «сотрудников» ведомств», — подчеркивают в Angara Security.
Стоит отметить, что чиновники, использовавшие личную почту для официальной коммуникации, указывали адреса в российской доменной зоне, т.е. @mail.ru или @yandex.ru. Адресов в международных доменах, например, Google (@gmail.com), выявлено не было.
Ранее руководители и специалисты по ИБ органов власти отметили ряд проблем ведомств в совместном исследовании Центра подготовки руководителей и команд цифровой трансформации ВШГУ РАНХиГС и Angara Security в сентябре 2023 года. В первую очередь, это нехватка финансирования для закупки необходимо ПО и оборудования (64%), дефицит кадров (68%) и отсутствие ресурсов для обработки информации, поступающей со средств ее защиты (23%).
Аналитики Angara Security также выявили, что на сайтах присутствует информация о семьях сотрудников ведомств, которая может быть использована в кибератаках с применением социальной инженерии.
В 10% случаев онлайн-ресурсы недоступны для пользователей и не содержат информацию о проведении технических работ, что усложняет получение информации и услуг для граждан. Аналитики отметили, что региональные сайты государственных ведомств зачастую не придерживаются единого стиля оформления порталов органов власти, а в некоторых случаях и единых доменных имен для сайтов. «На сайтах ряда регионов нет логотипов, обозначающих принадлежность к конкретному региону или ведомству. На первый взгляд, для преступников нет выгоды на таких ресурсах и нет мотивации для их подделки, но с помощью нелегальных сайтов можно собирать персональные данные граждан для дальнейших атак», — продолжают эксперты Angara Security.
Все выявленные риски свойственны большинству онлайн-ресурсов государственных организаций во всех регионах России, при этом в некоторых отмечено наименьшее сочетание таких рисков с т.з. защиты информации и персональных данных на онлайн-ресурсах. К ним относятся Московская, Владимирская, Ленинградская, Калининградская области, регионы Дальневосточного федерального округа.
Исследование онлайн-ресурсов региональных государственных организаций проведено в период с 20 по 25 ноября 2023 года. Анализ сайтов проводился без применения специализированного ПО для анализа защищенности, использованы методы OSINT, которые предполагают анализ ресурсов с позиции пользователей (физических лиц).
