Госсайты в зоне риска: большинство не выдержали проверку безопасности
Официальные сайты - это главный канал связи между властями и населением. Но с другой стороны, именно они и становятся мишенью для кибератак. Поэтому от их защищенности зависит не только безопасность и сохранность данных граждан, но и в целом их доверие к онлайн-сервисам государства.
Ассоциация DRA с экспертами TSARKA Kyrgyzstan изучили основные 76 сайтов государственных органов: основной домен, главную страницу и почтовый сервер. Оказалось, что сайты госорганов с высоким уровнем защиты можно посчитать по пальцам.
Насколько защищены сайты госорганов
Основной целью исследования было провести комплексную оценку уровня кибербезопасности интернет-ресурсов госорганов Кыргызстана, выявить существующие уязвимости и сформировать практические рекомендации по их устранению.
Тестирование проводилось без воздействия на работоспособность веб-ресурсов, с применением "легких" HTTP- и DNS-запросов, а также анализа ответов сервера. Все сайты проверяли по нескольким важным параметрам безопасности:
- использование уязвимых или устаревших технологий;
- безопасность почтовых серверов;
- безопасность контента и передачи данных;
- шифрование трафика и утечка информации;
- конфигурация веб-сервера;
- соответствие стандартам.
Для проверки были выбраны ключевые контрольные точки, доступные без вмешательства в работу веб-ресурсов. Это исключает возможность нанесения технического ущерба. Но при этом позволяет реально оценить уровень защищенности той информации и данных, в том числе и персональных, которые представлены на официальных сайтах.
Выводы неутешительны: лишь 3 (!) сайта преодолели оценку в 70%.
"Наиболее частыми проблемами стали отсутствие HTTP-заголовков безопасности, открытые критические пути и устаревшие компоненты", - отмечают авторы исследования.
Средний уровень защищенности проверенных сайтов составил всего 56%. Эксперты считают, что это указывает на неоднородность подхода к кибербезопасности в большинстве случаев. Выявленные уязвимости и ошибки конфигурации свидетельствуют о необходимости дальнейшего совершенствования мер киберзащиты.
Что не так с госсайтами
Анализ показал, что основные уязвимости касаются неправильной настройки DNS, отсутствия базовой защиты от фишинга, наличия открытых портов и директорий, а также устаревших технологий с известными уязвимостями.
Самая сложная ситуация оказалась с системой настройки DNS. Все 76 доменных имен показали недостатки в работе. Не оказалось ни одного сайта, где бы в этом направлении все было хорошо. Выяснилось, что 49 сайтов из 76 (64,4%) не используют систему DMARC, тем самым увеличивая вероятность фишинговых атак и мошенничества. В 20 слабые или отсутствующие SPF-записи, что позволяет злоумышленникам подделывать e-mail с этих доменов.
Компрометация DNS может привести к перехвату электронной переписки, перенаправлению пользователей на вредоносные сайты, подрыву доверия к организации и репутационным потерям.
Ошибки в настройке DNS могут позволить злоумышленникам подменить домен (DNS spoofing), отправлять фишинговые письма от имени организации или обойти фильтрацию трафика.
Анализ шифрования и безопасности трафика показал, что на 8 сайтах даже не используют защищенное соединение (HTTPS). Это тот самый замочек, который появляется в адресной строке браузера. Его отсутствие означает, что можно перехватить данные, которые вы вводите на сайте - например, логины, пароли или заявки. Но есть и хорошие новости: по этому критерию 20 сайтов имеют максимальную оценку, в том числе сайты Госипотечной компании, кадастра, Госрегистра, налоговой службы и др.
Проверка репутации доменов госорганов показала, что ни один не находится в черном списке.
Была оценка и потенциальных точек утечки данных с сайтов и возможного незащищенного интерфейса. На 29 сайтах из 76 открыты опасные адреса, например, вход в административные панели или панели управления, доступ к серверным файлам и даже конфиденциальные файлы, которые не должны быть доступны. Если кто-то знает, куда нажать, - может попасть в закрытые разделы и получить важную информацию. В этой части лучше всего защищены сайты президента, ГКНБ, мэрии Бишкека, министерств здравоохранения, экономики и коммерции, водных ресурсов, сельского хозяйства и перерабатывающей промышленности, образования.
Еще из находок экспертов: 34 сайта из 76 имеют критичные открытые порты, что увеличивает риск утечки данных, взлома серверов и проникновения в сеть организации. Уязвимые сервисы могут быть использованы для удаленного доступа или внедрения вредоносного кода. Обнаружены также уязвимое программное обеспечение и старые субдомены, которые сейчас не используются, но могут стать источником атак - например, подмены содержимого (subdomain takeover), фишинга или запуска вредоносного кода.
Анализ HTTP-заголовков безопасности показал, что 56 интернет-ресурсов имеют низкие показатели по HTTP Security. Почему это плохо? При отсутствии или неправильной настройке HTTP-заголовков злоумышленники могут выполнить внедрение вредоносного кода (XSS), подменить контент, украсть пользовательские данные или использовать сайт в мошеннических схемах.
Главные рекомендации
Результаты анализа защищенности веб-ресурсов Кыргызстана показали наличие тенденции к увеличению уровня кибербезопасности. Но на целом ряде сайтов нашли серьезные уязвимости. Исправить их нужно как можно скорее.
Некоторые интернет-ресурсы находятся на минимальном уровне защищенности, несмотря на публичную значимость и потенциальные риски утечки данных или компрометации.
Чтобы изменить ситуацию, госорганам необходимо провести централизованный аудит и стандартизацию конфигураций. Кроме того, надо назначить ответственных за кибербезопасность в каждом ведомстве. Исключить доступ к критически важным административным и резервным путям.
"Нужно также обновить устаревшие компоненты веб-приложений и внедрить системы мониторинга уязвимостей. Госорганы должны использовать базовые меры защиты электронной почты (SPF, DKIM, DMARC). Необходимо также внедрить систему регулярного автоматического сканирования и оценки уровня безопасности всех сайтов", - рекомендуют эксперты.
