Использование электронной почты в государственной инфраструктуре РФ
Государственные учреждения в России находятся под угрозой взлома почтовых аккаунтов. 78% государственных учреждений не используют специальные ведомственные почтовые сервисы. Такие данные приводятся в аналитическом исследовании, проведенном компанией «МойОфис (ООО Новые облачные технологии)» при экспертной поддержке АНО «Информационная культура» в 2016 году.
Электронная почта играет важную роль в оптимизации работы госучреждений, которые в силу своих полномочий и обязанностей, регулярно имеют дело с данными, не подлежащими разглашению. Это может быть личная информация о гражданах, конфиденциальная информация и, наконец, секретные данные. Поэтому вопросы информационной безопасности государственных структур имеет очень важное значение.
Согласно исследованию, проведенному компанией «МойОфис (ООО Новые облачные технологии)» при экспертной поддержке АНО «Информационная культура» в 2016 году, 78% государственных учреждений пользуется публичной почтой, несмотря на то, что подобные сервисы принципиально небезопасны, а их операторы не несут никакой юридической ответственности за утечку данных переписки.
97% государственных организаций, использующих веб-почту, распределены между крупнейшими российскими провайдерами публичных почтовых услуг: Mail.ru, Yandex.ru и Rambler.ru. Эти сервисы уже в силу масштаба своей аудитории постоянно подвергаются хакерским атакам. А это значит, что, помимо целенаправленых кибератак, государственные организации, использующие публичные сервисы, рискуют стать жертвами общих атак.
Кроме того, в рамках исследования был проведен анализ почтовых серверов 72 федеральных органов исполнительной власти (ФОИВ). Выяснилось, что наибольшей популярностью пользуются почтовые сервисы Microsoft, их использует более 30 ведомств, в основном с организацией доступа через интернет (Outlook Web App). Это составляет 42% от числа всех рассмотренных организаций и почти 70% от организаций, по которым были доступны данные об использовании почтовых серверов. Ситуация с преобладанием Microsoft, вероятно, объясняется тем, что эта компания - ведущий игрок на рынке.
Отдельный интерес представляет использование электронной почты силовыми структурами, которым по долгу службы необходимо соблюдать секретность: ФСБ, ФСО, Следственным комитетом, ФСКН и Фельдъегерской службой.. В ходе исследования стало известно, что 63% этих организаций используют публичную веб-почту. Несмотря на доступ к средствам специальной связи и режим повышенной секретности, почти половина центров спецсвязи ФСО использует публичную почту для контакта с поставщиками. Это может быть чревато, как минимум, утечкой личных данных сотрудников. В исследовании также приведена детализация по ФСБ, ФСКН, Следственному комитету, Фельдъегерской службе. Видно, что у всех этих служб доля использования публичных сервисов превышает долю внутренних сервисов.Известный писатель-фантаст Сергей Лукьяненко выступит на TAdviser SummIT 28 ноября. Регистрация
Ниже можно ознакомится с полной версией данного исследования.
Введение
Способы обмена электронными письмами начали разрабатываться в 1960-х гг. в Массачусетском технологическом институте: первая почтовая программа была написана в 1965 г. и позволяла пересылать электронные сообщения между двумя удаленными компьютерами, связанными посредством телефонной сети. К концу 1971 г. программист Рэй Томлисон создал уже полноценную почтовую программу, использующую систему персональных адресов в их современном виде, с литерой @ в середине.
С развитием сети интернет в 1990-х гг. сервисы электронной почты начали массово использоваться в сети. Уже к 2011 г. число учетных записей электронной почты составляло более 3 млрд. 25% из них приходилось на долю юридических лиц, причем число входящих и исходящих сообщений достигало 107 триллионов сообщений в день. К концу минувшего 2015 г. число почтовых аккаунтов достигло 4,1 млрд, причем в течение 2016 г. прогнозируется 7%-й прирост. Масштаб охвата пользовательской аудитории почтовыми сервисами и необходимость соблюдения национальных интересов России вызвали к жизни новые правила, регулирующие использование этого типа связи. 31 декабря 2014 года был принят федеральный закон № 531-ФЗ «О внесении изменений в статьи 13 и 14 Федерального закона "Об информации, информационных технологиях и о защите информации" и Кодекс Российской Федерации об административных правонарушениях», согласно которому технические средства информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями или государственными и муниципальными учреждениями, должны размещаться на территории Российской Федерации.
Реальные риски, связанные с использованием "небезопасных" сервисов и средств передачи информации, сегодня осознаются на самом высшем уровне руководства России. 26 августа 2015 г. Секретарь Совета Безопасности РФ на совещании с главами регионов Дальневосточного федерального округа и представителями федеральных министерств и ведомств, посвящённом вопросам защиты информации в информационных системах органов государственной власти и органов местного самоуправления, критически высказался в отношении использования органами власти таких зарубежных сервисов, как Google, Yahoo и WhatsApp.
При этом в части использования отечественных публичных почтовых сервисов, как, например, Mail.ru, Yandex и т.п., никакой регулирующей конкретизации на уровне нормативных правовых актов нет и не может быть, так как существующие нормативно-правовые акты такие регламенты не устанавливают. Также можно отметить, что правоустанавливающие документы в области информационной безопасности, принятые в ряде регионов России, не менялись с 2000 года, когда была утверждена Доктрина информационной безопасности РФ. Положения этих документов повторяют положения Доктрины.
При этом электронная почта играет важную роль в оптимизации работы государственных организаций. Специфика онлайн-коммуникации госучреждений состоит в том, что они, в силу своих полномочий и обязанностей, регулярно имеют дело с данными, не подлежащими разглашению. Это может быть личная информация о гражданах, конфиденциальная информация и, наконец, секретные данные. Особое внимание к обеспечению безопасности переписки государственных структур видится в этом свете чрезвычайно важным, так как массовые утечки персональных данных и другой информации стали сегодня практически повседневным явлением. Достаточно вспомнить масштабную утечку персональных данных 4 миллионов госслужащих в США.
Вопрос информационной безопасности государственных структур России стал предметом данного исследования.
В рамках исследования было проанализировано использование почтовых сервисов федеральными органами исполнительной власти на основе данных из открытых источников, в том числе официальных сайтов ФОИВ, Bus.gov.ru и Budget.gov.ru. Разумеется, исследовались исключительно головные организации, так как их информационная политика является направляющей для подчиненных структур, а проявления хаотических тенденций (допустимых с точки зрения руководства структур нарушений политики информационной безопасности, недостаточно ответственного отношения к служебной и секретной информации и пр.) нарастают по мере расширения системы. Иными словами, по положению дел в министерстве можно судить о положении дел в большинстве организационно подчиненных ему структур, принимая во внимание «организационную энтропию» - рост числа нарушений по мере удаления от руководящего центра.
Также для целей данного исследования использовались контактные данные, предоставляемые учреждением в системе государственных закупок. Можно допустить, что для более ответственных задач учреждения используют более безопасные инструменты связи. Однако при наличии собственного надежного почтового сервиса следовало бы ожидать, что учреждение или структура будет пользоваться для решения всех своих официальных задач именно этим инструментом. Использование же публичных почтовых сервисов говорит об отсутствии собственной внутренней почты и об отношении к политике информационной безопасности в целом: при применении «небезопасной» почты в сфере закупок в случае взлома может произойти утечка не только персональной информации о служащем, создавшем аккаунт, но и материалов, содержащих коммерческую тайну – заявок от поставщиков и запросов от них, информации о конкурентах, о распределении бюджета государственной структуры и пр.
Таким образом базовыми материалами данного исследования стали:
- официальные адреса электронной почты государственных структур (были проанализированы официальные почтовые адреса 72-х федеральных органов исполнительной власти),
- наиболее активно использующиеся адреса электронной почты государственных структур (259 750 организаций различного уровня).
Данная выборка не покрывает всей совокупности адресов электронной почты государственных структур Российской Федерации, однако является достаточно репрезентативной для того, чтобы делать серьезные организационные выводы и планировать расширение и продолжение исследовательской работы в данном направлении.
Наше исследование, несмотря на его масштаб, безусловно, не является всеобъемлющим и охватывает лишь видимую часть айсберга неурегулированной ситуации в области государственной информатизации и нерегулируемого использования внешних сервисов. За его пределами остаются: использование адресов электронной почты чиновников не в рамках госзаказа, размещение официальных веб-серверов и почтовых серверов органов власти и госучреждений за границей, использование персональных облачных сервисов обмена файлами составляющими служебную тайну и многое другое.
Прежде, чем перейти к описанию результатов исследования, необходимо подчеркнуть, что во-первых, на данном этапе исследования не оценивалась техническая резистентность сервисов к кибератакам, которая может варьироваться в зависимости от оператора, а во-вторых, базовые материалы собирались исключительно из открытых источников, так как отслеживание использования бесплатных адресов электронной почты другими способами относится к сфере методов, применение которых невозможно без санкции соответствующих силовых органов.
Оценка уровня информационной безопасности государственных структур
Под безопасностью в данном исследовании понимается соответствие следующим критериям:
- 1. Данные переписки хранятся на сервере, управление которого гарантированно заинтересовано в том, чтобы эти данные организаций оставались сохранными и конфиденциальными (в случае с публичными почтовыми сервисами такой гарантии, в принципе, быть не может).
- 2. В случае использования почтовых сервисов вне собственного сервера доступ к персональной, коммерческой и конфиденциальной информации строго регламентирован, и в случае нарушения регламента оператор почтового сервиса несет ответственность.
Под гарантиями сохранности в исследовании понимаем условия, в которых данные переписки гарантированно не разглашаются, а поставщик услуг несет ответственность за нарушение конфиденциальности. С этой точки зрения, публичные почтовые сервисы представляются заведомо небезопасными для официальных государственных структур, так как они не отвечают, как минимум, двум из трех характеристик. Конечно, любой публичный почтовый сервис обязуется сохранять конфиденциальность и защищать персональные данные, но никаких гарантий при этом не предоставляется. Мотивация к выполнению обязательств в таких случаях, прежде всего, репутационная. Однако юридической ответственности за утечку данных переписки оператор публичного почтового сервиса не несет.
Таким образом, приходится констатировать, что публичные почтовые сервисы принципиально небезопасны.
Под публичной веб-почтой понимаются общедоступные почтовые веб-сервисы, на которых любой пользователь может создать себе почтовый аккаунт. Известные примеры таких сервисов - Mail.ru, Yandex.ru, Rambler.ru, Gmail.com, а также многие другие.
Как видно из диаграммы, публичной веб-почтой пользуется подавляющее количество организаций (почти 76%).
К "внутренним" почтовым сервисам относятся все прочие виды указанных действительных адресов, которые не относятся к публичным. Это могут быть хостинги, собственные серверы, сервисы, предоставляемые интернет-провайдером. В каждом конкретном случае могут быть свои изъяны, однако их объединяет то, что им необязательно присущи те изъяны безопасности, которые неизбежно характеризуют публичные сервисы.
Тем не менее, такими почтовыми сервисами пользуются всего 16% рассмотренных организаций. Еще 2% организаций используют публичную почту с привязкой к собственному домену. Привязка к своему домену делает электронный адрес более "официальным" и имиджевым, но фактически условия предоставления услуг (и, следовательно, уровень безопасности) - те же, что и в случае с публичной веб-почтой. Таким образом, можно констатировать, что 78% государственных организаций использует публичную почту.
Анализ базы официальных контактов государственных и муниципальных органов власти и бюджетных учреждений
Наиболее полный материал для анализа использования публичной почты предоставляет база государственных закупок. Как показывают данные, наибольшей популярностью пользуется публичный почтовый сервис Mail.ru. Также видно, что зарубежные почтовые сервисы (например, Google) существенно менее популярны. Между тем, разнообразие публичных веб-сервисов очень невелико. 97% организаций, использующих веб-почту (то есть почти все эти организации), распределены между крупнейшими российскими провайдерами публичных почтовых услуг: Mail.ru, Yandex.ru и Rambler.ru. Эти сервисы уже в силу масштаба своей аудитории постоянно подвергаются хакерским атакам. Это значит, что, помимо целенаправленых кибератак, государственные организации, использующие публичные сервисы, рискуют стать жертвами общих атак. Из-за их масштабности, они постоянно подвергаются хакерским атакам.
В этом смысле российские публичные сервисы не более безопасны, чем зарубежные. 97% государственных организаций используют публичные сервисы, а значит, рискуют стать жертвами кибератак. Эти данные основаны на контрактных данных, но здесь можно вспомнить о том, что почти 70% от ФОИВ, по которым были доступны данные об использовании почтовых сервисов из других открытых источников, используют почту Microsoft.
На всех уровнях доля организаций, использующих публичную почту, составляет, как минимум, около 50%.
Использование почтовых сервисов по регионам РФ
Анализ сайтов федеральных органов исполнительной власти
В рамках исследования был проведен анализ почтовых серверов 72 федеральных органов исполнительной власти (ФОИВ). Данные были собраны из открытых источников, в частности, использовались почтовые адреса, размещенные на официальных сайтах организаций. У 43 из рассмотренных организаций были найдены веб-интерфейсы для почтовых серверов.
Таблица для визуализации:
Анализ показал, что наибольшей популярностью пользуются почтовые сервисы Microsoft, их использует более 30 ведомств, в основном с организацией доступа через интернет (Outlook Web App). Это составляет 42% от числа всех рассмотренных организаций и почти 70% от организаций, по которым были доступны данные об использовании почтовых серверов.
Остальные службы гораздо менее популярны. 3 федеральные службы (ФСТЭК, Росавиация и ФАДН) используют сервисы почты для доменов Mail.ru, Nic.ru и Yandex’а соответственно. Одно федеральное агентство (Ростуризм) использует почту своего интернет-провайдера.
Наконец, некоторые ведомства, например, Росслесхознадзор, продолжают указывать в качестве контактных адреса на сервисах бесплатной почты например на доменах bk.ru, gmail.com, yandex.ru. Ситуация с преобладанием Microsoft, вероятно, объясняется тем, что Microsoft - ведущий игрок на рынке. Проблема массового использования услуг Microsoft связана с тем же. Это значит, что его сервисы неизбежно становятся мишенью для целенаправленного взлома, и методы взлома постоянно совершенствуются. Косвенно это подтверждается тем, что в Сети при обсуждениях способов взлома почты особо оговариваются методы взлома почты Microsoft.
Таким образом, анализ официальных адресов ФОИВ дает основания для тех же выводов, что и анализ контактных данных из базы госзакупок: в каждом случае не менее 70% государственных организаций, данные по которым были доступны, используют почтовые сервисы, либо не имеющие формальных договоров с органами власти (бесплатные сервисы почты), либо созданные на базе ПО и услуг зарубежных вендоров.
Отношение к вопросам информационной безопасности в различных структурах
Уровень ответственности и секретности информации может иметь корреляты на уровне выбора почтового сервиса. Так, например, 70% судебных организаций использует внутренние почтовые серверы. Впрочем, среди судов тоже нет однородности. Арбитражные суды в наибольшей степени склонны использовать внутренний почтовые сервисы: публичными пользуются всего 11% учреждений. При этом 75% военных судов, наоборот, предпочитают публичные сервисы. В остальных типах судов использование публичных и внутренних сервисов распределяется примерно поровну. Обобщая, можно заключить, что многие суды не пренебрегают принципами кибербезопасности, однако существенная их доля использует «небезопасные» сервисы (либо не имеющие официальных договоров с органами власти, такие, как сервисы бесплатной электронной почты, либо созданные на базе ПО зарубежных коммерческих вендоров). Также можно отметить, что подавляющее большинство отделов ОВД (81%), от которых тоже можно было бы ожидать повышенного внимания к цифровой безопасности, использует публичную почту.
Отдельный интерес представляет использование электронной почты силовыми структурами, которым по долгу службы необходимо соблюдать секретность: ФСБ, ФСО, Следственным комитетом, ФСКН и Фельдъегерской службой. 63% этих организаций используют публичную веб-почту. Несмотря на доступ к средствам специальной связи и режим повышенной секретности, почти половина центров спецсвязи ФСО использует публичную почту для контакта с поставщиками. Это может быть чревато, как минимум, утечкой личных данных сотрудников.
В исследовании также приведена детализация по ФСБ, ФСКН, Следственному комитету, Фельдъегерской службе. Видно, что у всех этих служб доля использования публичных сервисов превышает долю внутренних сервисов. Особенно это касается ФСБ (70% использует публичные сервисы) и Следственный комитет (86% использует публичные сервисы).
В связи с этим интересно посмотреть на распределение использования публичных и внутренних сервисов ИТ-службами, которые в силу своей специализации должны быть наиболее компетентными в вопросах кибербезопасности, и их предпочтения в плане использования почтовых технологий.
Здесь можно сделать два наблюдения. Во-первых, показательно, что 83% ИТ-департаментов используют внутренние сервисы. Во-вторых, приходится констатировать, что 13% таких организаций всё же используют публичную почту. Управления делами президентов, представленные в базе, вообще не используют публичные сервисы. Одновременно с этим наблюдается заметное преобладание публичных сервисов над внутренними в таких крупных и ответственных федеральных службах, как МИД, ФМС и МВД.
Заключение
В ходе исследования обнаружен исключительно высокий уровень использования публичной веб-почты среди органов власти всех уровней, включая федеральный. Доля организаций, использующих публичные сервисы, составила 78% от числа всех рассмотренных организаций и более 80% от числа организаций, предоставивших валидные электронные адреса.
На этом фоне можно выделить ряд ведомств и министерств, у которых использование внутренних почтовых сервисов, наоборот, преобладает над использованием публичных сервисов. К числу таких институтов относится Министерство финансов, Министерство экономического развития, департаменты по информатизации. С одной стороны, это закономерно, с точки зрения того, что именно от такого рода ведомств следует ожидать большого внимания к вопросам информационной безопасности. С другой стороны, приходится отметить, что даже у организаций, относящихся к таким ведомствам, зачастую доля использования публичных сервисов не ниже 15%.
В то же время было установлено, что ряд ведомств, от которых можно было бы ожидать особой бдительности в плане интернет-безопасности, тем не менее предпочитает использовать публичные сервисы. Речь идет, прежде всего, о силовых структурах, где доля организаций, использующих публичную почту, может достигать и даже существенно превышать 50%. В частности, доля использования публичных сервисов у ФСБ составляет 70%, а у Следственного комитета - 86%.
Эти наблюдения подтверждаются исследованием использования почтовых серверов федеральными органами государственной власти на основе контактных данных, предоставляемых, в частности, на официальных сайтах. 70% организаций, релевантные данные по которым оказались доступны, используют почтовые серверы Microsoft, что делает их потенциальной мишенью для целенаправленных кибератак.
На основе ранее публиковавшихся исследований 2012 и 2014 годов можно заключить, что отсутствие защищённых почтовых сервисов у органов государственной власти является повсеместным и неизменным.
Подводя итоги исследования, можно сделать следующие краткие выводы:
- Государственные учреждения в России находятся под угрозой взлома и утечки информации, являющейся служебной тайной.
- Почти 80% учреждений использует неподконтрольные публичные почтовые сервисы.
- Подавляющее большинство учреждений, в том числе федерального уровня, использует «небезопасные» публичные почтовые сервисы (не имеющие официальных договоров с органами власти).
- Только 7% государственных организаций пользуется специальными ведомственными почтовыми сервисами.
Иван Бегтин, директор АНО «Информационная культура», отмечает: «Разработка и внедрение внутренних почтовых сервисов, максимально безопасных и полностью подконтрольных организациям, которые их используют, становится для государства жизненно важной задачей. Данные переписок должны храниться на сервере, управляемом стороной, которая гарантированно заинтересована в том, чтобы эти данные оставались сохранными и конфиденциальными. В случае с публичными почтовыми сервисами такой гарантии, в принципе, быть не может».
Дмитрий Комиссаров, генеральный директор компании «Новые облачные технологии», разработчика почтового сервера и приложения «МойОфис Почта», комментирует: «Использование публичных почтовых ящиков вызвано понятной потребностью в удобных сервисах на рабочем месте, однако это - серьезное нарушение правил информационной безопасности. Основные задачи необходимо решать привычным для пользователей способом, при этом служебная переписка на любом этапе не должна выходить из-под контроля» - продолжает Комиссаров, - «В государственном секторе нужно создавать спрос на новое поколение сервисов, предназначенных для применения в защищённой среде организаций и ведомств».
Методология исследования
Анализ использования почтовых сервисов федеральными органами исполнительной власти (ФОИВ)
При анализе ФОИВ использовались данные из открытых источников, в первую очередь ресурсов Bus.gov.ru и Budget.gov.ru, а также официальных сайтов ФОИВ. Список сайтов приводится в Приложении.
Всего было проанализировано 72 организации. Целью анализа было определение типа используемого сервиса электронной почты. Информация, необходимая для этого анализа была обнаружена по 43 из рассмотренных организаций.Определение типа сервиса проводилось на основе:
- анализа официальных контактов на официальном сайте (выявление базового домена для электронной почты);
- анализа почтовых серверов домена с помощью публичных онлайн-баз данных, таких как censys.io, scans.io и других;
- анализа DNS/MX записей домена, используемого данным органом власти в качестве основного;
- непрямого анализа сертификатов SSL/TLS, ассоциированных с данным доменом, на основании базы censys.io.
По результатам анализа была разработана система классификации веб-серверов и идентификации их вендоров.
Описание выборки из базы государственных закупок
Анализ использования электронной почты также проводился на основе данных из реестра организаций с Официального портала государственных закупок. В основу выборки легли организации, закупающиеся в соответствии с 44-ФЗ3, то есть финансирующиеся из бюджета РФ. На момент 31 марта 2016 г. в реестре было представлено 269 619 организаций. Так как ФЗ-44 был введен в 2014 году, в исследовании анализируются только те контактные данные организаций, которые используются с 2014 и по настоящее время.
Далее выборка была отфильтрована по типу организации. В ней были оставлены:
- органы государственной власти;
- органы управления государственными фондами (пенсионным и ОМС);
- бюджетные, казенные и автономные госучреждения.
Из выборки были удалены унитарные предприятия, предприятия, имеющие долю с государственным участием, естественные монополии и иные предприятия. Также из выборки удалено 628 дублированных записей (в случаях, когда у организации поменялся только КПП, но название и адрес электронной почты не изменились, эта запись оказывалась в первоначальной выборке дважды).
Электронная почта, доменные имена и почтовые сервисы
Использование учреждением электронной почты определялось по адресу электронной почты, указанному в контактах учреждения на Официальном портале госзакупок.
Электронная почта почта всегда состоит из двух частей: имя_пользователя@ имя_домена.
Следует различать имя домена, указанное в электронной почте и имя почтового сервера, обрабатывающего этот домен. Почтовый сервер определяется при запросе к специальной DNS-службе по имени домена и может отличаться от имени домена в адресе. Далее почтовые серверы были классифицированы на разные группы в зависимости типа сервиса и владельца домена. Владелец домена определялся с помощью сервиса Whois5, выдающего информацию о регистрации домена.
Интерпретация результатов
При интерпретации полученных результатов следует учитывать, что для анализа брались контактные данные с портала госзакупок, а не, например, с собственного сайта учреждения. Таким образом, если фиксируется, что учреждение использовало публичную веб-почту на сайте госзакупок, это не обязательно означает, что учреждение не пользуется собственным почтовым сервером для приема обращений граждан или для внутренней переписки. Это значит лишь, что для контакта с поставщиками ответственное лицо в учреждении предпочло использовать личную или общественную web почту. Тем не менее этот факт тоже является самодостаточным для вывода об ИТ-инфраструктуре учреждения. Также следует учитывать, что, хотя в отдельных случаях фиксировалось, что контроль учреждения над сервером был утрачен, в общем случае не проверялись указанные электронные адреса на валидность и актуальность. Это может являться предметом отдельного исследования.