«Свобода» и сеть интернет

[Видка]

Госуслуги все обновили?



Появилась новая опция:

[V V S]

нафига вы им подсказываете?

[J0kER]

В пресс-релизе Минюста США отмечено, что по этим обвинениям Алле Витте грозит срок до 85 лет.

Она толи из литвы, толи из латвии. В данном случае без разницы.

[Lirix]

че там яровая усирается, когда в своем огороде трындец полнейший?

96% госсайтов не соответствуют требованиям НПА по информационной безопасности

ОД «Информация для всех» опубликовало результаты очередного исследования уровня информационной безопасности сайтов государственных органов Российской Федерации, проведенного в рамках проекта «Монитор госсайтов». Исследование охватило 83 сайта всех федеральных органов законодательной, исполнительной и судебной власти, а также государственных органов Российской Федерации.

Согласно выпущенному по результатам исследования докладу «Информационная безопасность сайтов государственных органов Российской Федерации: ненормативные результаты», 96% исследованных сайтов не соответствуют тем или иным требованиям нормативно-правовых актов (НПА).

Сайты 3 госорганов не соответствуют требованиям, установленным законом к официальным сайтам государственных органов. 15% федеральных органов исполнительной власти (ФОИВ) игнорируют нормативное требование, предписывающее обеспечивать защищенное соединение своих сайтов с их посетителями. 75% сайтов ФОИВ загружают не контролируемый ими сторонний код, а на 64% размещен код счетчиков посещений, не зарегистрированных в едином реестре российских программ для ЭВМ.

Большинство сайтов госорганов продолжают оставаться «проходным двором», не обеспечивая своим посетителям приемлемый уровень защищенности соединения и не контролируя загрузку на свои страницы кода третьих лиц, большинство из которых являются иностранными компаниями, – отметил координатор проекта «Монитор госсайтов» Евгений Альтовский, – Одним из результатов такой безалаберности стала серия кибератак на ФОИВ, выявленная в прошлом году Национальным координационным центром по компьютерным инцидентам.

В ходе исследования выяснилось, что МВД и Управделами Президента так и не удосужились выполнить требования закона к официальным сайтам государственных органов, оставив право администрирования соответствующих доменных имен за подведомственными госпредприятиями. Администратором доменного имени сайта Минобороны числится некий «Центр (финансирования специальных программ)», ликвидированный ФНС еще в 2018 году по основаниям, с которыми обычно ликвидируют «налоговые ямы» – в связи с отсутствием признаков хозяйственной деятельности и непредставлением налоговой отчетности. Таким образом, регистрация доменного имени mil.ru должна быть вовсе аннулирована согласно «Правилам регистрации доменных имен в доменах .RU и.РФ».

Среди Требований к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти – обеспечение этими сайтами шифрования и защиты передаваемой информации, однако 15% сайтов ФОИВ игнорируют его, это сайты Правительства, Главного управления специальных программ Президента, СВР, ФСБ, ФСО, ФСВТС, Рособрнадзора, Росжелдора, Рослесхоза, Росморречфлота, ФАДН и Росрыболовства.

Защищенное соединение не поддерживается также на сайтах Президента, Совфеда, Госдумы, Конституционного суда, ФОМС и ЦИК, а если говорить не о формальной поддержке протокола HTTPS, а реальной защите соединения, то ее обеспечивают лишь 9% исследованных госсайтов.

Лишь 8% госсайтов не загружают ресурсы со сторонних хостов, при этом 58% госсайтов загружают ресурсы с хостов, контролируемых иностранными организациями, что противоречит законодательной норме о размещении технических средств информационных систем, используемых госорганами, на территории России.

Любовь к «бесплатному» постороннему коду и «аналитике» доходит порой до курьезов. Так на сайте Главного управления специальных программ Президента установлен счетчик OpenStat, который уже три года не подает признаков жизни, а на сайте Пенсионного фонда – счетчик SpyLog, не существующий уже более 10 лет. Однако в лидеры по количеству загружаемых счетчиков в этом году вышла Росаккредитация, на чьем сайте их оказалось сразу 7, причем 3 их них загружаются без ведома администратора сайта.

Согласно Требованиям к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти, на этих сайтах допускается применение программного кода «счетчика посещений», сведения о котором включены в единый реестр российских программ для ЭВМ и баз данных. Как показали результаты исследования, большинство ФОИВ данное требование игнорируют и пользуются «неуставными» счетчиками.

Несмотря на масштаб выявленных проблем и их количество, проблема несоответствия подавляющего большинства госсайтов требованиям НПА не была даже обозначена Минэкономразвития в прошлогоднем отчете «О результатах мониторинга официальных государственных сайтов».

Полученные нами результаты могут успокоить алармистов, видящих в стремлении государства взять под контроль национальный сегмент сети Интернет лишь намерение построить «суверенный Чебурнет», – отметил Альтовский, – даже сами государственные органы в большинстве случаев игнорируют требования соответствующих нормативно-правовых актов. Поэтому наш новый доклад и получил подзаголовок «ненормативные результаты».

[light_gray]

че там яровая усирается, когда в своем огороде трындец полнейший?

В статье все намешано в кучу. Скажем вопли насчет отсутствия шифрования на сайтах Кремля, ФСБ и так далее. Зачем оно на ИНФОРМАЦИОННОМ ресурсе? Шифрование нужно, если подразумевается ПЕРЕДАЧА чувствительной информации НА сайт. Обращение там граждан, передача платежной инфы и прочее. Ни на сайте ФСБ, ни на сайте Кремля нет возможности входящей инфы. Это просто доски объявлений.

Более того, я уже писал не так давно, что установка шифрования сертификатами, выданными ИМПОРТНЫМИ центрами сертификации, (а чисто РФных не существует) может некисло аукнуться, когда решат подгавнить и отзовут сертификат, скажем, у kremlin.ru

Поэтому что касается чисто информационных ресурсов уровня государства (главы государства) - очень правильно, что на таких сайтах нет сертификатови шифрования, при помощи которых можно напакостить. Я рад, что там наверху все таки есть разумные люди в ИТ, которые эти нюансы учитывают по крайней мере для статусных ресурсов уровня государства.

А вот, что другие ключевые и чувствительные ресурсы(к примеру,Госуслуги) страны шифруются сертификатами, которые выданы и валидирутся сертификационными конторами из США, читай, врагами - это, конечно, нонсенс.

[Lirix]

Скажем вопли насчет отсутствия шифрования на сайтах Кремля, ФСБ и так далее. Зачем оно на ИНФОРМАЦИОННОМ ресурсе?

там есть обратная связь с обязательной передачей персональных данных как минимум.

[light_gray]

там есть обратная связь с обязательной передачей персональных данных как минимум.

Точно, не заметил. Но тем не менее. Шифровать гос. ресурс такого уровня импортными сертами недопустимо. Свое надо иметь (с)

[Lirix]

light_gray, а хоть на горизонте свое есть?

[light_gray]

а хоть на горизонте свое есть?

Нет. Планировала какая-то контора государственная сделать единый национальный центр сертификации, который бы выдавал серты аналогично импортным. На какой стадии это сейчас - ХЗ.

Но опять таки, я про этотоже писал, что мало сделать свой Удостоверяющий Центр, нужно договориться с крупными организациями, которые выпускают браузеры (Опера, Хром, Мозилла и прочие), чтобы они в свои браузеры добавили наш УЦ в список доверенных центров сертификации.

Договориться с конторами, пищущими операционные системы, Гугл, Эппл, Микрософт, Линуксы всякие (не к ночи будут помянуты), чтобы они сделали тоже самое.

А это проблема похлеще организации своего УЦ. Даже для импортных центров сертификации еще несколько лет назад существовала такое понятие, как процент доверия к их серту со стороны браузеров и ОС. И даже при продаже сертов на сайтах УЦ было указано, что вот наш сертификат имеет процент доверия 95% и выше. Типа основные браузеры нам доверяют, но может оказаться, что вы юзаете некий редкий браузер некоего производителя, с которым еще не заключены доверительные отношения.

Т.е. даже для импортных УЦ, которые часто были либо филиалами, либо дочерними компаниями, отколовшимися от родителя далеко не все просто было. А тут мы со своим рылом в калашный ряд припремся. Вангую, проблем именно организационного характера(чисто политика) будет вагон.

Есть другой путь: свой "скрепный" браузер и своя ОСь. Ничего плохого в этом нет. Тот же Китай почти не юзает основную черверку браузеров, у них популярны свои собственные, типа UC browser, Baidu, QQ и прочие.

Подавляющее число китайцев даже и незаморачиваются стем,что у них Гугл заблочен и надо типа как-то обходить великий китайский файрвол. Полно своих аналогов и они самодостаточно варятся в своем соку и своем интернете. Один мессенджер Wechat чего стоит. В нем сидит абсолютно все активное население страны. Этот мессенджер заменяет им и почту и фин. инструмент (поюбильные платежи). QR-платежи там тоже интегрированы.

Т.е. я тому, что все решаемо сейчас. Не 2000 год на дворе, а 2021. ИТ шагнуло вперед. Инструментов, в том числе готовых - вагон. Смогли же Мир сделать? Более того, как я и говорил, а скептики разубеждали, что все равно Мир будет котироваться наравне с Визой и прочими и поддержку рано или поздно сделают все магазины и все платежные системы. Ибо этот бабки. Так и произошло. АлиПэй, самсунгПэй Мир поддерживает. ЭпплПэй вроде тоже уже (читал,что вот-вот уже собираются).

Поэтому делать свой УЦ и планомерно решать вопрос с разрабами браузеров (а лучше свой сделать, чтобы вообще не зависеть) нужно вот прямо сейчас.

[бардак с идеями]

Это другин

ТЕГЕРАН, 22 июня. /ТАСС/. Власти Соединенных Штатов заблокировали интернет-порталы иранских телеканалов Press TV и Al Alam. Соответствующее уведомление появляется во вторник при попытке зайти на сайты этих СМИ.

"Домен был заблокирован правительством США в соответствии с ордером <...> в рамках правоохранительных действий Управления экспортного контроля Бюро по вопросам промышленности и безопасности Министерства торговли и Федерального бюро расследований (ФБР)", - утверждается в уведомлении.

Аналогичное сообщение выходит при попытке зайти на портал телеканала Al Massira, который принадлежит мятежникам-хуситами из йеменского движения "Ансар Аллах".

В ФБР и Минторге США пока не ответили на запрос корреспондента ТАСС в Вашингтоне прокомментировать случившееся.

Госдепартамент пока также не комментирует появившиеся ранее сведения о блокировке интернет-порталов иранских телеканалов, заявил во вторник на регулярном брифинге для журналистов глава пресс-службы Госдепартамента Нед Прайс.

"На данный момент нам нечего сказать по этому поводу", - сказал он в ответ на вопрос журналиста. "Насколько я понимаю, министерство юстиции в скором времени предоставит некоторые сведения по этому вопросу", - отметил Прайс.

Ещё на эту тему.
https://www.interfax.ru/amp/773469?__tw ... ssion=true

[light_gray]

Это другин

Ага, но вот возможность взятия за кокушки во всей красе: США отжали домен presstv.com, ибо зона *.com рулится американцами, поставили заглушку, что дескать нарушение таких-то параграфов АМЕРИКАНСКОЙ конторы по безопасности и вуаля.

Поэтому, если у кого-то из юных пионеров и прочих наивных человеколюбцев имеются сомнения, что в случае серьезных тёрок РФ vs США, последние не будут использовать свои возможности в области интернета, то вот оно доказательство. Будут и с удовольствием.

P.S. Иранский сайт пресств.сом:

1. хостится в облаке Амазона
2. имеет сертификат SSL от Амазоновского же УЦ (Амазон в юрисдикция США, если кто не в курсе)
3. и до кучи домен находится в американской зоне com

Т.е. прищучить этот сайт американцы могли аж 3-мя путями.

[Гагрый]

[Lirix]

С 2010 года закон обязывает все государственные органы иметь официальный сайт, но до некоторых это требование не доходит вот уже 11 лет. Как мы пытались нести свет знаний отстающим, как звали на помощь в правовом просвещении органы прокуратуры, и как вместо этого они расписались в некомпетентности.

Правовая сторона

Пункт 1 статьи 10 Федерального закона от 9 февраля 2009 г. № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления» гласит, что государственные органы для размещения информации о своей деятельности используют сеть «Интернет», в которой создают официальные сайты.

Повествовательная норма в переводе на всеобщий язык означает буквально следующее: каждый государственный орган обязан иметь веб-сайт и размещать на нем информацию о своей деятельности. Не имеет право, не создает при солнечной погоде и хорошем настроении, а обязан иметь (к 1 января 2010 года) официальный сайт.

Слово «официальный» выделено мною неспроста; там же (п.5 ст.1) читаем, что официальный сайт госоргана – это сайт в информационно-телекоммуникационной сети «Интернет», электронный адрес которого включает доменное имя, права на которое принадлежат государственному органу или органу местного самоуправления.

Терминология вырвиглазная, но общий смысл, как нам казалось, понятен: правами на доменное имя официального сайта госоргана должен обладать государственный орган или орган местного самоуправления. В законе ни слова не сказано, что это должен быть тот же самый орган, т.е. правами на домен сайта Президента Российской Федерации может обладать Гадюкинский сельсовет, и соответствующий сайт с точки зрения закона все равно будет официальным, но собака оказалась зарыта совсем в другом месте…

Пространное рассуждение, почему так, а не иначе.

Исторический экскурс

В 2010 году, когда мы впервые проверили сайты 89 государственных органов Российской Федерации на соответствие требованиям закона, выяснилось, что почти треть из них не имеют официального сайта, а Федеральное агентство по поставкам вооружения, военной, специальной техники и материальных средств не имеет вообще никакого.

Правами на доменные имена 26 сайтов федеральных ведомств обладали подведомственные им госпредприятия, какие-то ООО и даже физлица. С практической точки зрения это означало, что соответствующие госорганы не имеют официального сайта, а ко всей информации, размещенной на таких сайтах, не относятся требования закона «Об обеспечении доступа…» (достоверность, актуальность, доступность и вот это вот все).

Мы поделились своим открытием с Генпрокуратурой, на которую тем же законом возложен надзор за его исполнением, та не то чтобы подорвалась раздавать тумаки уклонистам, но сообщила, что федеральными органами власти проводится процедура перерегистрации доменных имен в собственность этих органов.

Через 3 месяца мы проверили, как идет процесс – из 26 тугодумов осталось 18, мы еще раз побеспокоили Генпрокуратуру и через полгода проверили снова – осталось 9 тугодумов. Ни шатко, ни валко, процесс «обеления» госсайтов шел, прокуратура что-то там предписывала отстающим, дискуссии по поводу трактовки соответствующей нормы не возникало и мы как-то забыли про эту тему…

Наши дни

Наступил 2020 год – сами помните: эпидемия, карантин, удаленка, свободное время, ищем себе занятие, вспоминаем про незакрытую тему, думаем поставить жирную точку – уж за десять-то лет, поди, все госсайты «обелились». Как бы не так!

МВД пережило реформу, стало министерством полиции, сайт переехал с mvd.ru на мвд.рф, но как старый домен администрировало ГП «Объединенная редакция МВД», так новый – ФКУ «Главный центр связи и защиты информации МВД РФ», а не просто «МВД РФ».

С Управлением делами Президента оказалось еще интереснее: в 2010 году домен udprf.ru администрировало оно само, к 2020 – зачем-то передало это право ФГУП «ГНИВЦ Управления делами Президента РФ». Еще мы в прошлом году посчитали неофициальным сайт Росгвардии, но тут ошибочка вышла: недоглядели, что администратор ее домена – войсковая часть, т.е. входит в структуру самой Росгвардии, а не какое-нибудь подведомственное ФКУ. Допущенный косяк заставил нас тщательнее проверять информацию об администраторах, что в этом году дало поразительный эффект (тизер: читайте доклад 2021 года).

Заодно решили проверить, как обстоят дела с сайтами высших органов власти субъектов федерации, и выяснили: права на 12 из 184 доменных имен принадлежат госпредприятиям или физлицам, а не госорганами. Еще с 15 доменами ситуация оказалась неоднозначная, т.к. это домены третьего уровня. Например, сайт Законодательного собрания Камчатского края расположен на домене третьего уровня zaksobr.kamchatka.ru. Права на домен второго уровня принадлежат ПАО «Ростелеком», а что с третьим уровнем – темный лес, публичного реестра нет, закон по этому поводу безмолвствует. Забегая вперед, мы предложили Генпрокуратуре высказать свой взгляд на подобную ситуацию и заранее были готовы согласиться с любой ее позицией (одной, но не несколькими сразу).

Были еще всякие курьезы, например, сайт Парламента Чеченской Республики (parlamentchr.ru), администратором которого в Реестре названо «ООО Парламент ЧР». Однако запрос к ЕГРЮЛ показал, что соответствующий ИНН присвоен Аппарату парламента Чеченской Республики, у которого организационно-правовая форма уж точно не ООО.

Итак, картина открылась, доклады по итогам своих изысканий мы опубликовали и отправили их героям, выждали пару месяцев. За это время Правительство Тульской области переписало права на домен своего сайта (tularegion.ru) с ГАУ «Центр информационных технологий» на областное Министерство по информатизации, связи и вопросам открытого управления, остальные сделали вид, что не расслышали.

Что ж, мы пошли по проторенной дорожке – написали жалобу в Генпрокуратуру, уже с требованием не предписания вынести, а наложить взыскание на отстающих и альтернативно правоодаренных, тут-то все и завертелось… см. иллюстрацию выше.

Правовые подходы к натягиванию совы на глобус

Одно и то же нарушение закона, один и тот же надзорный орган, в обязанности которого, помимо прочего, входит обеспечение единства правоприменения на всей территории страны, и 6 (шесть, Хабр!) разных позиций территориальных органов прокуратуры.

Позиция № 1 «миссионерская»: по результатам проверки выявлено, установлено, вынесено предписание, получено уведомление о его исполнении – права на доменное имя сайта госоргана переданы госоргану и теперь сайт может гордо носить звание официального.

Позиция № 2 «отправление поезда»: по результатам проверки выявлено, установлено, вынесено предписание и «начат процесс передачи прав на управление соответствующим доменным именем государственному органу», на этом все. Кто-то этот процесс таки завершил, а у Правительства Республики Коми так и не дошли руки, но местная прокуратура считает, что все в порядке – главное начать (процесс).

Позиция № 3 «капитанская»: по результатам проверки выявлено и установлено, что права на администрирование доменных имен сайтов госорганов принадлежат не госорганам. Спасибо, кэп, именно на это мы и жаловались!

Позиция № 4 «слепоглухонемая», представленная Прокуратурой Ставропольского края: доменное имя stavregion.ru используется для «портала органов государственной власти Ставропольского края» и не является «официальным сайтом правительства края». Где тогда сайт правительства, почему его нет и почему за это никто не наказан – краевую прокуратуру не заинтересовало.

Позиция № 5 «стрелочник», продемонстрированная Прокуратурой Архангельской области, которая переслала заявление в местное Управление Роскомнадзора, которое справедливо возразило, что контроль за обеспечением законодательства о доступе к информации о деятельности госорганов не входит в его компетенцию. На этом надзорный порыв архангельских прокуроров иссяк, жалоба осталась без ответа.

Позиция № 6 «я у папы дурочка», представленная Останкинской межрайонной прокуратурой города Москвы: установлено, что ПАО «Ростелеком» не является хостинг-провайдером доменного имени Законодательного собрания Камчатского края, поэтому оснований для применения мер прокурорского реагирования не установлено.

Строго говоря, была еще позиция № 7 «черная дыра», продемонстрированная прокуратурами Москвы, Московской, Оренбургской и Тюменской областей, которые просто ничего не ответили, но на то эта дыра и черная, что мы не можем описать происходящие в ней процессы и в чем они заключаются.

А что же сама Генпрокуратура и жалоба на федеральные органы власти? Она устроила увлекательный пинг-понг с этой жалобой, переслав ее сперва в Роскомнадзор, который обстоятельно, на двух листах сообщил, что администрирование домена для сайта госоргана федеральным казенным учреждением закону не противоречит.

Мы проигнорировали эти рассуждения как некомпетентные (в буквальном смысле) и снова написали в Генпрокуратуру: ребята, освойте другие функции почтового клиента, кроме Forward, закон почитайте – надзор за исполнением 8-ФЗ возложен непосредственно на прокуратуру! Не на Роскомнадзор, не на Спортлото и не на ЮНЕСКО. Что сделала Генпрокуратура? Неглядя форварднула жалобу «этажом ниже» – в Управление Роскомнадзора по ЦФО, откуда в этот раз получила правомерный отлуп, скопированный из текста самой жалобы: надзор за исполнением 8-ФЗ к компетенции Роскомнадзора не относится и возложен на саму прокуратуру, вот и надзирайте!

В итоге жалобу на Управление делами Президента Российской Федерации и Министерство внутренних дел Российской Федерации рассматривала Замоскворецкая межрайонная прокуратура Центрального административного округа города Москвы, которая вынесла «оригинальное» решение (см. Позиция № 3): администрирование домена сайта госоргана федеральным казенным учреждением закону не противоречит.

Чтобы подвести, наконец, итог этой истории про толкование норм права, мы написали обращение уже лично Генеральному прокурору Российской Федерации с просьбой обеспечить пресловутое единство правоприменения на всей территории страны хотя бы в этом отдельно взятом случае.

Принимаем ставки на результат:
1. 5 из 6 позиций органов прокуратуры будут признаны необоснованными и кто-то из прокурорских получит нагоняй.
2. Будет решено, что все прокуратуры по-своему правы.
3. Жалоба будет спущена до уровня Гадюкинской межрайонной прокуратуры, которая сообщит, что порядок освящения хостинга доменов официальных сайтов государственных органов устанавливает РПЦ.

Впрочем, есть еще один оптимистичный вариант: недавно Минцифры опубликовало проект поправок к законам «Об информации, информационных технологиях и о защите информации» и «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», которые наконец реализуют предложенные нами еще в 2010 году меры, в частности устанавливают, что официальному сайту государственного органа может быть сопоставлен домен только в российской национальной доменной зоне и предусматривают создание единого реестра официальных сайтов государственных органов. О том, что домен официального сайта госоргана может администрироваться только госорганом, там говорится как о чем-то само собой разумеющемся и, наконец, используется термин «право администрирования», а не просто абстрактное «право».

Вместе с тем, в законопроекте говорится не о доменной зоне .GOV.RU, а о «российской национальной доменной зоне», которая в существующих НПА включает .RU,.РФ, .SU и даже «иные домены верхнего уровня, управление которыми осуществляется зарегистрированными на территории Российской Федерации юридическими лицами», т.е. – зоопарк. Так что есть еще что критиковать, есть что уточнять, чем мы пока и займемся… пока законопроект не стал очередным законом о благих намерениях.

[Big]

light_gray, А который здесь УЦ он чей? https://www.krskcit.ru/uslugi/udostover ... iy-tsentr/ Жидомассонский?

[Lirix]

Big, его принимает хром, опера, мозилла?

[Big]

Lirix, А у тебя подписи врачей чо делает?

[Lirix]

Lirix, А у тебя подписи врачей чо делает?

не понял связи и вопроса в принципе

[Big]

Lirix, Где подписи врачей берешь? Электронные Кто их тебе генерирует? И потом в каком браузере они работают?

[Lirix]

Big, об этих сертификатах речь, что обеспечивают безопасное соединение по SSL клиент-сервер. причем тут врачи

[light_gray]

А который здесь УЦ он чей?

Он местный и он выдает эл.подписи только для нутряных нужд РФ, как-то удостоверение личности гражданина (и/или) Организации, но опять таки в лице некоего гражданина. Т.е. по сути не существует эл. подписи организации на самом деле. Это эл. подпись гражданина, просто в сертификате есть доп. поля, где указано ИНН конторы и прочие ТТХ.

Но эти УЦ никак не могут выпускать сертификаты SSL. Вернее могут (да и любой может, прог по выпуску ключей вагон), но это будет невалидные серты, самоподписанные, ибо нет вышестоящего УЦ мирового, который бы удостоверял валидность этого нашего УЦ.

Т.е. любой браузер,когда начнет проверять этот серт, выданный нашим УЦ, он пойдет по цепочке (путь сертификации). А цепочки-то и нет наверх. Кроме местного УЦ никто про него не знает и никтопоручиться не может.Витоге браузер начнет верещать,что серт не удается проверить.