Почти треть чиновников в регионах используют личные электронные адреса

В регионах 30% чиновников используют личные e-mail-адреса для обращений граждан. Об этом говорится в исследовании поставщика услуг по информационной безопасности Angara Security («Ведомости» ознакомились с выводами исследования).

Также в 60% случаев на региональных сайтах используется небезопасный протокол HTTP, который передает конфиденциальную информацию, например пароли, в открытом виде, говорится в отчете. Современные браузеры оповещают о данной проблеме пользователей, но это приводит к тому, что официальные сайты не воспринимаются в качестве легальных онлайн-ресурсов, принадлежащих организациям, отмечают авторы исследования.

Кроме того, в корпоративной почте, как правило, используется протокол HTTPS, в котором данные передаются в зашифрованном виде, говорит советник по вопросам информационной безопасности ФБК и FBK CyberSecurity Андрей Курило. В корпоративной системе несложно организовать процесс принудительной смены паролей, что существенно повышает безопасность электронной почты, так как обнуляет ранее полученные злоумышленником данные, говорит он.

В 10% случаев онлайн-ресурсы недоступны для пользователей и не содержат информацию о проведении технических работ, что усложняет получение информации и услуг для граждан, указано в отчете Angara Security.

Всего компания проанализировала 2000 адресов электронной почты, опубликованных на 400 сайтах государственных организаций более чем в 80 регионах России. Компания проверяла онлайн-ресурсы правительств субъектов РФ, экономических ведомств, министерств здравоохранения и образования, уточнила старший эксперт по защите бренда Angara SOC Виктория Варламова. Исследование проводилось 20–25 ноября 2023 г.

Согласно результатам исследования, чиновники, использовавшие личную почту для официальной коммуникации, указывали адреса в российской доменной зоне, т. е. @mail.ru или @yandex.ru. Адресов в международных доменах, например Google (@gmail.com), выявлено не было.

«В случае использования личного почтового ящика сотрудниками госучреждений все обращения граждан, которые в любом случае содержат персональные данные (ПД), обрабатываются не только самими сотрудниками и государственными системами, но и коммерческими, которые обеспечивают работу почтового ящика, – поясняет генеральный директор ITprotect Андрей Мишуков. – Это создает риск, который серьезно возрастает, если используемая почта работает на иностранных ресурсах. В этом случае можно говорить еще и о несанкционированной трансграничной передаче персональных данных через серверы этих почтовых сервисов».

Эти обстоятельства могут быть истолкованы как нарушение закона о персональных данных в части обработки ПД для целей получения услуги, так как при этом граждан не уведомляют, что их информация будет передана для обработки операторам почтовых сервисов, уточняет Мишуков.

Указание личных адресов электронной почты для обращений граждан содержит риски для сотрудников ведомств, предупреждает Варламова. Факт размещения личных e-mail-адресов сотрудников на веб-сайтах госучреждений действительно может представлять потенциальную угрозу безопасности, согласна эксперт центра мониторинга внешних цифровых угроз Solar Aura ГК «Солар» Диана Селехина.

По словам Варламовой, за этим могут последовать фишинговые атаки, например, чиновнику может прийти сообщение от киберпреступника под видом «жителя региона» с просьбой оказать помощь. Далее злоумышленники могут развивать атаку в зависимости от имеющихся у жертвы доступов, подчеркивает директор по стратегическим альянсам и взаимодействию с органами государственной власти группы компаний «Гарда» Павел Кузнецов.

Учитывая практику использования одинаковых паролей в различных системах, иногда компрометация личного устройства может дать злоумышленникам доступ в корпоративную сеть ведомства. Тогда злоумышленнику будет доступна вся переписка, а также он может принимать на нее письма, восстанавливая доступ к различным сайтам и сервисам (через функцию «забыл пароль»), говорит ведущий инженер CorpSoft24 Михаил Сергеев.

Личная почта – это ответственность только сотрудника, ее не защищает организация, говорит Варламова. На собственные почтовые адреса в отличие от корпоративных не действуют системы эшелонированной защиты в периметре, такие как центр мониторинга и противодействия кибератакам (SOC), объясняет Кузнецов. Работодатели могут ограничивать использование и распространение служебной информации внутри организации и предотвращать утечку информации, отмечает Селехина. Личные мессенджеры и почтовые ящики за пределами корпоративных ресурсов остаются за пределами контроля и считаются тайной личной перепиской, добавляет она.

Централизованных требований по размещению адресов электронной почты сотрудников в открытом доступе нет, но вопрос может регулироваться локальными нормативными актами, отмечает Курило. В то же время установка требований по использованию только корпоративных адресов в официальной переписке важна, говорит заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» Руслан Пермяков. Причина заключается в том, что личный адрес госслужащего могут взломать или чиновник может уволиться, тогда теряется вся переписка для организации, а уволенный сотрудник может продолжать отправлять «официальные» письма, говорит эксперт.

Личная почта чиновника, как правило, связана через систему двухфакторной аутентификации с номером мобильного телефона, предупреждает руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet Игорь Бедеров. Этот номер легко узнать через многочисленные утечки данных, а перевыпуск сим-карты стоит около 10 000 руб. на черном рынке.

Проблема размещения личной почты касается по большей части региональных властей или социальных сфер, обращает внимание Бедеров. Проблема решается, но крайне медленно, добавляет он. Ситуация за год стала лучше, но полностью не решилась, согласен Пермяков. Действительно, растет уровень подконтрольности и защищенности, согласен Кузнецов.