Гос. порталы

Вот мы и выпустили сводный доклад по итогам мониторинга сайтов высших органов власти регионов Надежность сайтов органов государственной власти субъектов Российской Федерации 2020. Оценивали их с трех сторон: а) можно ли эти сайты считать официальными с точки зрения закона, б) обеспечивают ли они надежное HTTPS-соединение, и в) что и откуда они загружают, т.е. насколько потенциально уязвимы к XSS и как щедро сливают данные о своих посетителях третьим лицам?

По результатам исследования сайтов федеральных органов власти можно было догадаться, что на региональном уровне все окажется не лучше, но вот как и насколько, мы даже не догадывались.

Что касается официальности сайтов: у федералов 2 из 82 исследованных сайтов органов власти оказались неофициальным. Первоначально мы посчитали неофициальным еще и сайт Росгвардии, администрируемый подведомственным ей центром информационных технологий, но та отстояла свою точку зрения: центр это войсковая часть, т.е. часть самой Росгвардии, поэтому нарушения закона тут нет, а есть наша невнимательность (но вот TLS-сертификат у них на сайте уже вне всяких сомнений второй месяц как протух).

Поэтому региональные сайты мы проверяли по уже доработанной методике, предусматривающей запрос в ЕГРЮЛ и выяснили: из 184 сайтов, названных официальными, 27 (15%) таковыми не являются, т.к. соответствующие доменные имена администрируются подведомственными госучреждениями, коммерческими и некоммерческими организациями, и даже физическими лицами, хотя закон четко устанавливает, что это разрешено только государственным органам (читай органам власти). Особенно отличились Северо-Западный и Сибирский федеральные округа, где официальных сайтов не имеют более 30% высших органов власти.

С замиранием сердца делали запрос в ЕГРЮЛ по ИНН администратора сайта Парламента Чеченской Республики, который указан в реестре регистратора как ООО Парламент ЧР. Я, конечно, заранее извиняюсь, Рамзан Ахматович, но у парламентов в России иная организационно-правовая форма, и в ФНС считают так же (они пусть сами извиняются). В общем, сенсации не случилось администратор там Аппарат Парламента Чеченской Республики, а за ООО пусть извиняется тот, кто внес такую запись в реестр доменов.

Тут внимательный читатель может перебить меня вопросом: а почему исследовались 184 сайта, когда субъектов федерации 85? Отвечаю: исследовались сайты региональных правительств, парламентов и губернаторов при их наличии (сайта, а не губернатора). Но если вы думаете, что количество губернаторских сайтов легко вычисляется по формуле 184 85 85 (= 14), то вы заблуждаетесь, все намного сложнее. Например, у Правительства Москвы нет своего сайта, есть только сайт Мэра Москвы, где правительству отведен свой угол. Зато органы власти некоторых других субъектов располагают сразу двумя сайтами, причем оба называются официальными.

Для примера, у Правительства Республики Тыва сразу два сайта, оба названы официальными (gov.tuva.ru и rtyva.ru) и оба таковыми не являются с точки зрения закона, т.к. первое доменное имя администрируется АО Тывасвязьинформ, а второе вообще анонимным физическим лицом. У Правительства Костромской области тоже два сайта (adm44.ru и kostroma.gov.ru), оба официальные, но с разным наполнением.

Меня в комментариях к одной из прошлых публикаций упрекнули, что мы доматываемся до мышей с этой официальностью. Нет, ребята, мы просто требуем неукоснительно соблюдать закон, тем более что в данном случае он логичный и легко исполнимый: администратором доменного имени для сайта органа власти может быть только орган власти. Не подведомственное госучреждение, не ООО, не гражданин Пупкин, а только орган власти и точка.

С поддержкой HTTPS на региональном уровне все примерно так же, как и на федеральном: большинство декларирует наличие поддержки, но лишь четверть действительно обеспечивает что-то похожее на нормальную защиту соединения, остальные кто сертификат забыл вовремя обновить, а кто годами ПО на веб-сервере не обновляет, и тот светит в Интернет дырами и уязвимостями чуть не десятилетней давности.

Интересно тут другое: наверное, все хотя бы слышали про Электронную Москву, Электронную Бурятию, Электронный Татарстан и прочие электронные программы по освоению бюджетов на информатизацию госуправления. А знаете, у кого в результате оказалась лучшая поддержка HTTPS на официальном сайте? У правительств Ульяновской и Московской областей и парламентов Владимирской области и ЯНАО.

Я вот ничего даже не слышал про Электронное ЯНАО, может такой программы и не существует, а хотя бы одного пряморукого админа в ЯНАО найти смогли (пятое место по площади среди субъектов федерации, населения как в одном районе Москвы). А в электронной Бурятии то ли с населением еще хуже (Росстат возражает), то ли денег на нормального админа не хватило, но сервера обоих органов власти законодательной и исполнительной приветливо машут любознательным исследователям букетом из CVE-2014-0160, CVE-2014-0224, CVE-2016-2107, CVE-2019-1559 и далее со всеми остановками.

Из занимательного: при попытке проверить сайт Администрации Ненецкого автономного округа, мы наткнулись на блокировку по IP ряда исследовательских инструментов. На это у администратора хватило и усердия, и знаний, и желания, а вот на закрытие CVE-2012-4929 (кто не в курсе, первая цифра год описания уязвимости, 8 лет назад, Карл!) и прочих дыр уже ни сил, ни желания не осталось, а может и знаний тоже.

Лидером по поддержке защищенного соединения является Южный федеральный округ, где 53% исследованных сайтов обеспечивают достаточно надежное HTTPS-соединение. Следом за ним идут Центральный и Уральский (47% и 40% соответственно). Отстающие Приволжский и Северо-Кавказский, в которых лишь 13% сайтов высших органов власти не имеют значимых проблем с поддержкой защищенного соединения.

Что касается XSS, т.е. мусора, которые сайты сами загружают из сторонних источников, то тут, как и у федералов зоопарк: JS-библиотеки, шрифты, счетчики, баннеры и далее со всеми остановками, но есть и свои интересные нюансы.

Например, у федералов Google Analytics на 4 месте по популярности, а у регионалов на 7; это даже в абсолютных цифрах меньше, чем у федералов. Но если собственно счетчик GA стоит лишь на 9% региональных сайтов, то гуглокод вообще на 63%, так что данные о посетителях они все равно успешно собирают. А вот на третьем месте среди счетчиков у регионалов внезапно оказался Bitrix. Это который вроде бы CMS ну и еще немного сбора статистики.

Рекордсменом по любви к аналитике стало Правительство Алтайского края, чей сайт украшен сразу 6 счетчиками, но его успех несколько меркнет по сравнению с сайтами Администрации Костромской области, парламентов Калининградской области, Удмуртской Республики и Москвы, которые украшены кодом счетчика OpenStat, уже два года не подающим признаков жизни. Это, конечно, не электронные пропуска шаманить, это ж HTML, а у ДИТ лапки загребущие.

В качестве резюме: как и в случае мониторинга федеральных сайтов, мы рассылали отдельные доклады по субъектам их героям. Федералов после этого специально не мониторили, но подвижки видны невооруженным глазом: кто-то дыры на сервере залатал, кто-то HTTPS включил, кто-то TLS-сертификат обновил, кто-то так и не почесался, но реакция заметна.

Регионалов немного помониторили, пока единственная заметная реакция Правительство Тульской области переписало домен для своего сайта с подведомственного госучреждения на региональное Минсвязи. Хорошо, мы для того и мониторили, чтобы указать на ошибки и подсказать, как их исправить. Плохо, что остальным, похоже, плевать: ну нарушаем закон о доступе к госинформации, ну сайт дырявый, ну грузят на него код все подряд, включая вероятного противника, подумаешь

В общем, пока на главной странице его сайта не появится срамная картинка или хула на государя-императора, губернатор партбилетом не перекрестится. Через год проверим, так ли это планируем проводить мониторинг ежегодно.

С 2010 года вступил в силу закон Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления, которым всем этим органам вменялось в обязанность иметь свой сайт, да не простой, а официальный.

Степень тогдашней готовности чиновников к исполнению закона могу проиллюстрировать таким эпизодом: летом 2009 года довелось выступать перед собранием главных по информатизации из всех муниципалитетов одной далеко не отсталой области, вскользь упомянул надвигающийся закон, и реакция зала была единодушной: какой-какой закон?!

Так вот, с наступлением 2010 года мы решили проверить, кто хотя бы из федеральных чиновников в курсе требований закона, у кого из органов федеральной власти есть официальные сайты? Оказалось, что просто сайты есть у 88 из 89 органов, а вот официальные лишь у 62.

В чем разница? А вот в чем: закон требует, чтобы доменное имя официального сайта администрировалось государственным органом или органом местного самоуправления. Не обязательно тем же самым, чей сайт, хоть сельсоветом каким-нибудь, лишь бы не левой конторой, а тем более физлицом, как у трети обследованных.

Сейчас у читателей может появиться соблазн упрекнуть меня в казуистике, но не спешите, давайте рассмотрим такой случай: у нас есть право без SMS, регистрации и препирательств с дежурным подать заявление в полицию дистанционно, через официальный сайт МВД. Заявление автоматом зарегистрируют, присвоят КУСП, будут обязаны начать по нему работу А нет, стоп, не обязаны: все нормативно-правовые акты по этому поводу оперируют понятием официальный сайт, а сайт МВД не официальный. Куда и кому вы подавали обращение не знаю, откуда взяли этот КУСП не ведаю, топайте ножками в ближайшее ОВД и пишите там заявление на бумаге, а потом добивайтесь, чтоб приняли и зарегистрировали как положено.

В общем, вскрыли всю эту неприглядную картину, опубликовали доклад, в СМИ поднялась волна, некоторые журналисты с какого-то перепугу заявили, что Сайт Президента не является официальным, хотя он-то как раз соответствовал критериям официальности, ведомства спохватились и начали официализировать свои сайты, да не все

Была долгая переписка с Генпрокуратурой, которая попыталась свалить свою работу на Минкомсвязи, которое справедливо отбрыкивалось Попутно ряд ведомств озвучил свою трактовку требований закона, сводящуюся к: нам так удобно и не колышет. К концу года из 26 уклонистов осталось 9 и мы, откровенно говоря, перестали отслеживать процесс. Как выяснилось, зря

Прошло 10 лет, мы снова проверили сайты госорганов на соответствие критерию официальности и та-дам! у троих сайты неофициальные, причем если Росгвардию еще можно понять: ведомство новое, сайт свежий, за всем сразу не уследишь, то МВД почетный уклонист с десятилетним стажем. А Управление делами Президента и вовсе перебежчик: 10 лет назад они сами администрировали домен своего сайта, сегодня зачем-то передали эту функцию подведомственному ФГУПу.

Снова написали в Генпрокуратуру; интересно, на кого в этот раз попытается спихнуть свою работу, прямо обозначенную в законе как обязанность прокуратуры Но все-таки прогресс: 3 неофициальных сайта это уже не 26.

Вот и дошли у нас руки до сайтов региональных органов власти, а то все федералы да федералы не Москвой единой богата Россия! Кому лень дальше читать мое словоблудие, могут сразу скачать доклад Сайты органов власти субъектов Российской Федерации: Центральный федеральный округ 2020, а я пока расскажу об обнаруженных вкусняшках.

Вкусняшек, если честно, немного: все не так плохо, как представлялось, в среднем по больнице ЦФО ситуация примерно такая же, как у федеральных органов власти: половина сайтов не поддерживают HTTPS, подавляющее большинство грузит кучу счетчиков, кода систем аналитики, виджетов, информеров и прочего мусора.

Лично у меня любимая часть мониторинга проверка сайтов на соответствие понятию официальный сайт государственного органа. Напоминаю, что официальным может считаться лишь сайт, доменное имя которого администрируется государственным органом или органом местного самоуправления. Не подведомственным ФГУПом, не губернатором в качестве физлица, не дружественной веб-студией, а только государственным органом или органом местного самоуправления. Это не мое мнение, а требование закона и позиция Генпрокуратуры, которая раздает пинки госорганам, имеющим альтернативный взгляд на проблему (правда, все равно не до всех доходит).

Так вот, о вкусном: есть такой Официальный сайт Мэра Москвы, на котором собрано все московское правительственное, от сайтов московских органов исполнительной власти до московских госуслуг. И сайт этот тадам! ни секунды не официальный, т.к. администрируется ГКУ Мосгортелеком.

Да, государственное, да, казенное учреждение, да, учреждено Правительством Москвы, но это не государственный орган и даже не орган местного самоуправления, а потому сайт mos.ru не официальный сайт государственного органа, точка. Следовательно, все органы исполнительной власти Москвы с сайтами на mos.ru тоже оказались без официальных сайтов. Привет всенародно любимому ДИТ и его отчетам о миллиардах, освоенных на информатизацию грабли оказались там, где не ждали.

На этом фоне как-то неудобно даже писать, что правительства Тверской и Тульской областей, а также Московская городская и Ярославская областная думы тоже до сих пор не имеют официальных сайтов. Впрочем, в Москве ситуация веселее всего здесь сразу две ветви власти исполнительная и законодательная оказались без официальных сайтов.

Про судебную власть разговор отдельный она мудро собрала сайты региональных судов на едином портале ГАС Правосудие, поэтому нет необходимости исследовать сайты суда каждого субъекта федерации отдельно: все они неофициальные, так как портал администрируется ФГБУ ИАЦ поддержки ГАС Правосудие (он еще и дырявый, как решето). Хотя Москва и здесь пошла своим путем у Мосгорсуда свой сайт и он тадам! официальный, без дураков.

Вот такие выводы по ЦФО, результаты которых разосланы героям мониторинга, а если они не отреагируют за разумное время, отправим их в прокуратуру с просьбой провести разъяснительную беседу. Впереди нас (и вас) ждут мониторинги сайтов высших органов власти остальных субъектов, а по итогам сводный доклад по всей стране.