Государственные структуры России оказались под угрозой утечки данных

Исследование более 250 тысяч бюджетных организаций показало, что 78 процентов государственных служащих пользуются в служебных целях публичной веб-почтой, то есть общедоступными сервисами, на которых любой человек может создать себе почтовый аккаунт. Лишь 7 процентов чиновников используют специальные ведомственные почтовые сервисы. Сложившаяся ситуация идет вразрез с политикой информационной безопасности, проводимой сегодня властями РФ, делает служебную переписку государственных структур уязвимой перед несанкционированным доступом. К таким выводам пришли авторы исследования, проведенного компанией "Новые облачные технологии" при экспертной поддержке автономной некоммерческой организации "Информационная культура".

При проведении исследования применялись данные из открытых источников: в первую очередь, ресурсов Bus.gov.ru и Budget.gov.ru, а также официальных сайтов федеральных органов исполнительной власти. Анализ использования электронной почты также проводился на основе данных из реестра организаций с официального портала государственных закупок.

Первенство среди публичных почтовых сервисов, которые используют госслужащие, держит mail.ru. Второе место занимает почтовый сервис Яндекс, третье делят между собой Gmail, Yahoo и другие западные операторы. Кроме того, 70 процентов организаций используют почтовые серверы Microsoft.

Публичную почту используют для служебной переписки, для пересылки документов, работы в системе госзакупок.

Среди нарушителей - как служащие федеральных органов власти, так и представители силовых структур. Так, например, 88 процентов служащих МВД пользуются незащищенной почтой.

На этом фоне выделяются ряд ведомств и министерств, где применение внутренних почтовых сервисов, наоборот, преобладает над использованием публичных сервисов. К их числу относятся минфин, минэкономразвития, минкомсвязь.

Одна из причин, по которой сотрудники госорганов используют публичную почту, заключается в том, что ведомственная почта зачастую неудобная и довольно медленная. Кроме того, в ней существуют ограничения на то, что можно отправлять. "Система безопасности ведомственной почты может заблокировать письмо с данными, которые даже не являются служебными, и переслать его сотруднику службы безопасности, - объяснил эксперт по информационной безопасности Zecurion Александр Ковалев. - В результате госслужащим приходится объясняться, какую информацию и почему они отправляли. Поэтому многие и используют публичную почту".

Еще одна причина - в некоторых ведомствах таковы правила использования электронной почты, что она может быть одна на весь отдел или департамент. "То есть переписка должна вестись через общий канал, какой-то один ящик на управление или департамент. За электронные письма отдела может отвечать, например, один секретарь. Это очень долго",- отметил Ковалев.

В России нет единой службы, которая контролирует информационную безопасность электронной почты государственных ведомств. Каждое ведомство самостоятельно контролирует безопасность госданных и принимает внутренние рекомендации или нормы по использованию электронной почты своими сотрудниками. В соответствии с Федеральным законом "Об информации, информационных технологиях и о защите информации" защита данных, составляющих государственную тайну, регламентируется ФСБ России.

Безусловно, с точки зрения защиты информации ведомственная почта имеет больше преимуществ перед публичной. "Дело в том, что вся переписка, которая осуществляется по ведомственным каналам электронной почты, хранится внутри организации, и доступ к этим данным имеет ограниченный круг людей. А вот переписка через общественные электронные ящики хранится на серверах почтовых сервисов "Яндекс", Gmail, Yahoo, и кто имеет доступ к ним неизвестно", - объяснил Ковалев.

Кроме того, для защиты как ведомственной, так и корпоративной почты используются более серьезные средства защиты, чем в публичной. "В первую очередь, это системы антиспама и антивирусы. Второй уровень - системы предотвращения утечек информации (DLP). Также для передачи особо важной информации используется шифрование, это означает, что если письмо будет перехвачено, злоумышленник ничего из него не поймет", - пояснил Александр Ковалев.

Еще один важный механизм защиты ведомственной почты - архив писем, который поможет восстановить историю переписки, если какое-то письмо окажется подозрительным. Так можно выявить злоумышленника, который находится внутри.

На протяжении последних лет со стороны Госдумы выдвигались инициативы о полном запрете чиновникам использовать публичные почтовые сервисы в служебных целях, однако к каким-то подвижкам это не привело. Кроме почтовых сервисов предлагалось ограничить и использование чиновниками мессенджеров, в частности WhatsApp.

Глава минкомсвязи Николай Никифоров заявлял ранее, что использование иностранных мессенджеров по рабочим вопросам запрещено и противоречит внутренним регламентам ведомств. По словам главы ведомства, данные, которые передаются с помощью подобных программ, расцениваются как публичные. Поэтому госслужащие вправе передавать лишь открытую информацию, передача других видов данных запрещена. Это же касается и публичной электронной почты.

"Это, по меньшей мере, нарушение служебных инструкций, и теоретически может повлечь разглашение государственной тайны - что может стать поводом для возбуждения уголовного дела", - заявлял Николай Никифоров. Кроме того, постановление правительства обязывает госзаказчиков использовать только программные продукты, внесенные в реестр отечественного ПО.

Сейчас в реестре содержится более 950 программных продуктов.