Госсайты в зоне риска: большинство не выдержали проверку безопасности

Государственные сайты играют ключевую роль в коммуникации между властями и гражданами, однако они также становятся мишенью для кибератак. Безопасность этих ресурсов является важным фактором, влияющим на доверие граждан к онлайн-сервисам.

Исследование, проведенное Ассоциацией DRA совместно с экспертами TSARKA Kyrgyzstan, охватило 76 сайтов государственных органов, включая основной домен, главную страницу и почтовые серверы. Удивительно, но оказалось, что лишь несколько из них могут похвастаться высоким уровнем защиты.

Уровень безопасности государственных сайтов

Целью анализа было всесторонне оценить уровень кибербезопасности интернет-ресурсов госорганов Кыргызстана, выявить уязвимости и предложить практические рекомендации для их устранения.

Тестирование проходило без влияния на работоспособность веб-ресурсов, с использованием легких HTTP- и DNS-запросов для анализа ответов серверов. Все сайты проверялись по ряду ключевых критериев безопасности:

• использование устаревших или уязвимых технологий;
• защита почтовых серверов;
• безопасность контента и передаваемых данных;
• шифрование трафика и защита от утечек;
• конфигурация веб-серверов;
• соответствие установленным стандартам.

Контрольные точки для проверки были выбраны так, чтобы не повредить функционированию веб-ресурсов, что позволяло получить реальную картину защищенности представленных на сайтах данных, в том числе персональной информации граждан.

Результаты оказались неожиданными: лишь 3 (!) сайта смогли преодолеть порог в 70% по уровню безопасности.

"Наиболее распространенные проблемы связаны с отсутствием заголовков безопасности в HTTP, открытыми критическими путями и устаревшими компонентами," - прокомментировали исследователи.

Ситуация с настройкой DNS вызывает особую тревогу: все 76 доменных имен имеют недостатки в работе. Не нашлось ни одного сайта, который бы соответствовал требованиям в этой области. Выяснилось, что 49 из 76 сайтов (64,4%) не применяют систему DMARC, что значительно увеличивает риски фишинга и мошенничества. У 20 сайтов были выявлены слабые или отсутствующие SPF-записи, что позволяет злоумышленникам подделывать электронные письма с этих доменов.

Значение этой проблемыНедостаточная защита DNS может привести к перехвату электронных писем, перенаправлению пользователей на вредоносные сайты и подрыву доверия к государственным органам, что может вызвать серьезные репутационные потери.

Ошибки в DNS-настройках могут позволить злоумышленникам осуществлять подмену домена (DNS spoofing), рассылая фишинговые письма от имени организации или обходя фильтрацию трафика.

Анализ безопасности шифрования трафика показал, что 8 сайтов даже не используют защищенное соединение (HTTPS). Отсутствие этого протокола ставит под угрозу безопасность данных, таких как логины и пароли. Тем не менее, есть и положительные моменты: 20 сайтов достигли максимальной оценки по этому критерию, включая ресурсы Госипотечной компании, кадастра, Госрегистра и налоговой службы.

Проверка репутации доменов госорганов установила, что ни один из них не находится в черном списке.Также была проведена оценка потенциальных точек утечки данных и уязвимого интерфейса. На 29 сайтах из 76 обнаружены опасные адреса, такие как доступ к административным панелям или серверным файлам, что позволяет несанкционированный доступ к конфиденциальной информации. Наиболее защищенными оказались сайты президента, ГКНБ, мэрии Бишкека, а также министерств здравоохранения, экономики и водных ресурсов.

Среди других выявленных проблем: 34 сайта из 76 имеют критически открытые порты, что значительно увеличивает риск утечки данных и взлома серверов. Уязвимые сервисы могут стать мишенью для удаленного доступа или внедрения вредоносного кода. Обнаружены также устаревшие субдомены, которые могут стать источником атак, таких как подмена содержимого или фишинг.

Анализ HTTP-заголовков безопасности продемонстрировал, что 56 из 76 интернет-ресурсов имеют низкие показатели по этому критерию. Это создает риски, так как при отсутствии или неправильной настройке заголовков злоумышленники могут внедрять вредоносный код (XSS), подменять контент и красть пользовательские данные.

Рекомендации по улучшению безопасности

Результаты анализа указывают на необходимость повышения уровня кибербезопасности на веб-ресурсах Кыргызстана, хотя на ряде сайтов выявлены серьезные уязвимости, которые требуют немедленного внимания.

Некоторые интернет-ресурсы находятся на крайне низком уровне защищенности, несмотря на их значимость и возможные риски утечки данных.Для изменения ситуации необходимо провести централизованный аудит и стандартизацию конфигураций на уровне госорганов, а также назначить ответственных за кибербезопасность в каждом ведомстве. Крайне важно ограничить доступ к критически важным административным и резервным путям.

"Необходимо обновить устаревшие компоненты веб-приложений и внедрить системы мониторинга уязвимостей. Госорганы должны использовать базовые меры защиты электронной почты (SPF, DKIM, DMARC) и внедрить регулярные автоматические проверки безопасности всех сайтов," - подчеркивают эксперты.