Доля госорганов, использующих публичные почтовые сервисы, составляет 78%, подсчитали «Новые облачные технологии» и АНО «Информационная культура». Для служебной переписки такие сервисы используют более 60% федеральных органов власти и силовых структур, что ставит под угрозу кибербезопасность госорганизаций и несет риски утечки конфиденциальной информации. В России до сих пор нет законодательных требований к использованию электронной почты, как нет и закона о служебной тайне, что могло бы изменить ситуацию, говорят эксперты.
Электронная почта — один из самых уязвимых элементов в системе безопасности госструктур, 78% государственных организаций пользуются для ряда служебных целей общедоступными сервисами e-mail, говорится в исследовании, проведенном компанией «Новые облачные технологии» и АНО «Информационная культура». «Массовые утечки персональных данных и другой информации стали сегодня практически повседневным явлением»,- пишут авторы, напоминая о недавней утечке данных 4 млн госслужащих в США. В исследовании анализировались данные из открытых источников (в первую очередь — ресурсов Bus.gov.ru и Budget.gov.ru), официальных сайтов федеральных органов исполнительной власти, а также данные из реестра организаций с портала госзакупок. На 31 марта 2016 года в реестре было представлено 269 619 организаций.
Согласно отчету, лишь 7% ведомств используют специальные ведомственные почтовые сервисы для контактов, в том числе по госзакупкам. «Это идет вразрез с политикой информационной безопасности и делает служебную переписку госструктур уязвимой перед несанкционированным доступом»,- говорится в исследовании.
Среди используемых публичных почтовых сервисов первенствует Mail.ru (64%), второе место занимает сервис «Яндекс» (26%), третье место у Rambler (7%), затем идет Gmail (2%). Общедоступную почту продолжают использовать для служебной переписки, пересылки документов, работы в системе госзакупок и прочего 67% федеральных органов власти, 63% силовых структур (ФСБ, ФСО, ФСКН, СКР). Впрочем, есть ряд ведомств и министерств, где применение внутренних почтовых сервисов, наоборот, преобладает над использованием публичных. К их числу относятся Минфин, Минкомсвязь, Минэкономики, региональные департаменты и министерства по информатизации и информационным технологиям.
Власти уже несколько лет обсуждают возможность ограничений на использование чиновниками популярных почтовых сервисов. В августе 2014 года запретить госслужащим пользоваться электронной почтой на общедоступных серверах в служебных целях предложила глава комитета Госдумы по безопасности и противодействию коррупции Ирина Яровая. Тогда же чиновникам столичной мэрии, префектур и управ на рабочем компьютере разрешили использовать только почту, заканчивающуюся на домене @mos.ru. Спустя год внимание к использованию чиновниками иностранных сервисов (Google, Yahoo! и WhatsApp) для решения служебных вопросов привлек секретарь Совбеза РФ Николай Патрушев. По его словам, с увеличением числа компьютерных атак на информационные системы органов власти «отмечается наличие в системах программных средств иностранных технических разведок».
Почтовые аккаунты на публичных сервисах — «отличный источник информации о рабочей деятельности чиновников», что не раз доказывала хакерская группировка «Шалтай-Болтай», говорит аналитик InfoWatch Сергей Хайрук, напоминая, как в сети оказывалась служебная переписка чиновников правительства и администрации президента РФ. Если не брать в расчет геополитические риски и то, что иностранные почтовые сервисы по требованию спецслужб могут предоставлять доступ к переписке пользователей, то публичные почтовые сервисы гораздо менее защищены по сравнению с внутрикорпоративными, согласен консультант по безопасности Cisco Алексей Лукацкий. Чиновников можно понять: использование корпоративных сервисов в органах госвласти по всему миру «зарегулировано с технической точки зрения намного жестче, чем в обычной бизнес-среде», продолжает менеджер по развитию бизнеса «Лаборатории Касперского» Кирилл Керценбаум. «Доступ к почте получить сложнее, аутентификация намного более строгая, мобильный доступ, как правило, не предоставляется, и это полностью оправданно»,- говорит он.
По словам господина Лукацкого, вопрос конфиденциальности разбивается на две части — хранение и передачи e-mail. С точки зрения передачи разницы между публичными и внутренними почтовыми сервисами нет: данные передаются в открытом виде, и перехватить их при определенной квалификации возможно, говорит он. «Но с точки зрения хранения риск доступа к почтовым ящикам чиновников на публичных сервисах гораздо выше,- продолжает эксперт.- Как со стороны администраторов самих сервисов, так и злоумышленников, подобравших или перехвативших пароль к почтовому ящику, где, как показывает история с Хиллари Клинтон, могут храниться даже сведения, составляющие гостайну». Ситуация усугубляется тем, что законодательных требований к использованию «почтовиков» нет, как нет и закона о служебной тайне, хотя о необходимости его принятия говорят уже лет десять, напоминает Алексей Лукацкий.