Федеральная служба по техническому и экспортному контролю (ФСТЭК) России подготовила рекомендации для госорганов, которые направлены на повышение уровня защищённости их веб-сайтов. Ведомство рекомендует удалить с ресурсов некоторые зарубежные сервисы, в том числе Google Analytics, Google Карты, Google Переводчик и др.
Согласно имеющимся данным, рекомендации были направлены федеральным органам исполнительной власти 28 февраля в связи с новыми данными о спецификации хакерских атак зарубежных группировок. В сообщении сказано, что рекомендации ФСТЭК основываются на информации Национального координационного центра по компьютерным инцидентам, который сообщил, что компрометация и нарушение работы сайтов госорганов РФ является одним из векторов проведения хакерских атак из-за границы в отношении информационной инфраструктуры страны.
На основании этого ФСТЭК считает необходимым проведение инвентаризации служб и веб-сервисов, которые используются для обеспечения функционирования сайтов госорганов. Неиспользуемые службы предлагается отключить, а требования, которые предъявляются к парольной политике администраторов и пользователей сетей, усилить, в том числе исключив использование заданных по умолчанию паролей. При этом сетевое взаимодействие должно осуществляться с применением защищённых актуальных версий протоколов HTTPS, SSH.
А уже во вторник 1 марта стало известно о прекращении действия сертификатов, которые необходимы, в частности, веб-сайтам для подтверждения их подлинности; западные удостоверяющие центры лишили таких сертификатов сайты банка ВТБ и Центробанка.
SSL-сертификаты (аббревиатура от «Secure Sockets Layer») – средство обеспечения информационной безопасности в киберпространстве. Представляет собой протокол зашифрованной передачи данных с использованием асимметричных ключей. Приватный ключ владельца веб-сайта (будем говорить только о сайтах, хотя SSL-сертификат может использоваться для удостоверения подлинности практически любых данных) и публичный ключ, который хранится в удостоверяющем центре, позволяют, во-первых, при соединении с сайтом удостовериться, что он действительно принадлежит определённому владельцу. Во-вторых, это даёт возможность шифровать трафик в канале передачи данных – они шифруются на передающем сервере и расшифровываются на принимающем.
Для веб-сайтов характерным признаком использования SSL-сертификатов является «https», а не «http» в начале адреса сайта (URL).
Лишение SSL-сертификата создаёт проблемы прежде всего для сайтов, на которых осуществляется приём платежей – банки, онлайн-магазины, сайты для бронирования билетов и пр. Непреодолимыми эти проблемы не являются, однако они серьёзны.
Удостоверяющие центры, выдающие SSL-сертификаты, крайне немногочисленны, и все находятся за пределами России. Создать в стране собственный глобальный удостоверяющий центр теоретически возможно, существует регламентированная процедура, которая сто́ит от полумиллиона долларов и занимает от полугода времени.
Однако это бессмысленно. Архитекторы санкций могут прекратить приём SSL-сертификатов российского удостоверяющего центра, это даже проще, чем лишать сертификата каждый неугодный сайт в отдельности. Прецеденты имеются.
Для внутреннего употребления, т.е. в России, обеспечить SSL-сертификацию своими силами несложно, удостоверяющие центры уже есть. В соответствии с законодательством РФ для криптозащиты трафика по SSL-сертификатам, выданным в России, применяются отечественные алгоритмы шифрования. Это ограничивает, а на практике исключает возможность использования таких сертификатов вместо прежних, выданных иностранными удостоверяющими центрами.
Причина в том, что проверку SSL-сертификатов сайтов осуществляет браузер – эта функция в него встроена. Отечественные криптоалгоритмы ни Google Chrome, ни Microsoft Edge, ни другие западные браузеры не поддерживают. Поддержка отечественных SSL-сертификатов есть в Яндекс.Браузере и в Спутнике. Также их принимает Единый портал госуслуг (ЕПГУ).
Вместе с этим ФСТЭК рекомендовала отказаться от использования на сайтах госорганов сервисов подсчёта и сбора данных о посетителях, сервисов предоставления информации о местоположении и иных сервисов, разработанных иностранными организациями. В число таких служб вошли onthe.io, ReCAPTCHA, YouTube, Google Analytics, Google Карты и Google Переводчик. По мнению регулятора, госорганы должны исключить на своих сайтах возможность применения встроенных видео- и аудиофайлов, API-интерфейсов, виджетов и других инструментов, загрузка которых осуществляется с других ресурсов.
Некоторые рекомендации ФСТЭК направлены на повышение устойчивости сайтов госорганов перед DDoS-атаками. Например, предлагается обеспечить настройку правил средств межсетевого экранирования, направленных на блокировку неразрешённого входящего трафика, а также обеспечить фильтрацию трафика прикладного уровня с использованием средств межсетевого экранирования уровня приложений. В дополнение к этому предлагается ограничить число подключений с каждого IP-адреса, блокировать трафик, поступающий с IP-адресов США и стран Евросоюза, а также трафик, поступающий из «теневого» интернета через Tor-браузер