ИБ по дефолту: госсайты все еще «защищают» стандартными паролями
29.01.2021

Алексей ДроздОснователь компании по кибербезопасности Vee Security Александр Литреев обнаружил, что попасть в админку Официального интернет-портала правовой информации проще простого. Сайт, на котором публикуют законы после подписания президентом России и постановления правительства, защищен связкой логина и пароля «admin/admin». К счастью, в данном случае доступ к ресурсу третьих лиц большой угрозы не нес. Но почему совершать такие детские ошибки все равно стыдно, размышляет Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ».

– То, что под защитой «admin/admin» в случае с правительственным сайтом не было ничего конфиденциального, так сказать, счастливое совпадение. Но защита доступа с помощью такого элементарного пароля – это детская ошибка. Она говорит о несистемном подходе к безопасности в принципе. Тяжесть последствий зависит от специфики ресурса. Одно дело, когда он исключительно информационный, и вся размещаемая информация публичная. Совсем другое, когда сайт используется для проведения платежей или часть информации на нем ограничена к распространению. В этом случае третьим лицам могут оказаться доступны коммерческие тайны, персональные данные клиентов и сотрудников, информация о бизнес-процессах, организации ИТ-инфраструктуры. 

Потеря любой из части этих данных – это подарок для мошенников, конкурентов, шантажистов – злоумышленников всех мастей. И уж тем более государственные системы должны быть защищены в первую очередь, не только потому что государство сегодня распоряжается самой ценной и полной информацией – персональными данными граждан. Компрометация ресурса государственного уровня – удар по имиджу. 


Онлайн-курс «Защита рабочих и личных данных в посткризисное время» для госслужащих. Узнать подробнее.


И ладно, если бы это был первый пример, когда организации такого уровня демонстрируют легкомысленное отношение к защите своих ресурсов. Вот только две недавних истории. 

Уязвимости были выявлены на олимпиадном сайте НИЯУ МИФИ, что позволило взломать ресурс за секунду. В предельном случае злоумышленники могли влиять на результаты олимпиады. 

Другой случай и вовсе вопиющий: ИБ-исследователю через незакрытый порт удалось проникнуть вовнутрь ИТ-системы РЖД. В ней он нашёл достаточно много устройств с паролями по умолчанию или вовсе без них. 

Хоть обеспечить полную безопасность всех систем – задача из разряда утопических, приблизиться к максимальной защищенности можно только с помощью независимого аудита. Только оговорюсь, что организация-заказчик должна быть заинтересована, чтобы он проводился не на «бумаге», а на самом деле.

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.