14 серпня 2015

Пиши, пропало: почему рабочая переписка украинских властей почти беззащитна

В условиях информационной войны с Россией наши органы власти сами вручают противнику оружие против себя. Каждый пятый украинский чиновник использует для рабочей переписки почту на российских сервисах. Более того, получить доступ к их почтовым ящикам оказалось несложно не только для спецслужб. Platfor.ma разбиралась, насколько легко власти РФ и даже любой простой гражданин могут читать рабочие письма украинских чиновников.

 

Фотографія: shutterstock.com

 

По некоторым подсчетам, примерно 64% украинцев пользуются электронной почтой на российских сервисах. Органы власти немного отстают – из них российские ресурсы для этих целей используют почти 20%. Однако даже эта, казалось бы, небольшая цифра означает, что каждый пятый украинский чиновник доверяет свою рабочую переписку России.

 

Недавно в российское законодательство были внесены изменения, после которых в соседней стране появился «Реестр организаторов распространения информации в интернете». Большую часть списка составляют малоизвестные украинскому пользователю ресурсы. Но есть среди них и популярные сервисы – «Вконтакте», «Одноклассники», «Мамба». Однако стоит обратить внимание, что в реестр также включены почтовые сервисы «Mail.ru» «Яндекс. Почта» и «Рамблер».

 

Согласно российскому законодательству, все ресурсы, которые получили статус организатора распространения информации, в течение шести месяцев обязаны «хранить на территории Российской Федерации информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков или иных электронных сообщений пользователей сети «Интернет» и информацию об этих пользователях…, а также предоставлять указанную информацию уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, в случаях установленных федеральными законами».

 

 

Если перевести это на человеческий язык, то абсолютно все, что вы делаете, читаете, смотрите и т.д. на сайтах, включенных в реестр, может быть доступно российским силовикам. Конечно, информация о рядовых пользователях их вряд ли заинтересует, а вот украинским чиновникам, пользующимся российскими почтовыми сервисами, стоит задуматься. Тем более что, по некоторым данным, таких около 20%. И каждое из их писем в России могут легко прочесть аналитики спецслужб. 

 

Эксперт по цифровой безопасности Николай Костинян считает, что эта проблема возникла из-за отсутствия четкой государственной политики в этой сфере. «Подневольным людям в жестко иерархических структурах нужны инструкции, сроки выполнения, четкие санкции за провал и так далее. Образование тут всего лишь компонент, главное – политика, воля сверху, команда. Если за почту на Mail.ru будут реально выгонять с работы (или даже привлекать к ответственности), то очень быстро все перейдут на другие сервисы», – говорит эксперт.

 

Но главное – чтобы получить доступ к почте украинских чиновников, совершенно не обязательно работать в ФСБ или быть хакером. Достаточно немного логики.

 

Девичья фамилия и имя собаки

Многие пользователи при регистрации не задумываются о важности пункта «возобновление пароля», а потому заполняют эти данные спустя рукава. Классическая ситуация – легкий контрольный вопрос, вроде «Как зовут вашу собаку?» Не стоит забывать, что ответ на такой вопрос достаточно легко подобрать или – в случае известной личности – даже найти в интернете. И в итоге – завладеть перепиской.

 

Грешат этим и высшие чины. Хороший пример плохого контрольного вопроса – почта председателя Совета судей Украины Валентины Симоненко. Чтобы получить доступ к ящику, достаточно ответить на вопрос «Ваше прозвище в школе»? Выяснять ее прозвище мы не стали, а прокомментировать проблему Валентина Симоненко не смогла, так как находится в отпуске. Или, например, чтобы завладеть почтой отдела государственной исполнительной службы одного из районных управлений юстиции Харьковской области, нужно всего лишь назвать фамилию начальника этой службы.

 

 

«Основная проблема чиновников в том, что они не разделяют личную информацию со служебной, и пользуются привычными для них сервисами, которые им просто удобны. Они не задумываются о том, что раньше их не взламывали только потому, что они не были никому интересны. Теперь же они должны заботиться не о своей безопасности, а о безопасности государственных данных», – считает эксперт по информационной безопасности Дмитрий Снопченко.

 

Служебная почта

Специалисты по цифровой безопасности, с которыми пообщалась Platfor.ma, считают, что ситуацию можно исправить созданием единой почтовой системы для госслужащих. «Безусловно, можно (решить проблему. – Platfor.ma), путем создания национальной почтовой системы в зоне gov.ua на серверах, расположенных в Украине. Она будет обслуживаться, например, специалистами Госслужбы спецсвязи и защиты информации. И использование этой системы должно быть обязательным для чиновников всех уровней, вплоть до их секретарей и всех остальных сотрудников, помощников и так далее», – говорит Дмитрий Снопченко.

 

Стоит отметить, что большинство государств ограничивает использование бесплатных почтовых сервисов госслужащими. Например, в США личная почта для деловой переписки является нарушением федерального законодательства, так как ящик в любой момент может подвергнуться атаке хакеров.

 

При этом на самом-то деле и в Украине документ, регламентирующий почту чиновников, существует уже давно. Еще в 2011-м году за подписью тогдашнего премьер-министра Николая Азарова вышло постановление «Об утверждении положения о единой базе данных электронных адресов, номеров факсов (телефаксов) субъектов властных полномочий». Документ был принят для облегчения судам процесса выдачи повесток, однако самое главное, что в этом документе есть трактовка понятия «электронный адрес субъекта властных полномочий». В толковании термина из семи строк есть один ценный момент – почты органов власти должны находиться в домене gov.ua. Прошло четыре года, но нормальный почтовый сервис так и не был создан. По данным базы электронных адресов органов власти, в зоне gov.ua находится лишь 22% адресов.

 

С информацией о том, что доступ к почте каждого пятого украинского чиновника могут получить как российские спецслужбы, так и, в принципе, любой пользователь, мы обратились в Министерство информационной политики Украины. У главы ведомства Юрия Стеця несколько раз ссылались на занятость и просили перезвонить попозже, а затем и вовсе перестали отвечать на звонки. В управлении борьбы с киберпреступностью МВД беседовать на эту тему также отказались.

 

 

Николай Костинян считает, что если возможностей и финансов для создания сервиса нет, то подойдет любой ресурс из цивилизованных стран с двухфакторной верификацией. Например, Gmail. Но при этом необходимо выполнять целый ряд требований, чтобы обезопасить свою почту. «Сложный пароль на почту, менять раз в месяц, двухфакторную верификацию включить, не входить в свою почту с чужих устройств, распознавать фишинг и другие виды жульничества, не вести переписку с ящиками на mail.ru и подобными, быть осторожным с прикрепленными к письмам файлами – как вариант, проверять все при помощи virustotal.com, – советует киберэксперт. – А еще – шифровать письма, если не хотите, чтобы и почтовый провайдер имел доступ к содержимому переписки. Ну и, конечно, нужно обезопасить свои устройства: пароль на вход, шифрование дисков, обновления ОС и программ, антивирусы и так далее. В общем, защитить свою переписку – задача довольно-таки комплексная».

 

 
 
 
Матеріали рубрики Re:Invent публікуються за сприяння Фонду розвитку українських ЗМІ посольства США в Україні.

comments powered by Disqus