Илья Костунов просит главу Минэкономразвития Алексея Улюкаева внести изменения в подписанный в 2009 году приказ этого министерства «О требованиях к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти». Новая версия документа должна обязать госорганы использовать на страницах обратной связи своих сайтов не обычный интернет-протокол http, а шифрованный протокол https. Директора ФСТЭК Владимира Селина Костунов просит дать указания и рекомендации, которые позволят защитить переписку граждан.
— Ко мне обратились граждане, которые заметили, что обращения, собираемые на сайтах госорганов, часто передаются по открытому протоколу http, — рассказал «Известиям» Костунов. — Это означает, что любой компьютер на пути прохождения информации в интернете может скопировать или изменить текст, отправленный в госорган. В отдельных населенных пунктах сети связи могут оказаться под косвенным контролем представителей местных чиновников или преступных групп, не заинтересованных, чтобы жалобы или сообщения о преступлениях уходили через интернет напрямую в Генпрокуратуру или ФСБ.
По словам депутата, органы госвласти анонимные обращения, как правило, не рассматривают, поэтому просят авторов обращений сообщить свои персональные данные — имя и личные контакты.
— В самом сообщении может передаваться пусть и не секретная, но ценная информация. Это может быть жалоба, информация о преступлениях, коррупционных нарушениях ии злоупотреблениях властей на местах, — добавил депутат.
В интернете «возможна неконтролируемая трансграничная передача данных, даже если пользователь находится на территории Российской Федерации», напоминает Костунов в запросах.
В письме депутата упоминается, что http используется на страницах обратной связи сайтов ФСБ, Генпрокуратуры, Минэкономразвития, ФСКН, ФНС, ФСТЭК.
«На странице веб-приемной Федеральной службы безопасности Российской Федерации специально размещено предупреждение: «в обращении запрещается указывать сведения, составляющие государственную тайну, а также другие сведения ограниченного распространения», — отмечает Костунов в письме. — В качестве позитивного примера могу отметить: портал МВД РФ, государственных информационных систем «Госуслуги» (gosuslugi.ru) и «Российская общественная инициатива» (roi.ru) используют протокол https, который позволяет создавать защищенное соединение для конфиденциальной передачи данных».
Комментариев от ФСТЭК не поступало.
— Принятие подобного решения требует проработки с рядом федеральных органов исполнительной власти, ответственных за обеспечение информационной безопасности при использовании информационных систем, — сообщает помощник министра экономического развития Елена Лашкина.
Что касается сайта Минэкономразвития, то, по ее словам, там не используются сервисы или приложения, собирающие, обрабатывающие или сохраняющие личные (персональные) данные пользователей. Стало быть, нет необходимости обеспечивать шифрование передаваемой к пользователю или от него информации.
— Вся размещаемая на сайте министерства, да и любого госоргана, информация носит открытый характер. Она предназначена для свободного распространения без ограничений. В данном контексте применение шифрования соединения пользователя с сайтом вряд ли целесообразно, — считает помощник министра.
По словам ведущего специалиста Технического центра интернета Дмитрия Белявского, данные, которыми обменивается пользователь с сайтом по нешифрованному протоколу, относительно просто прочитать. Перехватить их можно на уровне оператора связи, роутера, который раздает Wi-Fi, или физически «врезавшись» в линию связи. Если протокол не зашифрован, данные можно собирать и анализировать массово. Если же обмен информацией идет по зашифрованному протоколу, то задача усложняется. Массовый сбор информации возможен, если удастся подделать специальный сертификат. Это очень долгий и дорогой процесс.
Директор Координационного центра национального домена сети интернет Андрей Колесников уверен, что через 3 года все сайты перейдут на протокол шифрования, так как браузеры будут предупреждать пользователя, если сайт работает по незашифрованному протоколу, использовать его небезопасно. Колесников отметил, что для госорганов правильно было бы работать по зашифрованному протоколу с использованием российского ГОСТа криптографии.