На Хабре появилось любопытное исследование.
Оказывается, около половины страничек силовых структур используют для связи публичные почтовые серверы. Мало того, прокуратура и полиция используют вражеский gmail.
Собственно, исследование и статистика.
Вот что пишет автор:
Граждане обращаются по данным адресам с сообщениями о преступлениях, нередко хотят сохранить анонимность, поэтому нарушение конфиденциальности такого рода информации может реально угрожать их жизни и здоровью.
...
В центральных аппаратах данных ведомств есть люди, которые отвечают за контент сайтов, есть люди и целые отделы, отвечающие за связи с общественностью, имеются отделы по защите информации и гостайны. Почему они не работают?
Комментарии
Им недавно официально запретили, явно не спроста, и похоже все положили болт
Та статья на хабре висела почти два дня в топе. Может и образумятся. Вообще необходимо законодательно обязать все госслужбы и компании, участвующие в госзакупках, хранить и обрабатывать данные только в России.
Вопрос на кого работают. Вопрос о служебном соответсвии.
Недосмотрели. Вопрос должен стоять об уголовной ответственности за такое несоответствие.
Должен быть Федеральный Вычислительный Центр, может даже распределённый, это не сложно. Там-же размещать сервера и всё прочее. Причём это должен быть хитрый интранет с доступом через IPSEC VPN и прочие туннели, которые-бы контролировали федералы - тогда получите защищённый кластер или группу кластеров ИСКЛЮЧИТЕЛЬНО федерального значения недоступный для атак или несанкционированного доступа извне.
Истину глаголете.
это невозможно, ВПН имеет определенный уровень защиты
полная защита от доступа по сети возможна только если сети нету совсем
У РЖД есть (или по крайней мере 10 лет назад была) своя "локальная" сеть по территории РФ. Сервера на всех жд станциях, передача вдоль линий жд. Скорость правда почти модемная но для внутренних документов или телеметрии самое то.
Нестандартное тунеллирование использовать, типа L2TP, но с длинным ключём шифрования в пару мегабайт, который-бы менялся раз в месяц - такое не взломать даже имея мощные вычислительные кластеры!
Только феерический идиот будет слать конфиденциальную информацию по электронной почте.
Только феерический идиот будет учитывать в статистике всякие "пресс-службы" и пр. публичные отделы.
Эта почта может использоваться для пересылки нетайной, но внутренней информации. Сам факт ухода такого трафика за рубеж - преступление.
Почта должна быть национальной и защищённой как раз для того, чтобы безопасно пересылать тайные данные.
> Эта почта может использоваться для пересылки нетайной, но внутренней информации
Почта с сайта для внутренней информации? Не смеши!
Да фантазия у людей бурная.
Максимум, что могут спросить по адресу этой электронной почте - дни и часы работы должностного лица. И то - проще позвонить. В остальных случаях будет либо ответ "не получали", либо "информация не для отправки по электронной почте".
А тут уже истерию развели.
Писал как-то об этом здесь http://aftershock.news/?q=node/238714
Оф.документы рассылались в гос., регион. и муниц. структуры.
Спасибо, интересная статья и документ интересный.
Если на него в некоторой степени положили силовики, то я могу представить, что творится в конторах попроще. Это должно быть не уведомление, а закон.
Некоторое время назад работал в гос.структуре (УФК), так там безопасность у нас обеспечивалась просто - отсутствие CD-ROM/RW на компах сотрудников, а также флоппи-дисководов, плюс заблокированные USB-порты (чтоб флешки не юзали), плюс отсутствие доступа в интернет. БЫл один комп с инетом, но он не был подключен к рабочей сети. Взаимодествие между ведомствами обеспечивалась VPN с каким-то навороченным крипто-шлюзом..
Ну а для общения с клиентами да, таки использовали тот комп (с инетом) и почту маил.ру ))))
Уровень понимания основ безопасности (в основном у руководства) - ноль. Изменить ситуацию можно только одним способом - выдавать права на пользование компом и сетью по аналогии с автомобильными.