Три недели назад, 6 марта, зам.председателя Правительства России Дмитрий Чернышенко провел совещание, в котором приняли участие министр Минцифры Максут Шадаев и руководители цифровой трансформации федеральных и региональных органов власти. Результатом совещания стало распоряжение, направленное в адрес государственных организаций и содержащее перечень первоочередных мер, которые надлежало осуществить для защиты информационной инфраструктуры. Все операции необходимо было завершить до 11 марта.
Днем раньше, 5 марта, была разослана правительственная телеграмма в адрес многочисленных госорганизаций. Издание ICT-Online уже сообщило об этом.
Сайт Правительства России
Еще до 11 марта в сети появилась информация, что Минцифры предписало федеральным и региональным ведомствам убрать со своих сайтов любой программный код, который загружался с зарубежных ресурсов.
По версии издания “Ъ”, поводом для этого требования стало событие, произошедшее в апреле 2018 года. Тогда ряд российских сайтов (например, Sports.ru) неожиданно упали из-за введенной Роскомнадзором блокировки социальной сети Telegram. Как выяснилось поздней, в список заблокированных IP-адресов попала не только социальная сеть, но и IP-адреса используемых ее системных ресурсов, в частности адреса сайтов, где размещались шрифты Google Fonts. Следствием этого стало то, что блокировка прошлась бумерангом по другим российским сайтам. Это не входило в планы Роскомнадзор, и он не собирался блокировать их.
В результате, владельцам всех «неудачно попавших под раздачу» сайтов пришлось срочно менять разметку страниц и переносить копию шрифтов на собственные серверы. Здесь их ждали «подводные рифы». Во-первых, это не всегда законно, а быстрая замена одних на других не так очевидна для Web, хотя бы с точки зрения совместимости. Кроме того, перенос загрузки шрифтов на собственные сайты влечет существенный рост нагрузки на них. Следствие – популярным сайтом потребовалось срочно решать проблему с балансировкой нагрузки и покупкой дополнительных вычислительных мощностей.
В любом случае экстренный перенос плохо сказался масштабируемости сайтов, что противоречит задачам бизнеса – поиск и привлечение новых клиентов.
Чтобы проблемы прошлого не повторились, теперь аппарат Чернышенко обязал провести очистку от иностранных загрузок для всех госсайтов.
Сайт Минприроды России
По прошествии двух недель “Ъ” провел проверку выполнения приказа. Результат можно охарактеризовать известной формулой: «Получилось как всегда».
Как сообщает “Ъ”, им удалось найти госсайты, которые продолжают загружать шрифты с серверов Google и других иностранных компаний. Называются сайты Федеральной налоговой службы (www.nalog.gov.ru), Минприроды (mnr.gov.ru), ряда областных правительств. По данным издания, эти сайты сохранили запросы к сервису общедоступных шрифтов Google Fonts, а также шрифтовой службе Fonts.com, принадлежащей американской компании Monotype Imaging, Font Awesome.
Издание сообщало также, что обнаружен и посторонний, другой код, загружаемый с зарубежных ресурсов. В качестве примеров назывались сайты Правительства России (government.ru), ФНС, Следственного комитета России (sledcom.ru), Минприроды, ряда региональных правительств.
Кроме этого, было обнаружено, что загрузки иностранного софта возникали и косвенно. Например, на сайте Росреестра при подгрузке российской публичной кадастровой карты одновременно загружается и счетчик Google Analytics. На сайте Следственного комитета выполняется загрузка сервисной библиотеки Polyfill.io, разработанной изданием Financial Times – она необходима для совместимости с браузерами различных типов и применяется с целью упрощения веб-разработки, подставляя на страницы совместимые элементы.
На сайтах Рособрнадзора и правительства Дагестана наблюдалась загрузка библиотеки jQuery с серверов StackPath и Google, соответственно. Правда, не упоминалось, что эта библиотека является де-факто стандартной и обеспечивает непосредственное построение дизайна сайта и его ответную реакцию.
Отмечались также сайты МЧС и правительства Ростовской области, где происходила подгрузка сервис капчей reCAPTCHA компании Google, с помощью которого обеспечивается защита от спама и DDoS-атак.
Сайт Следственного комитета
Издание ICT-Online провело собственное расследование в продолжение темы.
Первое, что бросилось в глаза, это отсутствие у госсайтов России единой системы для контроля их безопасности. Очевидно, что аппарат Чернышенко должен был предоставить соответствующие инструкции, чтобы добиться унификации в защите сайтов госорганизаций. По всей видимости, об этом забыли.
Например, на сайте Налоговой службы используется защита AJAX-запросов, работающая благодаря получению токенов от поставщика базовой библиотеки JQuery, т.е. американской компании Google. Для этих целей используется meta-параметр "csrf-token". Это выглядит весьма странно на фоне верификации сайта ФНС России через службу безопасности российской компании Яндекс. Видимо, там решили,что раз не бросается в глаза, то и хорошо.
Фактически ФНС России провели «косметическое» обновление сайта, которое выразилось в переносе стилевых CSS-таблиц и кода JavaScript на собственные сервера. Были перенесены также лицензируемые библиотеки, распространение которых разрешено с учетом требований лицензии MIT. Ее правила не запрещают использование кода даже в закрытых разработках, но отсутствие текста лицензии является нарушением, т.е. признаком пиратского использования. В ФНС России решили не размещать «порочащих» текстов.
При оценке безопасности сайта Минприроды России выяснилось, что там применяется верификация на базе токена российской системы Sputnik. Эта система служит для автоматического подключения сбора статистики через поисковый портал «Спутник», который автоматически проводит также верификацию и валидацию. В то же время шрифты для сайта Минприроды остались американскими – их предоставляет сайт Google. Это задается неявно, через meta-параметр charset. Контролирующие органы, видимо, решили «не обращать внимания» на это.
Аналогичная картина наблюдается и на сайте Следственного комитета. Там установлена аналогичная защита через систему Sputnik, но при этом в явном виде, через ссылку на googleapis.com, указано подключение программного API и шрифтов с американского сайта Google.
Впрочем, Следственный комитет оказался в безвыходной ситуации. Видно, что при разработке своего сайта там уделили большое внимание его дизайну, где используются «красивые» шрифты Google – благодаря им, сайт приобретает узнаваемый вид. Выполнить редизайн сайта за неделю, как потребовали в аппарате Чернышенко, физически невозможно.
Хотя российские шрифтовые студии уже обращались с призывом к Минцифры содействовать в использовании отечественных разработок, но необходимо учитывать, что признак «российский» не является достаточным для разработки. Дизайнеры используют в своей работе «подходящие» шрифты, разработка которых занимает много времени.
Похоже, только в Минцифры понимают, что «неисполнение поручения в срок», как описали ситуацию в “Ъ”, объясняется «необходимостью соблюдения регламентов и трудностями с подрядчиками». От издания ICT Online можно добавить еще и «требования связности Интернета», без учета которых можно даже самые простые Web-разработки сделать неработоспособными. Локализация – это длительный процесс, который невозможно осуществить к «11 марта».