Подавляющая часть представителей государства на сайте zakupki.gov.ru оставляют для связи адреса электронной почты, расположенные на бесплатных почтовых сервисах — часто на Mail.ru и Yandex.ru, а некоторые предпочитают сервисы американских Google.com и Mircosoft.com. Злоумышленники научились взламывать такие ящики, как показал недавний скандал с почтой вице-премьера Аркадия Дворковича.
Корпоративная — не популярна
Самой большой популярностью среди госслужащих пользуется не корпоративная или правительственная почта, а бесплатные почтовые службы на Mail.ru и Yandex.ru, рассказал РБК один из организаторов проекта «Госзатраты», директор некоммерческого партнерства «Информационная культура» Иван Бегтин. «Госзатраты» изучали предпочтения чиновников на портале госзакупок zakupki.gov.ru — здесь все государственные и муниципальные организации должны сообщать о своих закупках в ходе конкурсов, проведения которых требует российское законодательство. Компании с госучастием также должны сообщать о своих закупках через zakupki.gov.ru.
«Госзатраты» ведут базу зарегистрированных на сайте госзаказчиков, в которой уже 344 тыс. организаций, рассказывает Бегтин, из них 325 тыс. указали адреса электронной почты (хотя это требование распространяется на всех). Оказалось, что 80% всех указанных ящиков — это бесплатные электронные адреса, из них более 65% — на Mail.ru, еще почти 25% на Yandex.ru, говорит Бегтин. Почтовыми службами от Google и Microsoft пользуются чуть больше 2% организаций.
Бегтин удивляется, что «при существующих запредельных требованиях к безопасности» академия криптографии ФСБ России указывает в качестве своего контактного адреса ящик на Gmail — почтовой службе американской компании Google. «У МВД примерно половина всех указанных адресов на госзакупках — на Mail.ru, у кучи войсковых частей — контакты на «Яндексе», — добавляет он.
Аккаунты на бесплатных почтовых сервисах чаще всего персонифицированы, то есть все процедуры восстановления паролей может провести только тот, кто зарегистрировал почтовый ящик. «Уволившись из того или иного ведомства, этот человек сохраняет доступ к таким почтовым ящикам. Не говоря уже о том, что доступ к ним также имеет провайдер почты», — подчеркнул Бегтин.
Массовыми почтовыми службами пользуются даже организации, которые по долгу службы ищут способы взлома интернет-сервисов. Например, в середине июля один из ведомственных институтов МВД объявил через zakupki.gov.ru конкурс для специалистов, которые должны исследовать анонимную сеть TOR на возможность идентификации ее пользователей: эти специалисты должны присылать свои предложения на почтовый ящик prostis@yandex.ru.
Заставят по закону
Пресс-служба «Яндекса» никакого негатива в использовании чиновниками почтовых адресов, расположенных на серверах компании, не видит: «Яндекс» для обслуживания российских пользователей всегда использовал сервера в России. «Мы рекомендуем пользователям обращать внимание на адрес отправителя и применяем специальные инструменты верификации подлинности отправителя. Если чиновники будут отправлять письма, используя собственный домен, это поможет избежать случаев мошенничества, когда недоброжелатели выдают себя за государственных деятелей и вводят в заблуждение пользователей», — говорит представитель пресс-службы «Яндекса».
Он уверяет, что современные почтовые сервисы — это сложнейшие информационные системы, которые имеют несколько уровней безопасности и защиту на многих этапах работы с личной перепиской. А подавляющее большинство историй про взлом переписки, по его словам, объединяет одно — как правило, они связаны не с ошибками почтовых сервисов, а с действием «человеческого фактора»: небрежным отношением к своему паролю или передачей пароля «доверенному» лицу, которое «вдруг решило сделать переписку достоянием общественности».
В высоком уровне безопасности современных массовых почтовых сервисов уверена и вице-президент Mail.Ru Group Анна Артамонова: за 15 лет на рынке их сервис, по ее словам, накопил огромную технологическую базу, позволяющую предлагать самые современные решения по защите персональных данных — шифрование трафика, систему противодействия автоматическому подбору пароля, антиспам и защиту от мошенничества. «Сейчас мы занимаемся переработкой системы восстановления пароля, чтобы защитить даже тех пользователей, которые пренебрегают правилами интернет-гигиены — например тех, у кого, пароль украден с помощью вируса», — рассказывает Артамонова. Она считает, что у IT-компаний, которые занимаются поддержкой ведомственных сервисов электронной почты, таких возможностей просто нет.
В Госдуме уже прошел первое чтение законопроект, который обязывает размещать официальные сайты госорганов на серверах в России. Ко второму чтению в проекте может появиться положение, которое обяжет ведомства использовать собственные почтовые службы, рассказал РБК автор проекта, зампред комитета Госдумы по экономполитике, инновационному развитию и предпринимательству Виктор Климов.
«Запретить чиновнику пользоваться Yandex.ru, Mail.ru или Google.com мы не можем, да это и бессмысленно, но юридически значимый документооборот все же должен быть отрегулирован», — считает Климов. Ограничение по почтовым сервисам, по его мнению, также будет «вполне администрируемым»: «У большинства госорганов есть собственные почтовые сервисы, вопрос только в том, чтобы прописать порядок, хотя в муниципальных образованиях, где установлены гораздо менее серьезные информационные системы, там, возможно, какие‑то расходы потребуются — этот момент надо будет еще обсудить и продумать», — отмечает депутат.