Каждый третий чиновник хранит данные граждан в незащищенной почте

По данным исследования компании Angara Security, 30% региональных чиновников используют личные e-mail-адреса для обращений граждан. «Ведомости» ознакомились с выводами исследования. Как пишет издание, такая практика повышает риск утечек персональных данных, поскольку личные почтовые ящики часто не защищены так же, как корпоративные системы.

Кроме того, исследование выявило, что на 60% региональных сайтов используется небезопасный протокол HTTP, что делает конфиденциальную информацию, включая пароли, доступной для перехвата. Эксперты подчеркивают, что использование корпоративных электронных почт, работающих через защищенный протокол HTTPS, существенно повышает безопасность.

Также было отмечено, что в 10% случаев онлайн-ресурсы недоступны для пользователей и не содержат информацию о проведении технических работ, что усложняет получение информации и услуг для граждан.

По данным исследования, чиновники, использовавшие личную почту для официальной коммуникации, в основном указывали адреса в российской доменной зоне, такие как @mail.ru или @yandex.ru, в то время как адресов в международных доменах обнаружено не было.

Эксперты по кибербезопасности считают, что использование личной почты для официальной коммуникации нарушает закон о персональных данных, так как граждане не информированы о том, что их данные будут переданы коммерческим почтовым сервисам. «В случае использования личного почтового ящика сотрудниками госучреждений все обращения граждан, которые в любом случае содержат персональные данные (ПД), обрабатываются не только самими сотрудниками и государственными системами, но и коммерческими, которые обеспечивают работу почтового ящика, – поясняет эксперт. – Это создает риск, который серьезно возрастает, если используемая почта работает на иностранных ресурсах. В этом случае можно говорить еще и о несанкционированной трансграничной передаче персональных данных через серверы этих почтовых сервисов».

Также увеличивается вероятность фишинговых атак, когда злоумышленники могут под видом «жителя региона» отправлять чиновникам сообщения с просьбой оказать помощь. Далее они могут развивать атаку в зависимости от имеющихся у жертвы доступов. Учитывая практику использования одинаковых паролей в различных системах, иногда компрометация личного устройства может дать злоумышленникам доступ в корпоративную сеть ведомства. Тогда злоумышленнику будет доступна вся переписка, а также он может принимать на нее письма, восстанавливая доступ к различным сайтам и сервисам (через функцию «забыл пароль»).

Кроме того, личная почта чиновника, связанная с мобильным телефоном через двухфакторную аутентификацию, может быть уязвима для атак. Номер телефона легко узнать из утечек данных, а перевыпуск сим-карты на черном рынке стоит около 10 000 рублей, что увеличивает риски безопасности.

Исследование проводилось 20–25 ноября 2023 г. на основе анализа 2000 адресов электронной почты, опубликованных на 400 сайтах государственных организаций более чем в 80 регионах России, включая правительства субъектов РФ, экономические ведомства, министерства здравоохранения и образования.