Сайты госорганов начали избавляться от россыпи счетчиков и прочего кода, собирающего «аналитику» об их посетителях для третьих лиц. Почему государство выпинывает на мороз интернет-шпионов и причем тут кадровые перестановки в Генпрокуратуре?
Будем честны - единственной причиной, по которой интернет-гиганты тратят миллионы на разработку и поддержание «бесплатного» для его потребителей кода, – сбор с его помощью вроде как аналитики, а на самом деле Досье на интернет-пользователей.
Одновременно предполагается, что если ваш сайт загружает без какой-либо проверки чужой код, то это уже не ваш сайт, откуда бы этот код ни загружался (хоть с того же «Госмонитора»). И если что и откуда загружать на частный сайт – вопрос дееспособности его владельца, то госсайты не должны помогать частному сектору составлять досье на интернет-пользователей от слова совсем.
Законодатель такого же мнения о загрузках постороннего кода на госсайты и излагает свою мысль следующим образом: на официальных сайтах федеральных органов исполнительной власти (ФОИВ) допускается применение программного обеспечения (программного кода («счетчика посещений»), сведения о котором включены в единый реестр российских программ для электронных вычислительных машин и баз данных.
Другими словами, на сайте ФОИВ разрешено размещать только «уставные» счетчики, прошедшие проверку на суверенность. Верунов в домики для поросят и прочее бескорыстие бизнеса ждет ч.1 ст.13.27 Кодекса об административных правонарушениях, предусматривающая для беспечных должностных лиц суровую кару в 3-5 тысяч рублей и соответствующую запись в личном деле (что на госслужбе куда неприятнее).
Казалось бы, что может быть проще для крупных компаний, которые и являются владельцами популярных «счетчиков», зарегистрировать свой код в Реестре, но… этим озаботились лишь полторы из них – «Ростелеком», зарегистрировавший код «Спутника», и «1С», зарегистрировавшая код CMS «Битрикс», частью которого является код «счетчика». Ни «Яндекс Метрики», ни «Рамблер Топ 100», ни тем более Google Analytics в реестре нет.
Однако администраторы госсайтов любят аналитику, хотя и не понимают, что с ней делать: пять «счетчиков» на одном госсайте – не предел (даже если часть из них давно не работает), законы никто не читает, а прокуратура, которая должна следить за соблюдением законодательства, не напрягает…
Во всяком случае, до недавнего времени. Как было раньше: мы пишем обращение в прокуратуру, она пересылает его «по подведомственности» в Минцифру или Роскомнадзор, те – либо отвечают заявителю, что примут к сведению сигнал, либо прокуратуре, что по ст.13.27 КоАП имеет право возбуждаться только сама прокуратура.
На этом прокуратура успокаивалась, т.е. бездействовала при наличии информации о признаках административного правонарушения, но жаловаться бесполезно – вышестоящий прокурор пересылал жалобу нижестоящему, на бездействие которого жаловались, тот отвечал, что нарушений законодательства у себя не обнаружил, и снова тишина и покой воцарялись в Муми-доле.
Какой медведь в каком лесу сдох, науке достоверно неизвестно. «Коммерсант» считает, что в Генпрокуратуре создали профильный отдел, но он существовал и раньше (занимаясь пересылкой поступающих жалоб в «Спортлото» , ЮНЕСКО и еще дальше). А вот профильное начальство, действительно, сменилось и наши обращения внезапно нашли живой отклик в прокурорских сердцах.
Сперва Главная военная прокуратура осуществила прокурорское реагирование в адрес Минобороны, МЧС и ФСТЭК России, а следом и Генпрокуратура сообщила, что организованы проверки, при выявлении нарушений органами прокуратуры будут приняты меры реагирования.
Заявителя о принятых мерах уведомлять не должны, но мы и сами видим результат: если в прошлом году 76% сайтов ФОИВ загружали неуставные счетчики, то в этом их осталось лишь 38%. За год с исследуемых нами госсайтов (не только ФОИВ) были полностью изгнаны счетчики NewRelic и Openstat; загружавшаяся в прошлом году на 18 сайтов госорганов Google Analytics в этом году осталась лишь на сайте Росгидромета (-94%), а «Яндекс Метрика» остался лишь на 31 сайте (-43%). LiveInternet, «Рамблер Топ 100» и прочие, включая неупокоенный SpyLog, с которым не в силах расстаться сайт Пенсионного фонда, еще присутствуют на уровне статпогрешности.
Стоит отметить, что заслуга в этом не только прокуратуры, но и общей политической ситуации, первой жертвой которой стал счетчик АИС «Мониторинг госсайтов». Сайт АИС в марте взломали и раздали через него на десятки госсайтов картинку антивоенного содержания. К настоящему времени код «Мониторинга» выпилили почти со всех исследованных госсайтов, хотя Минтруда, Росводресурсы и Роснедра все еще рискуют.
По всем исследованным госсайтам (не только ФОИВ) были зафиксированы за год падение на 41% общего количества сторонних хостов, с которых производятся загрузки, и на 23% сокращение количества уникальных хостов, а также администраторов этих хостов (-32%).
Например, мы регулярно отмечали, что код «бесплатных» гуглосервисов – Google Maps, reCAPTCHA, YouTube и др., также позволяющий собирать информацию о посетителях чужих сайтов, встречается на госсайтах в несколько раз чаще, чем код самой Google Analytics. В этом году он остался лишь на 16 исследованных сайтах, что на 62% меньше, чем годом ранее.
Прогресс в снижении количества загрузок чужого кода на госсайты, сокращении числа его источников и удаление кода наиболее одиозных интернет-шпионов, увы, не свидетельствует о наступившем у госорганов понимании требований информационной безопасности. Если в прошлом году лишь 7 госсайтов не загружали посторонний код, а 31 загружали только «госкод», то в этом году их стало 11 (+57%) и 49 (+58%) соответственно. Остальные – и их по-прежнему много – продолжают загружать сторонний код, в том числе происходящий из стран, объявленных недружественными. То есть показатели, которые впечатляюще выглядят в процентах, зачастую не столь поразительны в абсолютных значениях.
Впрочем, предпосылки для дальнейшей очистки госсайтов от постороннего контента сохраняются: хакеры хакают, Генпрокуратура реагирует, а мы – продолжаем тормошить надзорный орган и вести разъяснительную работу. Возможно, к следующему году «госвеб» пройдет наконец процедуру очищения от скверны стороннего кода. Дополнительный стимул этому придаст указ Президента от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», возлагающий персональную ответственность за обеспечение информационной безопасности госорганов на их руководителей. Одно дело – лишить премии погромиста Васю, недокрутившего чего-то там в этих своих Интернетах, другое – себя, любимого.
По материалам Хабр