Сотрудники ФСБ и МВД используют для служебной переписки Mail.ru и Gmail

Подавляющая часть представителей государства на сайте zakupki.gov.ru оставляет для связи адреса электронной почты, расположенные на бесплатных почтовых сервисах — часто на Mail.ru и Yandex.ru, а некоторые предпочитают сервисы американских Google.com и Mircosoft.com. Злоумышленники научились взламывать такие ящики, как показал недавний скандал с почтой вице-премьера Аркадия Дворковича.

Корпоративная не популярна

Самой большой популярностью среди госслужащих пользуется не корпоративная или правительственная почта, а бесплатные почтовые службы на Mail.ru и Yandex.ru, рассказал РБК один из организаторов проекта «Госзатраты», директор некоммерческого партнерства «Информационная культура» Иван Бегтин. «Госзатраты» изучали предпочтения чиновников на портале госзакупок zakupki.gov.ru — здесь все государственные и муниципальные организации должны сообщать о своих закупках в ходе конкурсов, проведения которых требует российское законодательство. Компании с госучастием также должны сообщать о своих закупках через zakupki.gov.ru.

«Госзатраты» ведут базу зарегистрированных на сайте госзаказчиков, в которой уже 344 тыс. организаций, рассказывает Бегтин, из них 325 тыс. указали адреса электронной почты (хотя это требование распространяется на всех). Оказалось, что 80% всех указанных ящиков — это бесплатные электронные адреса, из них более 65% — на Mail.ru, еще почти 25% на Yandex.ru, говорит Бегтин. Почтовыми службами от Google и Microsoft пользуются чуть больше 2% организаций.

Бегтин удивляется, что «при существующих запредельных требованиях к безопасности» академия криптографии ФСБ России указывает в качестве своего контактного адреса ящик на Gmail — почтовой службе американской компании Google. «У МВД примерно половина всех указанных адресов на госзакупках — на Mail.ru, у кучи войсковых частей — контакты на «Яндексе», — добавляет он.

Аккаунты на бесплатных почтовых сервисах чаще всего персонифицированы, то есть все процедуры восстановления паролей может провести только тот, кто зарегистрировал почтовый ящик. «Уволившись из того или иного ведомства, этот человек сохраняет доступ к таким почтовым ящикам. Не говоря уже о том, что доступ к ним также имеет провайдер почты», — подчеркнул Бегтин.

Массовыми почтовыми службами пользуются даже организации, которые по долгу службы ищут способы взлома интернет-сервисов. Например, в середине июля один из ведомственных институтов МВД объявил через zakupki.gov.ru конкурс для специалистов, которые должны исследовать анонимную сеть TOR на возможность идентификации ее пользователей: эти специалисты должны присылать свои предложения на почтовый ящик prostis@yandex.ru.

Заставят по закону

Пресс-служба «Яндекса» никакого негатива в использовании чиновниками почтовых адресов, расположенных на серверах компании, не видит: «Яндекс» для обслуживания российских клиентов всегда использовал сервера в России. «Мы рекомендуем пользователям обращать внимание на адрес отправителя и применяем специальные инструменты верификации подлинности отправителя. Если чиновники будут отправлять письма, используя собственный домен, это поможет избежать случаев мошенничества, когда недоброжелатели выдают себя за государственных деятелей и вводят в заблуждение пользователей», — говорит представитель пресс-службы «Яндекса».

Он уверяет, что современные почтовые сервисы — это сложнейшие информационные системы, которые имеют несколько уровней безопасности и защиту на многих этапах работы с личной перепиской. А подавляющее большинство историй про взлом переписки, по его словам, объединяет одно — как правило, они связаны не с ошибками почтовых сервисов, а с действием «человеческого фактора»: небрежным отношением к своему паролю или передачей пароля «доверенному» лицу, которое «вдруг решило сделать переписку достоянием общественности».

В высоком уровне безопасности современных массовых почтовых сервисов уверена и вице-президент Mail.Ru Group Анна Артамонова: за 15 лет на рынке их сервис, по ее словам, накопил огромную технологическую базу, позволяющую предлагать самые современные решения по защите персональных данных — шифрование трафика, систему противодействия автоматическому подбору пароля, антиспам и защиту от мошенничества. «Сейчас мы занимаемся переработкой системы восстановления пароля, чтобы защитить даже тех пользователей, которые пренебрегают правилами интернет-гигиены — например тех, у кого, пароль украден с помощью вируса», — рассказывает Артамонова. Она считает, что у IT-компаний, которые занимаются поддержкой ведомственных сервисов электронной почты, таких возможностей просто нет.

В Госдуме уже прошел первое чтение законопроект, который обязывает размещать официальные сайты госорганов на серверах в России. Ко второму чтению в проекте может появиться положение, которое обяжет ведомства использовать собственные почтовые службы, рассказал РБК автор проекта, зампред комитета Госдумы по экономполитике, инновационному развитию и предпринимательству Виктор Климов.

«Запретить чиновнику пользоваться Yandex.ru, Mail.ru или Google.com мы не можем, да это и бессмысленно, но юридически значимый документооборот все же должен быть отрегулирован», — считает Климов. Ограничение по почтовым сервисам, по его мнению, также будет «вполне администрируемым»: «У большинства госорганов есть собственные почтовые сервисы, вопрос только в том, чтобы прописать порядок, хотя в муниципальных образованиях, где установлены гораздо менее серьезные информационные системы, там, возможно, какие‑то расходы потребуются — этот момент надо будет еще обсудить и продумать», — отмечает депутат.

Евгений Красников

Как взламывали почту чиновников

Василий Якеменко, Кристина Потупчик

В начале 2012 года в интернете появилась переписка с почтовых ящиков руководителя Росмолодежи Василия Якеменко и пресс-секретаря движения «Наши» Кристины Потупчик. Обе жертвы взлома вели свою рабочую переписку через ящики, зарегистрированные на Mail.ru.

Утечка вскрыла методы работы «Наших» в интернете — движение оплачивало активность своих участников в соцсетях и блогах, а также платило известным блогерам за то, что они публиковали от своего имени проправительственные сообщения. В переписке Потупчик самым компрометирующим местом оказались намеки на ее причастность к DDoS-атакам на сайт газеты «Коммерсант». «Все незаконные атаки — никто не докажет, но все сволочи поймут, что с нами лучше не связываться», — так предположительно написала Кристина Потупчик руководителю аппарата движения «Наши» Артуру Омарову.

В своей переписке Якеменко в основном обсуждал покупки и траты. Чиновник с зарплатой около 85 тыс. руб в месяц рассказывал о заказе в «Пурпурном легионе» музыкального Hi-End комплекса стоимостью 3 млн руб.

Аркадий Дворкович

В июле блогер Shaltai Boltai опубликовал переписку, которую вел со своего почтового ящика на Gmail (почтовая служба Google) вице-премьер Аркадий Дворкович. В результате утечки в интернет попало множество документов из рабочей переписки правительства — презентации, аналитические записки, проекты писем и протоколов. Оказалось также, что Дворкович хлопочет над продвижением технологии цифрового теле- и радиовещания в диапазоне 66–74 МГц. Эту технологию разработало предприятие «Главный радиочастотный центр», которым руководил профессор Виктор Дворкович — по данным издания CNews, дядя вице-премьера.

Сара Пэйлин

В сентябре 2008 года в США в разгар президентской избирательной кампании на сайте для анонимного общения 4chan неизвестный разместил содержимое переписки кандидата в вице-президенты США от республиканцев, губернатора Аляски Сары Пэйлин. В сеть попали ее сообщения, которыми она обменивалась с помощью бесплатной почтовой службы интернет-портала Yahoo. Взломщником оказался 20-летний студент, сумевший за четверть минуты подобрать пароль к почте губернатора на основе информации о Пэйлин, содержавшейся в «Википедии». «Там совсем ничего не было, никакого компромата — я нашел только личные вещи, какие-то офисные материалы», — написал взломщик на 4chan. Позже его арестовали и приговорили к годичному тюремному заключению.