Соединение между Федеральной службой безопасности России и гражданами страны находится в затруднительном положении. Основной электронный адрес ведомства на Лубянке, который предназначен для получения жалоб и заявлений о коррупции, оказался перегруженным и фактически недоступным.
Для обеспечения виртуального общения с гражданами, центральный офис ФСБ использует электронную почту fsb@fsb.ru. Также, данный адрес предлагается использовать для сообщения о случаях коррупции. К сожалению, сотрудники ФСБ не в состоянии ознакомиться с заявлениями российских граждан. Несколько писем были направлены на указанный e-mail журналистами «Октагона», но через четыре часа приходят уведомления о том, что почтовый ящик переполнен.
Более восьми лет назад ФСБ установила электронный канал связи с россиянами. В летом 2012 года спецслужба приняла новый регламент приема обращений от граждан, который позволял россиянам отправлять заявления в ведомство через интернет. Время подготовки ответа на такие сообщения составляло 30 дней с момента их регистрации. Кроме того, помимо отправки электронного письма, граждане имели возможность обратиться лично в устной или письменной форме, по телефону или факсу. Опрошенные эксперты считают, что проблема может быть вызвана неправильной работой системных администраторов, которые не учли квоты и не определили достаточное место на диске для почтового ящика. Точное время возникновения таких проблем сложно определить на основе технического ответного сообщения.
По мнению IT-эксперта и бывшего гендиректора платежной системы ChronoPay Дмитрия Артимовича, если ФСБ увеличит допустимый размер ящика или проведет его очистку, то новые обращения и жалобы снова будут доставляться им. Данный эксперт подтвердил, что в данный момент никакие обращения и жалобы не доходят до силовых структур.
Сотрудники ведомства не прочитывают свежие письма, поскольку они не могут быть доставлены. У персонала возникают вопросы о причинах, по которым новые письма не доходят до них.
Взглянув на этот вопрос с технической стороны, можно сказать, что он не является серьезной проблемой. Однако, глава аналитического центра российской компании Zecurion, специализирующейся в области корпоративной безопасности, Владимир Ульянов, отмечает, что это может повлиять на репутацию. Такие ситуации периодически возникают как в компаниях, так и в государственных структурах. Проблема заключается в том, что системным администраторам не удалось предоставить достаточно места на диске. Это может быть вызвано простым невниманием, пропуском или небрежным отношением. Ведь для людей, которые хотят связаться с органами власти через этот коммуникационный канал, это может стать большой проблемой. Они не получают ответов и остаются в неведении, не зная, доставлено ли их письмо. Но, к счастью, они получают уведомление о том, что почтовый ящик переполнен. В таких случаях они могут обратиться в ФСБ другими способами, — заключает Ульянов.
Некоторое время назад электронная почта использовалась не только для подачи жалоб и претензий. Участники творческого конкурса посвященного работе ФСБ и других проектов, отправляли свои произведения на указанный адрес.
Специалисты, с которыми взаимодействовала группа «Октагон», отметили, что использование единого адреса для разных целей является распространенной практикой в российской сфере корпоративных организаций и государственных структурах. В большинстве случаев нет необходимости создавать новый почтовый ящик для каждого конкурса или проблемы. Входящие письма могут быть пересыланы нужным людям. Если круг получателей примерно одинаковый, нет смысла создавать новую почту, — пояснил Ульянов. Эксперты признают возможность внешних атак на сервер органов силовых структур, но в данном случае вероятность такой атаки крайне мала. Кроме того, они уверены в том, что электронная почта спецслужбы обладает множеством уровней защиты, включая спам-фильтр.
– Однако, если организация не установила программу для фильтрации спама, то ее решение было верным, так как даже самые эффективные спам-фильтры часто ошибочно отсеивают полезные сообщения, – отметил Дмитрий Артимович.
Сотрудники ФСБ и МВД используют для служебной переписки Mail.ru и Gmail
Большинство представителей государства, присутствующих на веб-сайте zakupki.gov.ru, указывают свои контактные данные в виде адресов электронной почты, зарегистрированных на популярных бесплатных почтовых сервисах, чаще всего на Mail.ru и Yandex.ru, а некоторые предпочитают использовать американские сервисы Google.com и Microsoft.com. Злоумышленники научились взламывать подобные почтовые ящики, что стало явным после скандала, связанного с взломом почты вице-премьера Аркадия Дворковича.
Один из организаторов проекта «Госзатраты», директор некоммерческого партнерства «Информационная культура» Иван Бегтин, сообщил, что среди госслужащих самой популярной почтовой службой не является корпоративная или правительственная почта, а бесплатные почтовые сервисы Mail.ru и Yandex.ru. Исследование «Госзатраты» было проведено на портале госзакупок zakupki.gov.ru, где государственные и муниципальные организации обязаны сообщать о своих закупках в ходе конкурсов. Кроме того, компании с госучастием также должны использовать zakupki.gov.ru для отчетности о своих закупках. База данных «Госзатраты» содержит информацию о 344 тысячах зарегистрированных на сайте госзаказчиков, среди которых 325 тысяч указали адреса электронной почты (хотя эта требование касается всех организаций). Оказалось, что 80% этих адресов являются бесплатными, причем более 65% из них относятся к Mail.ru, а еще около 25% к Yandex.ru. Почтовыми службами Google и Microsoft пользуется немного больше 2% организаций.
Бегтин удивлен тем, что «при настолько высоких требованиях к безопасности» академия криптографии ФСБ России использует ящик на Gmail — почтовую службу американской компании Google — в качестве своего контактного адреса. Он отмечает, что в МВД около половины всех указанных адресов на госзакупках принадлежат Mail.ru, а у множества воинских подразделений контакты указаны на «Яндексе».
Аккаунты на бесплатных почтовых сервисах чаще всего привязаны к конкретным пользователям, что означает, что все процедуры по восстановлению паролей могут проводиться только теми, кто зарегистрировал эти почтовые ящики. «Даже если человек уволился из организации, он по-прежнему имеет доступ к этим почтовым ящикам. Кроме того, провайдер почтовых услуг также имеет доступ к этой информации», — подчеркивает Бегтин. Даже организации, которые занимаются взломом интернет-сервисов, часто используют массовые почтовые службы. Например, в июле одно ведомственное учреждение МВД объявило конкурс для специалистов, которые должны были исследовать анонимную сеть TOR для идентификации ее пользователей, и предложения нужно было отправлять на почтовый ящик prostis@yandex.ru через zakupki.gov.ru. «Яндекс» не видит ничего негативного в использовании чиновниками почтовых адресов, находящихся на серверах компании: «Яндекс» всегда использовал серверы в России для обслуживания своих клиентов в России. «Мы рекомендуем пользователям обращать внимание на адрес отправителя и использовать специальные инструменты для проверки подлинности отправителя. Если чиновники будут отправлять письма с использованием собственного домена, это поможет избежать случаев мошенничества, когда злоумышленники выдают себя за государственных деятелей и вводят пользователей в заблуждение», — сообщает пресс-служба «Яндекса». Они утверждают, что современные почтовые сервисы представляют собой сложные информационные системы с несколькими уровнями безопасности и защитой на всех этапах работы с личной перепиской. Вице-президент Mail.Ru Group, Анна Артамонова, также уверена в высоком уровне безопасности современных массовых почтовых сервисов. Согласно ее словам, за 15 лет работы на рынке компания накопила огромную технологическую базу, позволяющую предлагать самые современные решения в области защиты персональных данных, включая шифрование трафика, систему противодействия взлому пароля, антиспам и защиту от мошенничества. «В настоящее время мы работаем над усовершенствованием системы восстановления пароля, чтобы защитить даже тех пользователей, которые не соблюдают правила интернет-гигиены, например, если у них был украден пароль с помощью вируса», — говорит Артамонова. По ее мнению, у IT-компаний, которые поддерживают ведомственные почтовые сервисы, нет таких возможностей. В Госдуме уже прошло первое чтение законопроекта, который обязывает государственные органы размещать свои официальные сайты на серверах в России. Во время второго чтения в законопроект может быть внесено положение, которое обязывает ведомства использовать собственные почтовые службы, рассказывает автор проекта, зампред комитета Госдумы по экономической политике, инновационному развитию и предпринимательству Виктор Климов. «Мы не можем запретить чиновникам пользоваться Yandex.ru, Mail.ru или Google.com, и это не имеет смысла, но все же нужно регулировать официальный документооборот», — считает Климов. Ограничение по использованию почтовых сервисов будет «вполне управляемым», по его мнению. «У большинства госорганов уже есть собственные почтовые сервисы, просто нужно установить порядок. В муниципальных образованиях, где установлены менее серьезные информационные системы, возможно, потребуются некоторые затраты — это еще нужно обсудить и продумать», — отмечает депутат.
В начале 2012 года в интернете появилась переписка, которая была получена путем взлома почтовых ящиков Василия Якеменко, руководителя Российского союза молодежи, и Кристины Потупчик, пресс-секретаря движения «Наши». Оба этих чиновника пользовались почтовыми ящиками на платформе Mail.ru для своей рабочей переписки. В результате этой утечки данных стали известны методы работы движения «Наши» в сети Интернет — они оплачивали активность своих членов в социальных сетях и блогах, а также платили известным блогерам за то, чтобы те публиковали проправительственные сообщения от их имени. В переписке Кристины Потупчик было обнаружено самое компрометирующее сообщение, в котором она намекала на свою причастность к DDoS-атакам на сайт газеты «Коммерсант». «Никто не сможет доказать, что мы причастны к незаконным атакам, но все злодеи поймут, что лучше не связываться с нами», — предположительно написала Кристина Потупчик руководителю аппарата движения «Наши» Артуру Омарову. В своей переписке Василий Якеменко в основном обсуждал свои покупки и траты. Чиновник с зарплатой примерно 85 тысяч рублей в месяц рассказывал о своем заказе в «Пурпурном легионе», который составлял 3 миллиона рублей. В июле блогер с ником Shaltai Boltai опубликовал переписку, которую он вел с помощью своего почтового ящика на Gmail с вице-премьером Аркадием Дворковичем. В результате этой утечки в сеть попали множество документов из рабочей переписки правительства, включая презентации, аналитические записки, проекты писем и протоколов. Оказалось, что Аркадий Дворкович занимался продвижением технологии цифрового теле- и радиовещания в диапазоне 66-74 МГц. Эта технология была разработана предприятием «Главный радиочастотный центр», руководимым профессором Виктором Дворковичем, который является дядей вице-премьера, согласно данным издания CNews. В сентябре 2008 года, во время президентской избирательной кампании в США, на анонимном форуме 4chan было опубликовано содержимое переписки Сары Пэйлин, кандидата в вице-президенты от республиканцев и губернатора Аляски. Эта переписка была получена путем взлома ее бесплатного почтового ящика на интернет-портале Yahoo. Взломщиком оказался 20-летний студент, который смог за четверть минуты подобрать пароль к почте губернатора, используя информацию о Пэйлин, найденную в «Википедии». В сети были опубликованы только личные материалы, такие как офисные документы, но никаких компрометирующих материалов не обнаружено, как сообщил взломщик на 4chan. Позже его арестовали и приговорили к году тюремного заключения.