- PVSM.RU - https://www.pvsm.ru -

Как я «взломал» госпортал НПА и… ничего

Как я «взломал» госпортал НПА и… ничего - 1

«Приходите когда убьют» – принцип инфобеза в госсекторе. Как пользователи Портала для размещения НПА могут попасть в чужую учетку и почему это не беспокоит поддержку портала.

Мы в ОД «Информация для всех» не только критикуем [1] законодательные инициативы, но и предлагаем [2] свое видение, как их можно улучшить, тем более что государство предоставило для этого такой удобный инструмент, как Федеральный портал проектов нормативных правовых актов [3] (кому интересно – можете почитать там наш свежий отзыв на проект требований к обеспечению доступности госсайтов для людей с ограниченными возможностями [4], в основу которого положен все тот же кривой ГОСТ [5]; для незарегистрированных – тот же текст у нас на сайте [6]).

И вот однажды захожу я на этот портал, ввожу логин-пароль и открывается удивительная картина:

Как я «взломал» госпортал НПА и… ничего - 2

Войдя в свою учетку «общественника» я оказался в учетке сотрудника одного из федеральных органов исполнительной власти. Для полноты картины побродил по ссылкам, убедился, что могу просматривать размещенные им проекты НПА, уведомления и т.д. Потом вспомнил, что диспозиция ст.272 УК РФ [7] описывает последствия, но ничего не говорит о мотивах возбраняемого деяния, поэтому удержался от соблазна – исключительно в исследовательских целях, разумеется – разместить проект какого-нибудь искрометного НПА от имени ничего не подозревающего ФОИВ.

Подобрав челюсть с пола, перелогинившись и оказавшись уже в своей учетке, начал бить в набат: написал в поддержку портала, в Национальный координационный центр по компьютерным инцидентам [8] (НКЦКИ) и самому сотруднику ФОИВ, в чью учетку я неожиданно вломился. Вспомнил про существование ст.13.12.1 КоАП РФ [9], которая предусматривает а-та-ташеньки за нарушение требований к обеспечению функционирования или безопасности объектов критической информационной инфраструктуры (КИИ), и добавил к списку адресатов ФСТЭК, уполномоченную возбуждаться по упомянутой статье.

Как думаете, кто из адресатов хоть как-то возбудился? НКЦКИ отреагировал автоматическим письмом, что информация принята к сведению. ФСТЭК сообщил, что Федеральный портал проектов нормативных правовых актов не является информационной системой, функционирующей в сферах, определенных Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации», следовательно не является объектом КИИ.

Так ли это на самом деле?

Согласно ст.2 [10] Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», объектам КИИ являются информационные системы субъектов КИИ, а к субъектам КИИ относятся госорганы, которым принадлежат информационные системы в сфере здравоохранения, науки, транспорта, связи, энергетики, финансов, ТЭК, атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.

Оператором Федерального портала проектов НПА, увы, является Минэкономразвития, а не Минцифра, а выпуск общественниками пара в свисток – не считается отраслью энергетики.

Поддержка портала и вовсе ничего не ответила и, насколько можно судить, до сих пор не удосужилась даже прочесть мое сообщение.

Как я «взломал» госпортал НПА и… ничего - 3

Отреагировал только владелец учетки: поблагодарил за информацию и сообщил, что сам попадал в такую ситуацию – нежданно-негаданно оказался в чужой учетке. Давно ли дело было? – полюбопытствовал я. Месяца четыре назад, – ответил мой собеседник, – но я пару раз перезагрузил страницу и мой аккаунт вернулся в норму. Отписался в поддержку, на что мне ответили: ну раз у вас все вернулась в норму то и проблемы нет, чтобы открывать инцидент.

Как я «взломал» госпортал НПА и… ничего - 4

И впрямь, чего инцидент зря открывать? Когда портал целиком рухнет – тогда и откроют.

Автор:
ifap

Источник [11]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/uyazvimost/376008

Ссылки в тексте:

[1] критикуем: https://habr.com/ru/post/662499/

[2] предлагаем: https://habr.com/ru/post/582242/

[3] Федеральный портал проектов нормативных правовых актов: https://regulation.gov.ru

[4] проект требований к обеспечению доступности госсайтов для людей с ограниченными возможностями: https://regulation.gov.ru/projects#npa=127897

[5] кривой ГОСТ: https://habr.com/ru/post/525100/

[6] тот же текст у нас на сайте: https://ifap.ru/projects/analytic/ea035.pdf

[7] ст.272 УК РФ: https://base.garant.ru/10108000/8258b99e15c780ec0d7c9a628d13c3b2/

[8] Национальный координационный центр по компьютерным инцидентам: https://cert.gov.ru

[9] ст.13.12.1 КоАП РФ: https://base.garant.ru/12125267/8f1e18a3f5213d1c723a53e780f000b0/

[10] ст.2: https://base.garant.ru/71730198/741609f9002bd54a24e5c49cb5af953b/

[11] Источник: https://habr.com/ru/post/671326/?utm_source=habrahabr&utm_medium=rss&utm_campaign=671326