Специалисты «Касперского» и Касперской поспорили по поводу браузеров для госресурсов

Владимир Путин поручил правительству за полтора года организовать переход госорганов на софт с отечественными средствами шифрования. Источники "КоммерсантЪ" говорят, что от пользователей, взаимодействующих с госресурсами, также могут потребовать использовать браузеры, снабженные сертифицированными средствами шифрования.

Опрошенные Roem.ru эксперты в области информбезопасности высказали противоположные точки зрения относительно того, нужно ли заставлять рядовых пользователей переходить на защищенные бразузеры. В данном случае мы спрашивали о возможности при помощи браузера нанести вред инфраструктуре государственного сайта используя "бекдор" или известную уязвимость браузера. Если говорить о защите от кражи конфиденциальных данных на компьютере пользователя, то необходимо требовать, чтобы он использовал полностью независимую от потенциального злоумышленника операционную систему.

"С технической точки зрения нет разницы, в каком браузере пользователь начинает сессию работы с государственными информационными системами. При отправке корреспонденции тоже ничего не меняется. Можно ли будет послать в организацию письмо с вредоносным вложением - да, можно. И алгоритмы шифрования тут роли не играют - они защищают целостность и конфиденциальность переписки, но не обеспечивают проверку пересылаемых файлов/ссылок, за это отвечают другие системы, например, файловые или почтовые антивирусы. Т.е. в переписке между пользователем без отечественного софта с СКЗИ и организацией с отечественной СКЗИ риски заражения вредоносным ПО остаются ровно теми же самыми, что и сейчас". - сказал Сергей Ложкин, старший антивирусный эксперт "Лаборатории Касперского".

Заместитель генерального директора InfoWatch Рустэм Хайретдинов считает, что теоретически если некий злоумышленник получит доступ к браузеру пользователя через "бэкдор" то он может нанести вред инфраструктуре государственного ресурса во время работы пользователя с порталом госуслуг.

"Заражённые письма защищенные ресурсы отсеют либо антивирусом, либо в песочнице. А вот в личном кабинете может быть уязвимость, скажем, SQL-инъекция, и вы, или кто-то маскирующийся под вас может получить доступ ч чему-то, к чему не должен был получить, или провести транзакции, которые не должен иметь прав проводить. Технически атаки внутри защищённого канала проводить даже легче, поскольку часть сервисов считает канал доверенным и не фильтрует запросы после установления защищённого соединения. Но даже если какие-то фильтры есть, то либо надо им отдавать сессионные ключи, что небезопасно, либо их эффективность резко падает", - сказал он.

Единственным браузером, который в обозримом будущем может соответствовать требованием относительно сертификации протоколов шифрования является выпущенный структурами "Ростелекома" браузер "Спутник". В мае 2016 года владельцы продукта объявляли, что создали предварительную версию ПО с встроенным средством криптографической защиты информации от компании «КриптоПро», разработанным в соответствии с российскими стандартами. В "Яндексе" сказали Roem.ru, что в настоящий момент планов пройти такую сертификацию у компании нет.

По данным Минкомсвязи, в Единой системе идентификации и аутентификации (используется в частности при работе порталом госуслуг) в настоящее время зарегистрировано почти 29 млн пользователей. В конце марта 2016 года дневная аудитория Яндекс.Браузера составляла около 12 миллионов пользователей на десктопах и ноутбуках и 5 миллионов на мобильных устройствах. Данных по аудитории "Спутника" "Ростелеком" не публиковал.

| Подписаться на комментарии | Комментировать

Источник: Roem.ru