Каждый пятый региональный госсайт в РФ работает на иностранной CMS

В этом году сайты многих российских госорганов и компаний подверглись атакам. Остро встал вопрос отказоустойчивости, импортозамещении в сфере ИТ в целом. Мы проанализировали правительственные сайты всех регионов РФ и их столиц и выяснили, с какие проблемы и риски им грозят.

Изучали несколько показателей:

  • тип CMS (системы управления контентом);
  • соответствие Стандарту цифрового государства России. Версия 2.0;
  • объём трафика;
  • наличие авторизации через ЕСИА (единую систему идентификации и аутентификации);
  • объединены или нет в одну платформу сайт региона и сайт его столицы.

География использования зарубежных CMS

Проблемы, которые обнаружились характерны и повторяются от региона к региону. Например, в большинстве субъектов федерации до сих пор нет единой системы «правительство субъекта — столица субъекта — муниципалитеты». Сайты не только не связаны между собой, но и могут быть сделаны на разных платформах (CMS) и отличаться по качеству исполнения. Так происходит потому, что в регионах за разработку могут отвечать разные подразделения. По этой причине мы проверяли сайты региональных правительств и столичных администраций по отдельности.

В первой части статьи наблюдения, во второй — проблемы и варианты решения.

Какие CMS используют госсайты в регионах

CMS — система управления содержимым сайта, его платформа. Разработку можно выполнять на фреймворке, “с нуля”. А можно с использованием CMS, это позволяет экономить на разработке и поддержке, унифицировать сайты и сервисы. Подавляющее число региональных сайтов сделаны на CMS. И самая популярная среди госсайтов — 1С-Битрикс. Достаточно надежная и производительная российская система.

Однако каждый пятый проанализированный сайт работает на иностранных платформах и даже конструкторах сайтов:

  • Drupal: сайты правительств Новосибирской области, Северной Осетии, Курганской, Псковской, Астраханской областей и сайт администрации Ульяновска;
  • WordPress: сайты Брянска, правительства Чечни и Самарской области;
  • Joomla: сайты администраций Магаса, Сыктывкара, Благовещенска, а также сайты правительств Ставропольского края и республики Дагестан;
  • Microsoft SharePoint: сайты Красноярска и Ярославской области (при этом сайт Ярославля базируется на отечественной 1С-Битрикс);
  • Liferay: сайты администраций Омска и Владимирской области.

И один сайт использует российскую DataLife Engine. Это сайт администрации республики Карачаево-Черкесия — города Черкесска.

Анализ сайтов правительств

Риски использования иностранных CMS довольно очевидны. Возможных сценариев для атак существует масса, но все они укладываются в две принципиальные группы:

1) утечки данных;

2) контроль над сайтами извне;

Добавлю к ним также:

3) несоблюдение требований законодательства в случае использования иностранных конструкторов и CMS. Закон предписывает использовать решения, входящие в Единый реестр российского ПО;

4) слабая защищенность от DDoS-атак (отправка запросов на сайт или приложение свыше пропускной способности сети). Сетевые экраны не спасают, поэтому для эффективной защиты нужна соответствующая архитектура на уровне серверов.

Интеграция программного обеспечения

Другая проблема ― интеграция различного ПО друг с другом. Вот пример: упомянутая выше 1С-Битрикс, самая популярная CMS среди региональных госсайтов, работает с системой управления базами данных MySQL. Эта СУБД не входит в реестр отечественного ПО, то есть ее использование противоречит законодательству РФ.

1С-Битрикс это CMS, которая лежит в основе 80% региональных сайтов, и если разработчики из Битрикс не внесут изменения, то регионам придется самим решать проблему совместимости.

Регионы, которые используют ее уже сокращают риски. Однако у нее есть одна слабость: она использует СУБД (систему управления базами данных) MySQL, которая не входит в число рекомендованных.

Российская СУБД Postgres Pro внесена в реестр отечественного программного обеспечения, что критически важно для госсайтов, но 1С-Битрикс пока не имеет интеграции с ней.

Внешний вид и дизайн-система госсайтов

От дизайна сайта зависит, сколько человек будет его посещать и как часто, а также то, насколько хорошо будет налажена связь между государственными институтами и населением.

Дизайн — утилитарная и измеримая категория. Для оценки внешнего вида и качества взаимодействия пользователей с региональными госсайтами используем специальный стандарт — Госвеб 2.0. Он реализован в рамках проекта Стандарт цифрового государства России, версия 2.0 и впервые был применен на сайте Президента России.

Из 165 рассмотренных сайтов имеют сходство с дизайн-системой 48 сайтов, 25 сайтов выполнены в полном соответствии с Госвеб 2.0, и только в четырех субъектах и сайт столицы, и сайт правительства выполнены в соответствии со стандартом. Это Калужская, Кемеровская, Костромская и Московская области.

Тренд на более дружелюбный UX (user experience, дословно «пользовательский опыт») только начинает набирать обороты. Более богатые регионы здесь оказываются впереди.

Как можно улучшить безопасность и устойчивость государственных сайтов сейчас?

Как снизить риски?

I. Переезд с очевидно рискованных иностранных конструкторов, например, на отечественную 1С-Битрикс.

Это отчасти решит первую и вторую проблему, улучшит безопасность, но не в полной мере, так как Битрикс использует СУБД MySQL.

Альтернативы есть, они указаны в Едином реестре. К примеру, СУБД MySQL можно заменить на Postgres Pro, MariaDB и другие системы с открытой лицензией. Одобренные операционные системы: Astra Linux, Microsoft Windows Server 2008 и выше. Полный список доступен на сайте Центра компетенций по импортозамещению в сфере ИКТ.

II. Не использовать сторонние счетчики на сайтах.

Счетчик встраивается в код сайта, а это значит, что через него с помощью элемента разметки iframe можно вывести информацию на сайт.

В код счетчика можно вставить какой угодно функционал, получить через него любые доступы, использовать его для шпионажа. Через формы обратной связи можно воровать данные с их помощью, например, из формы обращения в орган власти.

Ну и основная функция счетчиков — сбор данных о посещаемости, к которым у разработчиков есть доступ.

III. Защита от DDoS-атак.

После 24 февраля 2022 года вопрос отказоустойчивости для государственных сайтов стал особенно актуален. Обычно большую нагрузку приходилось выдерживать онлайн-сервисам. Сейчас из-за DDoS-атак такой риск появился у всех государственных сайтов.

Например, при разработке сайта правительства Ямало-Ненецкого автономного округа техническим заданием была предусмотрена нагрузка от 7 тысяч запросов в сутки. Однако во время атак поступало до 15 тысяч запросов в секунду. Тогда мы смогли решить проблему в оперативном порядке. Это подтолкнуло к поиску системного решения — им стал переход на микросервисную архитектуру.

Суть метода состоит в размещении разных модулей и функций сайтов на нескольких не зависящих друг от друга серверах. Изначально такой подход применяли при создании высоконагруженных сервисов, например, «Госуслуги». На сайтах для региональных администраций в этом не видели необходимости: реально высокая нагрузка возникала редко, в связи с происшествиями или громкими политическими событиями — отставкой губернатора, например.

Микросервисная архитектура реализована на ресурсе «Живем на Севере» (ЯНАО). С помощью этого сайта региональные власти проводят голосования и конкурсы, объявляют мероприятия, в него встроен интернет-магазин. Запросы, поступающие на сайт, разделены так: входы и авторизации отправляются на логин-сервер, на второй сервер ― сервисные функции сайта, а база данных лежит на третьем. Даже если какой-то из серверов упадет, остальные функции будут доступны, сайт в целом сохранит работоспособность.

IV. Работа с персональными данными.

Для улучшения пользовательского опыта и защиты персональных данных удачный ход — объединение всех ресурсов в единый портал и интеграция с ЕСИА. Это позволит государству централизованно поддерживать единый формат представления. Сейчас интеграция с ЕСИА есть на 36 сайтах из 165:

  • в 7 регионах вход через ЕСИА реализован и на сайте администрации столицы, и на сайте правительства;
  • в 6 регионах — только на сайте администрации города;
  • в 17 регионах ЕСИА есть только на сайте правительства субъекта.

Состояние сайтов органов исполнительной власти в России может очень разниться от субъекта к субъекту. Это зависит от масштаба региона: экономического, демографического, инновационного. Так сайты правительств Москвы и Московской области буквально возвышаются над веб-структурами остальных регионов.

Однако запрос на более высокое качество веб-сервисов растет. Здесь играет роль усиление отношений между государством как поставщиком услуг и гражданином как их потребителем. Вместе с санкционным давлением это ускоряет обновление веб-инфраструктуры. Оно происходит неравномерно из-за различий между субъектами федерации, но этот процесс поддается улучшению при должном финансировании и внимании со стороны органов исполнительной власти. Минимальный ИТ-инструментарий для этого процесса есть.

Иван Тельтевский
Директор по маркетингу в Мэйк / head of marketing

1137
Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.