Про баг на сайте ФМС

На ХабрХабр прошла статья про баг на сайте ФМС — читать можно тут http://habrahabr.ru/blogs/infosecurity/107736/

о том как разработчики предусмотрели в форме проверки паспортов возможность игнорировать каптчу. Хоть и не самый антисекюрный баг, но неприятный ибо каптча не просто так там стояла, а дабы информация из баз ФМС не утекала куда не надо.

Типичный пример работающего утверждения «не заговор, а облажались»  ибо видно раздолбайство и не более того.

К тому же если кто-то считает что только наши органы творят подобное, то это совсем не так и об этом я писал довольно давно в посте Всё ли помнят слоны со случаем с потерей массы писем при смене администрации в США или случай с PDF документом Пентагона где ненужная информация была «замазана чёрным цветом», но замечательно читалась при преобразовании PDF во что-то ещё, подробности тут — http://www.lenta.ru/articles/2005/06/09/hacker/

А теперь к вопросу о сайте ФМС.

Поставим вопрос иначе, а как избегать таких ситуаций? И подойдём к вопросу системно.

Я вижу следующие варианты, а также их комбинации:

1. Вводить требования к безопасности как часть госприёмки. Проверять соответствие этих требованиям компаний отличной от компанией разработчика.

2. Каждому органу власти периодически проводить аудит безопасности собственных веб-ресурсов размещением соответствующих торгов в формате госзаказа.

3. Организовать российское подразделение при одной из служб отвечающее за выработку рекомендаций и требований к госресурсам, проводящее аудит веб-сайтов и внутренних систем. По хорошему, эти сейчас занимается ФСО, но ФСО чрезвычайно закрытая служба, и никаких публичных требований и рекомендаций мне не встречалось.

4. Вменить Минсвязи проводить аудит безопасности всех информационных систем прошедших у них согласование. Так сказать, совместить влияние с немалой ответственностью. Хотя это, конечно, как обмазать пряник (соласование) гуталином (аудитом) и человеческих ресурсов у них таких не хватит.

В любом случае — это дополнительные госрасходы.

About This Author

Яндекс.Метрика