Опубликовано
23.06.2025, 13:58Когда речь заходит о кибербезопасности, многие представляют себе сложные коды, суперкомпьютеры и людей в худи за ноутбуками. Но реальность, как показал последний аудит защищенности интернет-ресурсов госорганов Кыргызстана, гораздо прозаичнее. Речь идет не о шпионаже и не о киношных хакерах, а об административных панелях, открытых на весь интернет, и устаревших компонентах, которые не обновлялись годами.
Проверка, проведенная Ассоциацией цифровой устойчивости (DRA) совместно с экспертами TSARKA Kyrgyzstan, 76 государственных сайтов показала, что только три из них преодолели планку защищенности в 70%. Средний же показатель — 56%. Это не просто слабая оценка — это индикатор системного недоверия к вопросам кибербезопасности.
На многих ресурсах по-прежнему открыты критичные пути: от /admin/login до резервных копий баз данных. Почти половина сайтов работают с уязвимыми компонентами вроде устаревшего WordPress или Apache, а 34 сайта вообще имеют критически открытые порты.
Один из самых тревожных сигналов — конфигурация DNS и защита почтовых систем. 49 доменов не используют DMARC, 20 — без SPF. Что это значит, что получить письмо от адреса @gov.kg, содержащее вредоносный файл или фишинг-ссылку, — более чем реально.
Инструменты вроде HTTP-заголовков безопасности практически игнорируются. В частности, 56 сайтов не применяют даже базовые меры защиты от XSS-атак или Clickjacking. WAF-системы установлены только на 12 доменах, а DNSSEC не использует ни один.
Сайты госорганов — это точки входа к персональным данным, государственным базам, внутренней документации. И когда эти сайты используют уязвимые протоколы или не защищены от подмены содержимого, риску подвергается уже не только инфраструктура, но и национальная безопасность.
Отчет содержит и рекомендации. Централизованный аудит, обязательное внедрение SPF/DKIM, запрет открытых директорий и тестовых субдоменов, регулярный мониторинг. Все это — не rocket science, а базовая цифровая гигиена.
Пора уже перестать надеяться на удачу в вопросах кибербезопасности. Защита госресурсов не «бонусная опция», а прямая обязанность перед гражданами. Без этого доверие к электронным услугам останется в лучшем случае... защищенным только паролем «12345».
