Федеральная служба по техническому и экспортному контролю (ФСТЭК России) советовала органам власти не впустить к своим сайтам для зарубежных поисковых ботов, пишет «Коммерсант».
В письме, которое ФСТЭК разослалну а в федеральные органы исполнительной власти, говорится, что иностранные поисковые боты «собирают информацию о существующих уязвимостях информационных ресурсов органов государственной власти РФ и о персональных данных, чтобы использовать их в зарубежных моделях машинного обучения». Для предотвращения сбора этой информации ФСТЭК советует ограничить доступ поисковых ботов, например GPTBot компании OpenAI, к файлам robots.txt веб-сайтов и серверов.
Пока рекомендации выполнили но далеко не все ведомства.
К 2 сентября в файле robots.txt сайта самой ФСТЭК нет запретительной директивы для GPTBot. Нет ее и на сайтах МЧС, Минздрава, Минцифры. А в файлах robots.txt сайтов Минюста и ФСБ имеется запрет для всех интернет-роботов в принципе.
В мае похожие рекомендации хостинг-провайдерам рассылал Центр управления связью общего пользования (ЦМУ ССОП) Роскомнадзора.
«Основная задача таких поисковых ботов - сбор информации о функционирующих и доступных для подключения сетевых ресурсах в глобальной сети интернет», - говорит руководитель отдела разработки департамента TI (Threat intelligence) экспертного центра безопасности Positive Technologies Андрей Схоменко.
Хостинг-провайдерам рекомендовано ограничить работу зарубежных роботов
При этом есть боты, которые целенаправленно сканируют сайты в поисках устаревших плагинов, ошибок конфигурации и незащищенных элементов, такая как формы обратной связи, в которые можно встроить вредоносный код, разъясняет руководитель направления защиты на уровне веб-приложений DDoS-Guard Дмитрий Никонов.
«Теоретически кто угодно, или бот, или хакер, может за счет определенных команд выгрузить данные сайта», - уточняет он. «Боты действительно могут обнаруживать и уязвимости веб-ресурсов, анализировать информационную защищенность той или иной онлайн-системы, - доказывает руководитель департамента расследований ИБ-компании T.Hunter Игорь Бедеров. - После автоматического анализну а взлом может осуществлять уже человек. Однако, как правило, критичная для госорганов информация закрыта от индексирования ботами».
Фото: Freepik