Взломанный CMS на сайте кыргызского минфина указывает на системные проблемы

Курьезная новость о том, что официальный интернет-ресурс Министерства финансов Кыргызстана работает на недорогом взломанном «движке» (CMS) российской компании Diafan заставила экспертов задуматься об общих вопросах инфомационной безопасности и госуправления.

На минувшей неделе анонимный пользователь российского сайта xaker.ru сообщил о том, что сайт кыргызского министерства финансов около двух лет работает на нелицензионном CMS фирмы Diafan. Либо минфин халатно относится к выбору подрядчиков, которые позволили себе использовать нелегальное ПО, либо выделил недостаточно средств на разработку сайта, пишет автор xaker.ru.

Как сообщил новостной ресурс «Клооп», руководство компании собиралось предъявить официальные претензии госоргану с требованием выкупить права на программу, либо прекратить ее использовать. Стоимость CMS составляет около 7,000 рос. рублей, или немногим более 100 долларов США.

Министерство финансов заявило, что намерено проверить данный факт, но переложило ответственность на разработчиков сайта, которым чиновники передали техническое задание. Интернет-представительство кыргызского минфина было создано на средства структуры под названием Многосторонний донорский трастовый фонд «Развитие потенциала в управлении государственными финансами». Проект работает в ряде стран региона Центральной Азии, финансируется Евросоюзом и администрируется Всемирным Банком.

В Diafan пояснили, что о факте нелегального использования своего open-source продукта компания узнала из логов: «Когда систему взламывают, то убирают, в основном, только код, относящийся к лицензии. Однако в CMS много мест, где она ссылается на нас, так что случайного перехода достаточно, чтобы “отметиться” у нас. Анализ логов и проверка лицензии — это просто вопрос времени», говорит Дмитрий Афанасьев, руководитель компании Diafan.

Артем Горяйнов, эксперт в области интернета, говорит, что ситуация демонстрирует плохой контроль госорганами своих информационных систем в целом. «У нас уже было много взломов государственных сайтов — в основном из-за несвоевременного обновления или из-за некачественной настройки», говорит он. Другая проблема заключается в человеческом факторе. «Видимо, никого из ответственных лиц вообще не волновал вопрос лицензии условия поддержки».

По словам Афанасьева, безопасности и уязвимости всего сайта использование взломанной версии продукта никак не угрожает. «Собственно, случаев настоящего взлома сайтов на DIAFAN.CMS неизвестно — поэтому нас и выбирают, в т.ч. государственные организации. А вот удаление лицензии и «экономия» 7,000 рос. рублей приводит вот к таким инцидентам».

Источник

Версия для печатиВерсия для печати

Регион: 

Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!