Сайты госторгов будут слабо защищены

Минэкономразвития утвердило требования к технологическим и программным средствам сайтов, на которых проводится продажа государственного и муниципального имущества. Эксперты по интернет-технологиям считают эти требования заниженными — даже не очень сильная атака хакеров сможет "положить" сайты торгов.

Как пояснили "Известиям" в Минэкономразвития, предполагается, что правительство до конца осени утвердит перечень площадок, где будет проводиться продажа государственного и муниципального имущества. Сейчас Минэкономразвития и другие федеральные ведомства готовятся провести отбор площадок для приватизации. Электронная форма торгов в рамках приватизации должна повысить их качество, сократить сроки и искоренить коррупционные элементы, возникающие в процессе приватизации госсобственности. 

Согласно приказу Минэкономразвития, технологические и программные средства сайтов должны обеспечивать обслуживание не менее 5 тыс. запросов в час к любым его страницам.

— 5 тыс. запросов в час — это ни о чем, это детский сад, — заявил директор Координационного центра национального домена сети Интернет Андрей Колесников. — 5 млн в час — вот нормальное требование. Требование Google к российским рекламным агентствам для доступа на его рекламную площадку — умение держать 2–3 тыс. запросов в минуту.

В России были случаи DDoS атак (Distributed Denial of Service — переполнение компьютерной системы за счет большого количества искусственно сгенерированных запросов. — "Известия") на сайты, где проводятся электронные торги. Так, в прошлом году Следственное управление ЮЗАО Москвы возбудило уголовное дело по факту атак на сайт ОАО "Единая электронная торговая площадка" (roseltorg.ru).

Требования в подобных документах, как правило, формальны: бывают пиковые нагрузки, бывает, наоборот, время неактивности, считает директор медиаагентства "Легенда" Антон Коробков-Землянский. В среднем торгами интересуется небольшой круг лиц, считает он.

— Для сайтов государственного масштаба 5 тыс. в час — очень мало, — настаивает вице-председатель пиратской партии России Станислав Шакиров. — Дело не только в возможности DDoS-атаки. Когда популярный блогер, например Алексей Навальный, в своем посте разместит ссылку на сайт торгов, количество посетителей резко вырастет и сайт не выдержит.

Согласно документу, при создании сайта госторгов его организатор должен обеспечить применение сертифицированных средств антивирусной защиты и защиты от DDoS-атак.

— Нам неизвестны такие решения. Более того, их нет смысла сертифицировать, — уверен старший аналитик компании "Доктор Веб" Вячеслав Медведев. — Во-первых, нет требований, по которым они могли бы сертифицироваться, а во-вторых, это постоянно развивающиеся продукты. Каждый день появляются новые типы атак — и новые типы противодействия. Невозможно мгновенно сертифицировать все эти изменения. Один только инспекционный контроль — процедура обновления ранее сертифицированного продукта — занимает месяцы.

По словам Медведева, на российском рынке присутствуют системы защиты от DDoS атак, выпущенные различными производителями: Arbor Networks, Cisco, Cloudshied, Narus, Prolexic, Akamai, NSFocus, МФИ-софт и др. Есть средства, устанавливаемые на уровне провайдеров, есть решения для компаний, и есть сервисы, на которые можно подписаться.

— Защита от DDoS — не столько применение каких-то железок и софтин, сколько  грамотное распределение ресурсов в "облаке", — считает Колесников. — Если ресурс стоит на одной площадке и подключен только к одному провайдеру, то когда тебе забьют канал связи, никакие сертифицированные средства не помогут. Если ресурс стоит на площадке, которая подключена ко многим провайдерам, и есть схема фильтрации DDoS-трафика, то это эффективно. Защита — это всегда комплекс мероприятий и в первую очередь топология сети.

По мнению основателя компании ChronoPay Павла Врублевского, в России нет средств эффективной защиты от DDoS.

— Сомневаюсь, что кто-то сможет отразить тяжелую атаку наподобие той, которую проводили против Эстонии. С точки зрения такой защиты в нашей стране очень слабые технологии, — резюмировал он.