Есть такой знаковый ивент в мире IT/ИБ – Positive Hack Days, он же PHD. По значимости мероприятия и ценности контента для ибешников – это, наверное, почти как ПМЮФ для юристов. Они даже проходят примерно в одно время.
Так вот, было на PHD 25 немало интересных докладов. Там, конечно, и всеобъемно-программые, типа «Цифровой суверенитет: от зависимости к глобальному сотрудничеству». Но большинство прям вообще технически-прикладные, как например «Apache Superset и Trino для построения security-аналитики».
К чему мы это и где тут про юристов? А в одном докладе рассказали (и показали), как одна очень популярная CMS-система может подвести компанию под проверку РКН и штрафы, потому что сливает персональные данные зарубеж. Да-да, опять про штрафы за персональные данные. Давайте разбираться, что там произошло.
Немного матчасти. CMS (Content Management System), если не углубляться – это такое специальное ПО, которое позволяет создавать сайты и управлять контентом на нем. В прошлом посте мы писали про конструкторы сайтов (Tilda и Wix), а CMS – это следующий уровень сложности инструментария в сайтостроении. Для тех, у кого уже есть команда айтишников и желание большого, условно уникального сайта.
Так вот. В мае 2025 компания DPA Analytics провелаисследование безопасности frontend-приложений более 3000 крупнейших коммерческих российских компаний. Проверяли общедоступные страницы их корпоративных сайтов, порталов, личных кабинетов, социальных сетей, маркетплейсов и т.п. Эмулировали действия пользователя – как он скроллит, мышкой двигает и прочее. И выяснилось, что 64 % приложений загружают скрипты с хостов за пределами РФ, а 71 % – отправляют сетевые запросы на зарубежные хосты. Там много всяких трекеров и сборщиков аналитики, типа google-analytics.com, что ожидаемо (хотя вообще-то РКН это не одобряет). Но помимо них «в топе оказался следующий хост» – bitrix.info, с IP-адресом в Ирландии. Знаете такое? Битрикс.
Дальше там много всяких технических слов и кода, но вывод авторов исследования в том, что судя по всему встроенная, неотключаемая средствами самой системы и даже не прописанная в тех.документации функция Битрикс Аналитики реально что-то собирает и пересылает. И в зоне риска – более 650 крупнейших российских компаний из совершенно разных областей. Потому что много кто эту CMS использует.
Конечно, ИБ-специалисты на то и специалисты, что нашли как это все отключить и безобразия прекратить. И сообщили куда следует (со сцены PHD) и самой компании-разработчику. Там тоже во всем разобрались, ошибку (которую там похоже еще с 2014 года забыли, потому что тогда реально серваки в Ирландии стояли, но потом переехали в Россию) устранили, обновление выкатили. Все хорошо, переживать больше не о чем. Так ведь?
Но вы на всякий случай спросите у коллег, которые у вас в компании за сайты, порталы и прочее такое отвечает – они в курсе, накатили обновления уже? А скрипт Google Analytics с сайта удалили? А Яндекс.Метрика есть? Нет, ее можно. Надо только в Политике обработки персональных данных про нее явно написать, а то РКН и это проверяет. Там ведь тоже аналитики и специалисты работают, весьма неплохие. И тоже на конференции ходят.