ФСБ раскритиковала мессенджер Max за ненадежность
Федеральная служба безопасности выдвинула ряд претензий к защищенности национального мессенджера Max от VK. Об этом пишут в своих телеграм-каналах журналисты Фарида Рустамова и Мария Коломыченко со ссылкой на источники. Претензии касаются возможных утечек персональных данных пользователей Max.
Как пишут журналисты, им удалось ознакомиться с сопроводительными документами к «одному из последних» заседаний президиума правкомиссии по цифровому развитию. Когда проходило это заседание, они не уточняют. На этом заседании обсуждалось подключение Max к Единой системе идентификации и аутентификации (ЕСИА) — сервису, через который граждане авторизуются на «Госуслугах» и других государственных сайтах. По итогам заседания ФСБ представила замечания и требования к защищенности мессенджера. Из-за этих замечаний Max пока не может получить доступ к промышленной версии ЕСИА и, следовательно, быть подключенным к «Госуслугам» утверждают два источника на российском IT-рынке и один близкий к VK собеседник.
Обновлено: Депутат и журналист разошлись в оценке готовности Max
После выхода публикации журналистов, зампред комитета Госдумы по информационной политике Антон Горелкин заявил, что «все необходимые ведомственные разрешения были получены еще два месяца назад». По его словам, «Госуслуги» появятся в Max «уже через несколько недель», а интеграция «полностью отвечает всем требованиям безопасности, которые предъявляются к работе государственных информационных систем».
Он добавил, что тогда же, два месяца назад, началось и закрытое тестирование мессенджера. Пресс-служба VK ранее сообщала, что «успешно протестировали» совместно с компанией «Инфотекс Интернет Траст» оборудование для подключения к Госуслугам — протокол аутентификации OpenID Connect, которое позволяет с согласия пользователя передавать данные между ЕСИА и Мах.
Спустя несколько часов после заявления Горелкина, на него ответила одна из авторов материала, Мария Коломыченко в своем телеграм-канале. Она подвтердила, что само заседание правкомиссии действительно состоялось два месяца назад. Однако, по ее словам, требования ФСБ за это время не могли быть выполнены. В частности, она обратила внимание на публично размещенный на Росэлторге тендер VK на закупку NGFW UserGate для «Коммуникационной платформы» — юрлица-разработчика национального мессенджера. По ее словам, это программно-аппаратный комплекс, который фильтрует трафик, блокирует атаки в реальном времени — «проще говоря — это ровно то, что ФСБ хочет видеть у Maх (вернее, лишь небольшая часть того)», пишет Коломыченко.
Согласно информации на сайте, итоги тендера подвели только 7 июля. «Если до такой базовой вещи как покупка NGFW дошли только сейчас, то с высокой долей вероятности к более специфическим требованиям ФСБ ещё даже не приступали», — предположила Коломыченко.
UPD: Также на сайте «Росэлторга» опубликован протокол, датированный 17 июня.
Она также отметила, что информация о начале тестирования интеграции с «Госуслугами» не означает готовности к промышленному подключению. Как следует из нормативных документов, «тестовая среда нужна для отладки, в ней нет передачи реальных персональных данных, и требования при подключении к ней намного мягче», — пишет Коломыченко.
Претензии к Max
По словам одного из собеседников журналистов, служба потребовала создать «модель угроз, обеспечивающую защищённость персональных данных пользователей», а также заключить договоры с лицензиатами Федеральной службы по техническому и экспортному контролю (ФСТЭК) и ФСБ для проведения аудита. Кроме того, от мессенджера требуют внедрить криптографическую защиту информации определённого класса для организации защищенного канала связи с ЕСИА. «Max смотрится суперчувствительно, поэтому там запрос вплоть до анализа и предоставления исходных кодов на проверку», — добавил другой источник. Он называет эти требования логичными.
Источник, близкий к VK, рассчитывает, что «большую часть претензий удастся закрыть». Он также отметил, что аналогичные претензии выдвигает и профильный вице-премьер Дмитрий Григоренко, курирующий работу госмессенджера. Федерального чиновника якобы беспокоит риск утечек и возможный рост мошенничества с использованием «Госуслуг» после подключения Max. В пресс-службе Max отказались от комментариев журналистам.
О появлении «первых мошенников» в Max сегодня рассказал директор по дизайну VK Артемий Лебедев. По его словам, злоумышленники создали в мессенджере чат под видом службы поддержки «Госуслуг». Однако, в отличие от членов правительства, представитель VK причин для беспокойства не видит и уверен в безопасности мессенджера. «По крайней мере, в мессенджере Max минимальное количество такого говна будет, если сравнивать его с WhatsApp или Telegram», — уверен Лебедев. Он добавил, что российским мессенджером пользуются «люди, как правило, изначально все проверенные».
С 1 июля создатели Max пообещали платить пользователям, которые смогут найти критические уязвимости в мессенджере. Как следует из данных портала по поиску уязвимостей Bug Bounty, с тех пор уже было найдено две подобные уязвимости, по ним суммарно компания выплатила 223 тысячи рублей. Еще по трем уязвимостям вознаграждения только находятся в процессы выплаты. Деньги платят только за ранее неизвестные «дыры» критического уровня, следует из описания программы.
О желании интегрировать Max с «Госуслугами» сообщал в мае министр цифрового развития Максут Шадаев. По его словам, до этого министерство обсуждало такую возможность и с Telegram, однако чиновники «не решились c определенными моментами». В конце июня сенатор Ольга Епифанова (комитет по аграрно-продовольственной политике) сообщала, что Max интегрируют с «Госуслугами» только в октябре-ноябре.
VK позиционирует Max как будущий российский аналог китайского WeChat, который объединяет в себе не только мессенджер, но и платежную систему, новостной агрегатор и другие функции. При этом у VK уже есть несколько мессенджеров, включая «VK Мессенджер», VK Teams и «Сферум», но ни один из них не получил широкого распространения. Прошлый год холдинг завершил с убытком в 94,9 млрд рублей.
Источник: Frank Media