kolomychenko:~$ access_granted
@kolomychenko
kolomychenko:~$ access_granted
👀 ФСБ выдвинула VK список претензий к мессенджеру MAX — пока их не устранят, его не подключат к госуслугам
Российский национальный мессенджер MAX, который, по замыслу властей, должен заменить россиянам WhatsApp, не готов заработать на полную. По мнению ФСБ, MAX пока нельзя подключить к госуслугам из-за риска утечек персональных данных россиян.
На одном из последних заседаний президиума Правительственной комиссии по цифровому развитию обсуждалось подключение мессенджера MAX к Единой системе идентификации и аутентификации (ЕСИА) — сервису, через который граждане авторизуются на порталах госуслуг и ряда других органов власти. Об этом говорится в сопроводительных документах к совещанию, с которыми мы ознакомились.
❗️По итогам заседания ФСБ представила обширный список замечаний и требований, из-за которых MAX пока не может получить доступ к промышленной версии ЕСИА, рассказали два источника на российском IT-рынке, знакомых с документом, и подтвердил собеседник, близкий к VK.
По словам одного из собеседников, претензии ФСБ расписаны на несколько страниц и включают требования о создании модели угроз, обеспечивающей защищённость персональных данных пользователей, а также о заключении договоров с лицензиатами Федеральной службы по техническому и экспортному контролю и ФСБ для проведения аудита.
Кроме того, мессенджеру необходимо обеспечить внедрение средств криптографической защиты информации определённого класса, сертифицированных ФСБ, для организации защищенного канала связи с ЕСИА.
Другой источник отметил, что сам факт формирования требований ему известен, и он считает их логичными — они касаются большинства интегрированных систем, подключаемых к ЕСИА. «Например, если в какую-то систему передаются персональные данные из ЕСИА — в случае, если они утекут, это станет проблемой госуслуг. Поэтому, в зависимости от того, куда и к каким данным [в ЕСИА] подключаешься — есть свои требования по информационной безопасности. MAX смотрится суперчувствительно, поэтому там запрос вплоть до анализа и предоставления исходных кодов на проверку», — пояснил он.
Источник, близкий к VK, подтвердил, что заседание правкомиссии прошло недавно, и что «большую часть претензий удастся закрыть». По его словам, претензии силовиков разделяет и профильный вице-премьер Дмитрий Григоренко, курирующий проект нацмессенджера: он тревожится о возможных утечках информации из Госуслуг, если в MAX обнаружатся «дыры», и возможном росте мошенничества с использованием Госуслуг после подключения MAX.
🪲Тем временем, данные портала по поиску уязвимостей в ПО Bug Bounty свидетельствуют, что только за последний месяц в MAX нашли несколько критических уязвимостей. 1 июля мессенджер объявил о подключении к публичной программе VK по поиску багов. За это время компания выплатила 223 410 рублей по двум отчетам багхантеров. В описании программы сказано, что вознаграждения выплачиваются только за ранее неизвестные «дыры», а в шкале вознаграждений указано, что оплачиваются только уязвимости критического уровня.
Ранее сенатор Ольга Епифанова сообщила, что MAX интегрируют с Госуслугами только в октябре-ноябре. В пресс-службе MAX от официальных комментариев отказались.
_____
О планах создать в России национальный мессенджер, интегрированный с госуслугами, стало известно лишь в июне. Тогда же в срочном порядке был принят специальный закон. Власти хотят «пересадить» россиян с иностранных сервисов на госмессенджер и сделать из MAX аналог многофункционального китайского сервиса WeChat. Поэтому подключение MAX к госуслугам – ключевая для него функция. Неготовность MAX стать более привлекательной заменой WhatsApp в теории может отсрочить его вероятную блокировку в России.
Этот пост написан в коллаборации с одной из лучших российских политических журналисток, Фаридой Рустамовой @faridaily24 – подписывайтесь на ее канал.
Отвечу депутату Горелкину, который вместе с кучей телеграм-каналов сегодня бросился защищать MAX от наших с Фаридой «нападок» и даже назвал их «фейковыми новостями». Я, в отличие от Горелкина, информацию проверяю и словами не разбрасываюсь.
На что упирают все эти внезапно осведомлённые защитники MAX?
❌ «Все необходимые ведомственные разрешения были получены ещё два месяца назад».
Два месяца назад состоялось то самое заседание президиума Правительственной комиссии, после которого ФСБ выдала MAX длинный список требований. Судя по логике защитников, все эти требования выполнили буквально за пару дней? Это, во-первых, физически невозможно. Во-вторых, есть открытая информация, которая косвенно подтверждает, что VK сейчас в процессе активной работы по исполнению требований ФСБ.
Например, на Росэлторге в открытом доступе лежит тендер VK на закупку NGFW UserGate для нужд ООО «Коммуникационная платформа» — это официальное юрлицо-разработчик мессенджера MAX, которое никакими другими IT-сервисами не занимается. Значит, UserGate закупался именно для MAX.
Что такое UserGate? Это программно-аппаратный комплекс, в котором есть фаерволл, антивирус, VPN, прокси, а также система обнаружения и предотвращения вторжений. Он фильтрует трафик, блокирует атаки в реальном времени, ведёт протоколирование событий. Сертифицирован по требованиям ФСТЭК. Проще говоря — это ровно то, что ФСБ хочет видеть у MAX (вернее, лишь небольшая часть того).
И когда VK купили UserGate? Итоги тендера подвели 7 июля, меньше месяца назад. И это только покупка — на полноценную интеграцию в инфраструктуру нужно куда больше времени. Если до такой базовой вещи как покупка NGFW дошли только сейчас, то с высокой долей вероятности к более специфическим требованиям ФСБ ещё даже не приступали.
Теперь про второй аргумент, который гуляет по телеге:
❌«Тестовая интеграция MAX с Госуслугами уже началась»
Тестовая интеграция и промышленное подключение — это две разные вещи. В «Регламенте информационного взаимодействия участников с оператором ЕСИА» чётко прописано: тестовая среда нужна для отладки, в ней нет передачи реальных персональных данных, и требования при подключении к ней намного мягче. Например, можно использовать СКЗИ классом ниже.
Промышленная среда — это уже реальный доступ к данным пользователей, и для подключения к ней надо выполнить полный набор требований по криптозащите, который ФСБ в том числе и предъявила MAX.
🫠 Напоследок напомню: ещё в прошлом месяце депутат Горелкин грозил блокировкой WhatsApp, а глава комитета Госдумы по информполитике Сергей Боярский называл это «нелепым вбросом». Так кто у нас тут «фейковые новости» распространяет?
На что упирают все эти внезапно осведомлённые защитники MAX?
❌ «Все необходимые ведомственные разрешения были получены ещё два месяца назад».
Два месяца назад состоялось то самое заседание президиума Правительственной комиссии, после которого ФСБ выдала MAX длинный список требований. Судя по логике защитников, все эти требования выполнили буквально за пару дней? Это, во-первых, физически невозможно. Во-вторых, есть открытая информация, которая косвенно подтверждает, что VK сейчас в процессе активной работы по исполнению требований ФСБ.
Например, на Росэлторге в открытом доступе лежит тендер VK на закупку NGFW UserGate для нужд ООО «Коммуникационная платформа» — это официальное юрлицо-разработчик мессенджера MAX, которое никакими другими IT-сервисами не занимается. Значит, UserGate закупался именно для MAX.
Что такое UserGate? Это программно-аппаратный комплекс, в котором есть фаерволл, антивирус, VPN, прокси, а также система обнаружения и предотвращения вторжений. Он фильтрует трафик, блокирует атаки в реальном времени, ведёт протоколирование событий. Сертифицирован по требованиям ФСТЭК. Проще говоря — это ровно то, что ФСБ хочет видеть у MAX (вернее, лишь небольшая часть того).
И когда VK купили UserGate? Итоги тендера подвели 7 июля, меньше месяца назад. И это только покупка — на полноценную интеграцию в инфраструктуру нужно куда больше времени. Если до такой базовой вещи как покупка NGFW дошли только сейчас, то с высокой долей вероятности к более специфическим требованиям ФСБ ещё даже не приступали.
Теперь про второй аргумент, который гуляет по телеге:
❌«Тестовая интеграция MAX с Госуслугами уже началась»
Тестовая интеграция и промышленное подключение — это две разные вещи. В «Регламенте информационного взаимодействия участников с оператором ЕСИА» чётко прописано: тестовая среда нужна для отладки, в ней нет передачи реальных персональных данных, и требования при подключении к ней намного мягче. Например, можно использовать СКЗИ классом ниже.
Промышленная среда — это уже реальный доступ к данным пользователей, и для подключения к ней надо выполнить полный набор требований по криптозащите, который ФСБ в том числе и предъявила MAX.
🫠 Напоследок напомню: ещё в прошлом месяце депутат Горелкин грозил блокировкой WhatsApp, а глава комитета Госдумы по информполитике Сергей Боярский называл это «нелепым вбросом». Так кто у нас тут «фейковые новости» распространяет?
👍 169
🔥 63
❤ 33
18 296 26.2K
Обсуждение 18
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram