ФСБ представила ответственной за разработку мессенджера Max компании VK список замечаний и требований, которые будет необходимо выполнить, прежде чем коммуникационный сервис будет разрешено подключить к «Госуслугам», узнал Runet. В противном случае возникает угроза утечек данных россиян, считают в ведомстве.
Для полномасштабного запуска Max как официального отечественного мессенджера он должен иметь подключение к Единой системе идентификации и аутентификации (ЕСИА), которая используется для авторизации граждан на портале «Госуслуги» и на ресурсах других органов власти. Этот вопрос обсуждался на заседании президиума Правительственной комиссии по цифровому развитию, по итогам которого ФСБ представила ответственной за разработку службы мгновенных сообщений компании VK список замечаний и требований, которые придётся выполнить, прежде чем Max можно будет подключить к ЕСИА.
В документе, в частности, есть требование о создании модели угроз, которая обеспечит защиту для персональных данных пользователей, а также требование заключить договоры с обладателями лицензий ФСБ в части технического и экспортного контроля и с самой ФСБ для проведения аудита. Потребуется внедрить сертифицированные ФСБ средства шифрования информации определённого класса, которые помогут организовать защищённый канал связи с ЕСИА. Подобные требования традиционно предъявляются к системам, которые должны подключаться к ЕСИА — не исключено, что спецслужбы даже потребуют на проверку исходный код Max.
В VK уверены, что большинство претензий удастся закрыть. В правительстве считают требования ФСБ обоснованными, потому что они направлены на защиту «Госуслуг» от утечек, которые при недостаточной проработке вопросов безопасности могли бы произойти через Max, по мере обнаружения в нём уязвимостей. Платформа подключилась к публичной программе по поиску багов 1 июля, и за прошедшее время выплатила двум обнаружившим уязвимости экспертам 223 410 руб. По условиям программы вознаграждения перечисляются только за уязвимости критического уровня — за последний месяц их было обнаружено несколько, гласят данные портала Bug Bounty.