Минимизация рисков использования MAX и телеграм
Вопросы эксперта по защите информации и информационной безопасности и полученные ответы
MAX и Минцифры: получен ответ на запрос
Чем больше вникаю в удивительный продукт со странным названием, тем больше возникает вопросов.
Получен официальный ответ Минцифры на запрос об интеграции мессенджера MAX с ЕПГУ //единый портал госуслуг// и ЕСИА (единая система идентификации пользователей).
Было задано 7 конкретных вопросов. На три с половиной — ответили. Остальные, видимо, потерялись где-то между серверами.
Что спрашивали:
1. Правовое основание интеграции MAX с ЕПГУ/ЕСИА. Есть ли договор с ООО «Коммуникационная платформа»?
2. Какие требования к защите информации предъявлены к оператору?
3. Проводилась ли оценка соответствия ИБ? Кем? Результаты?
4. Какие СЗИ используются? Есть ли сертификаты ФСТЭК/ФСБ?
5. Как защищаются персональные данные? Является ли ООО оператором ПДн?
6. Есть ли SLA (Документ, фиксирующий обязательства поставщика услуг перед заказчиком) между Минцифры и оператором?
7. Можно ли отказаться от уведомлений через MAX?
Что ответили: Правовое основание — есть. 156-ФЗ, Распоряжение № 1880-р. Тут вопросов нет.
Статус оператора персональных данных — подтверждён. ООО «Коммуникационная платформа» действует «в полном соответствии с законодательством». Как, впрочем, и любое юрлицо — до первой проверки.
Система защиты — «соответствует требованиям 152-ФЗ». Каким именно требованиям, какого уровня защищённости — государственная тайна. Точнее, коммерческая. Технический паспорт MAX — конфиденциален. Сведения о средствах защиты «не подлежат предоставлению». То есть: доверяй, но проверить не получится. Отправка кодов без согласия — да, законно. Часть 8 статьи 1 156-ФЗ. Установил MAX — согласие на получение кодов презюмируется. Элегантно.
Что НЕ ответили:
- Договор между Минцифры и ООО «Коммуникационная платформа» — существует ли он? Молчание.
- Кто проводил оценку ИБ — какой орган, какие результаты? Тишина.
- Сертификаты ФСТЭК/ФСБ — есть или нет? Отсылка к секретному техпаспорту. Удобно: нельзя критиковать то, чего нельзя увидеть.
- SLA — параметры доступности, отказоустойчивости, время реагирования на инциденты. Вопрос проигнорирован полностью. Видимо, понятие «уровень сервиса» для интеграции с Госуслугами — излишняя роскошь.
- Возможность отказа от MAX — можно ли вернуться на SMS/email? Вопрос проигнорирован полностью. Вероятно, сама постановка показалась абсурдной: зачем отказываться от такого удобства? Арифметика ответа 7 вопросов. 3 ответа по существу. 2 отсылки к секретным документам. 2 вопроса проигнорированы. Конверсия — 43%. Для воронки продаж — катастрофа. Для ответа госоргана — норма.
Что имеем Де-юре: всё законно. 156-ФЗ работает, оператор назначен, ответственность определена. Де-факто: система, интегрированная с КИИ и обрабатывающая данные миллионов граждан, защищена документом, который нельзя показать, сертификатами, которые нельзя подтвердить, и SLA, которого, возможно, не существует. Это не обвинение. Это констатация архитектуры доверия, построенной на принципе «вам не нужно это знать».
Отказ в раскрытии технической документации делает независимую верификацию архитектуры безопасности не просто желательной — императивной. Что и добавим в задачи. Параллельно ждём ответов ФАС и Роспотребнадзора по «национальному» статусу мессенджера. И позицию ФСТЭК по Критической информационной инфраструктуре.
НС: А вот мнение эксперта ИТ-шника, компетентного пользователя телеграмм, ведущего ряда каналов в телеграмме:
Злой Эколог: Учиться работать с Телеграм будем сами
НС: Вполне здравое предположение. Добавим наше мнение. Мы знаем уровень квалификации в Роскомнадзоре и МЦ. Мы вполне допускаем использование в темную ряда чиновников и специалистов + возможное предательство. К сожалению не все эти ведомства пропитаны духом патриотизма. Мы знаем низкое качество этого продукта в конце прошлого года, когда его начали массово внедрять, там были десятки предложений по доработке, ряд из которых носил критический характер. Вполне допускаем что до сих пор не исправили. Также ряд вопросов вызывает ПО, которое было использовано - свободно распространяемое ПО из Канады, США и Украины (!). Внимание вопрос в этом случае, есть ли вероятность, что украинские программисты, за спиной которых сидят западные спецслужбы, смогли взломать макс ? Официальный органом, который проверит проверки на закладки и безопасность ПО является ФСТЭК. По нашим сведения он проверку макса не проводил, лаборатория ФСБ - также на момент конца прошлого года тоже проверку не проводила. Риски взлома и утечек данных запредельные.
По сути макс - частное средство, впрочем как и телеграм. А частники обычно не особо уважают интересы государств. Мы считаем целесообразным общественникам России взять под особый защиту информации и информационную безопасность MAX как объекта КИИ 1 категории, обрабатывающего персональные данных граждан России, включая участников СВО (не трудно представить что могут сделать западные хакеры, заполучив персональные данных их родственников, в т.ч. для доступа к госуслугам). Известно, что Запад любит вредить в областях информации и связи. Нельзя пускать на самотек такие важные средства связи. Учитывая такую низкую степень ЗИ и ИБ объединение всей жизни граждан в одной точке - скорее диверсия и преступная халатность, чем удобство. Централизировать и массово цифровизировать можно только гарантированно безопасные системы. А таковых сейчас нет от слова совсем. Тем более уже используются квантовые технологии для взлома любых шифров, использующие старые способы шифрования, а новые пока даже не придуманы, по крайне мере в России (насколько нам известно).
В таких вопросах лучше перебдить, чем недобдить.
Зрим в корень современных цифровизаторов. О содержании настоящей цифровой трансформации.
Ключевые ИТ-риски от компетентного эксперта в области информационной безопасности и защиты информации
| 
