Федеральная служба безопасности РФ направила компании VK детализированный перечень требований по мессенджеру MAX. До выполнения этих условий сервис не сможет получить доступ к Единой системе идентификации и аутентификации, через которую россияне входят на портал Госуслуг. Об этом говорится в документах, подготовленных к недавнему заседанию президиума Правительственной комиссии по цифровому развитию, с содержанием которых ознакомились журналисты.
Как сообщили два собеседника из сферы информационных технологий, имеющие доступ к материалам совещания, ФСБ сформулировала обширный пакет замечаний, касающихся уязвимостей в защите пользовательских данных. Один из них уточнил, что претензии ведомства изложены на нескольких страницах и включают обязательство сформировать комплексную модель угроз, а также подписать соглашения с организациями, аккредитованными Федеральной службой по техническому и экспортному контролю и ФСБ, для последующего независимого аудита.
Среди прочего, мессенджер должен внедрить сертифицированные средства криптографической защиты, соответствующие определённому классу, чтобы обеспечить безопасное соединение с ЕСИА.
По словам второго источника, требования не являются исключительными и относятся ко всем сервисам, получающим доступ к персональным данным через государственные системы. Он уточнил, что особое внимание уделяется системам с повышенным уровнем чувствительности, к которым отнесли и MAX. В случае допуска к ЕСИА разработчикам придётся передать исходный код для оценки на предмет скрытых угроз.
Собеседник, знакомый с позицией VK, подтвердил, что заседание действительно состоялось и сейчас ведётся работа по устранению большей части указанных замечаний. Он также сообщил, что обеспокоенность ФСБ разделяет и заместитель председателя правительства Дмитрий Григоренко, который курирует проект. По словам источника, вице-премьер проявляет обеспокоенность возможными инцидентами с утечкой информации через MAX, что в перспективе может повлиять на безопасность Госуслуг и активизировать мошеннические схемы.