ФСБ направила компании VK, занимающейся разработкой мессенджера Max, список требований и замечаний.
Их выполнение необходимо, чтобы сервис мог быть интегрирован с «Госуслугами». Ведомство подчёркивает: в противном случае есть риск утечек персональных данных пользователей.
Для полноценного внедрения Max как отечественного коммуникационного сервиса ему требуется подключение к Единой системе идентификации и аутентификации (ЕСИА), используемой для входа на портал «Госуслуги» и другие государственные ресурсы. Вопрос подключения Max к ЕСИА обсуждался на президиуме Правительственной комиссии по цифровому развитию. По итогам обсуждений ФСБ передала VK перечень условий, без соблюдения которых подключение к ЕСИА невозможно.
Согласно документу, мессенджер должен иметь разработанную модель угроз для защиты пользовательских данных. Также необходимы контракты с компаниями, обладающими лицензиями ФСБ по техническому и экспортному контролю, а также договор с самим ведомством на проведение аудита. Помимо этого, потребуется использование сертифицированных ФСБ шифровальных средств определённого класса, чтобы обеспечить безопасную связь с ЕСИА. Возможно, ФСБ запросит и исходный код Max для анализа.
В VK заявили, что готовы выполнить большинство условий. В правительстве считают требования оправданными, так как они направлены на предотвращение утечек через Max, если в нём обнаружатся уязвимости. К слову, с 1 июля мессенджер участвует в публичной баг-баунти-программе и уже выплатил более 223 000 рублей за критические уязвимости, найденные двумя специалистами.
Источник
Уникальность
