РИА КАТЮША. Накануне многие ресурсы (в том числе - и РИА "Катюша" https://t.me/riakatysha/40975) поспешили сообщить, что мессенджер MAX не прошел проверку ФСБ. Однако, похоже, что в реальности все иначе. Как сообщила пресс-служба мессенджера, сей продукт "успешно завершил испытания оборудования для интеграции с порталом «Госуслуги». "Техническое обеспечение поставила компания «Инфотекс интернет траст», обладающая необходимыми лицензиями Минцифры, ФСТЭК и ФСБ, сообщили в пресс-службе мессенджера. Отмечается, что для подключения Max к Единой системе идентификации и аутентификации (ЕСИА) применялся протокол OpenID Connect. Как ранее сообщал первый зампред Комитета Госдумы по информационной политике Антон Горелкин, в течение нескольких недель ожидается полная интеграция мессенджера с "Госуслугами". По словам разработчиков приложения, работы в этой связи практически завершены и реализованы с учетом всех требований к безопасности государственных информсистем", - говорится в сообщении. Как же быстро все согласовали и получили все необходимые разрешения. Как и ожидалось, через компанию-посредника. Потому что в отношении самого MAX и его зарегистрированного собственника (ООО "Коммуникационная платформа", создано в прошлом году, изначальный штат - два сотрудника) еще в середине июля эксперты по кибербезопасности отмечали:

"Согласно реестру РКН, данное ООО обрабатывает ПД широкого спектра и точно более чем 100000 субъектов (загрузок уже более 2 миллионов). Согласно ПП-1119, уровень защищенности ПД, который может быть установлен в ООО "Коммуникационная платформа", не может быть ниже 3-го, а при выборе актуальных угроз 1-го или 2-го типа (а даст ли ФСБ выбрать ниже?) - не ниже 1-го (2-й в принципе тут не предусмотрен). Как при 2-х сотрудниках реализовано требование наличия собственного подразделения по защите ПД? Вопрос риторический.
Также в реестре РКН написано, что оператор MAX передает ПД по открытому Интернету, но при этом никаких шифровальных средств не использует. Вопрос - а как, собственно, обеспечивается конфиденциальность ПД пользователей платформы? Что думает ФСБ по этому поводу.

И еще - все говорят, что в Max будет интегрирован "Госключ", а сам он будет связан с ЕСИА. И как это будет сделано без криптографии? Ведь криптографию еще надо внедрить в мессенджер и потом сертифицировать, что занимает в ФСБ немало времени (хотя, может быть, все будет организовано как при регистрации в реестре РКН - за 1 день?). И потом опять сертифицировать, и опять, и опять - ведь новые релизы с новыми функциями будут выпускаться еженедельно. И как при таких спринтах будет проверяться корректность встраивания средств криптозащиты информации?" С такой "крышей", как у MAX, совсем не удивляет, что все было организовано и согласовано в момент. А что потом будет с нашими "цифровыми профилями" на этой единой платформе сбора данных о жизнедеятельности граждан РФ - это уже наши личные проблемы.

***
Простая проверка через реестр операторов ПД на сайте Роскомнадзора подтверждает, что ООО "Коммуникационная платформа" (обладатель прав на мессенджер MAX) передает данные через открытый интернет, не используя при этом никаких средств криптографической защиты.
Привет "нескольким миллионам пользователей", которые, по официальным сообщениям, уже зарегистрировались в мессенджере.
И на всякий случай - ответственность за организацию обработки ПД миллионов россиян в MAX, по тому же реестру РКН, несет ООО "ВК" с гендиректором - сыном замглавы АП Сергея Кириенко.
Всем приятного пользования!
https://t.me/riakatysha/40982