У ФСБ серьезные претензии к Max по защите персданных

У ФСБ серьезные претензии к Max по защите персданных

У ФСБ серьезные претензии к Max по защите персданных

ФСБ выдвинула обширный перечень претензий к мессенджеру Max. Основные замечания касаются отсутствия криптозащиты необходимого класса и других требований, обязательных для обеспечения безопасности персональных данных. До тех пор, пока эти требования не будут выполнены, речь об интеграции Max с Единой системой идентификации и аутентификации (ЕСИА) идти не может.

О претензиях со стороны ФСБ сообщили журналистки Фарида Рустамова и Мария Коломынченко, ссылаясь на участников заседания Правительственной комиссии по цифровому развитию и источники в ИТ-отрасли.

Одним из ключевых вопросов, обсуждавшихся на заседании, стала возможная интеграция мессенджера Max с ЕСИА — системой, через которую осуществляется авторизация на портале Госуслуг и других государственных платформах.

ФСБ представила детализированный список требований, без выполнения которых подключение к ЕСИА невозможно. По данным источников, этот список занимает несколько страниц. В числе требований — внедрение сертифицированных средств криптозащиты определённого класса, создание модели угроз, а также заключение договоров с лицензиатами ФСТЭК и ФСБ для проведения аттестации.

«Если в какую-то систему передаются персональные данные из ЕСИА — в случае, если они утекут, это станет проблемой Госуслуг. Поэтому, в зависимости от того, куда и к каким данным [в ЕСИА] подключаешься — есть свои требования по информационной безопасности. Поэтому там запрос вплоть до анализа и предоставления исходных кодов на проверку», — рассказал один из источников.

Позицию регулятора поддерживает и первый вице-премьер Дмитрий Григоренко. Он выразил обеспокоенность тем, что уязвимости в системе безопасности мессенджера Max, разработанного компанией VK, могут привести к утечкам данных или случаям мошенничества. В самой VK рассчитывают устранить большинство замечаний.

Депутат Госдумы Антон Горелкин заявил, что в мессенджере используются проактивные технологии защиты, построенные на постоянном мониторинге угроз и интеграции средств аналитики.

«Лично я сомневаюсь, что другие мессенджеры, представленные на российском рынке, подходят к вопросам безопасности на столь же серьезном уровне. А страх уступить рынок национальному мессенджеру растет с каждым днем. Чем и объясняется информационная активность, построенная на тиражировании фейковых новостей и надуманных претензий», — заявил депутат.

Также протокол OpenID Connect, который использует Max для интеграции с ЕСИА, включает все требования по защите, которые реализованы в том числе на аппаратном уровне в оборудовании от «Инфотекс Интернет Траст».

Сенатор Ольга Епифанова ранее предполагала, что интеграция Max с Госуслугами может быть завершена к осени 2025 года. При этом саму техническую возможность подключения уже продемонстрировали.

О проблемах с безопасностью мессенджера Max ранее неоднократно говорили и на неофициальном уровне. Список нареканий включает использование компонентов из недружественных стран, непонятную сетевую активность и другие потенциальные риски.

Не просто сканер, а разбор находок: SASTAV вынесли в формат ИБ-сервиса

ShiftLeft Security, разработчик платформы анализа защищённости исходного кода SASTAV, объявила о партнёрстве с провайдерами управляемых сервисов ИБ, включая системного интегратора УЦСБ. Теперь заказчики смогут передавать проверку кода и валидацию уязвимостей внешним экспертным командам.

Модель рассчитана на одну из частых проблем при работе с SAST-инструментами — большое количество ложноположительных срабатываний.

Вместо того чтобы отдавать заказчику сырой поток предупреждений, сервис предполагает полный цикл проверки: код загружается в защищённый контур платформы, проходит автоматизированный анализ небезопасных паттернов, зависимостей и конфигураций, а затем результаты дополнительно проверяют эксперты.

На выходе компания получает не просто список технических алертов, а подтверждённые уязвимости с приоритизацией, описанием возможного влияния на бизнес и рекомендациями по исправлению. Это должно снизить нагрузку на внутренние ИБ-команды и разработчиков, которым обычно приходится тратить время на разбор нерелевантных находок.

SASTAV может анализировать разные части приложения: бэкенд-сервисы, frontend, API-контуры и инфраструктурные манифесты. При оценке учитываются архитектура и бизнес-логика конкретного проекта, а критичность находок ранжируется с учётом вероятности эксплуатации.

Услуга будет доступна в двух форматах: как разовый аудит перед релизом, сертификацией или внешней проверкой, а также как регулярный сервис с согласованной периодичностью. В рамках подписки или отдельного контракта можно провести повторную проверку, чтобы подтвердить устранение найденных проблем.

Границы работ, технологический стек и объём проверяемого кода фиксируются в техническом задании. Такой формат позволяет компаниям получать внешнюю оценку защищённости разработки без необходимости полностью переносить эту нагрузку на собственные ИБ-ресурсы.

RSS: Новости на портале Anti-Malware.ru