ФСБ отправила мессенджер Max на доработку — иначе его не подключат к «Госуслугам»
Почему Max не подключат к Госуслугам без ФСБ: честный разбор требований
VK хочет, чтобы их мессенджер Max стал официальным каналом связи с госорганами. Интеграция с «Госуслугами» — логичный шаг. Но ФСБ выставила список условий. Без их выполнения Max не получит доступ к ЕСИА. И дело не в бюрократии.
Разберём, что на самом деле требует спецслужба и сможет ли VK уложиться в сроки. Спойлер: некоторые пункты выглядят как задача со звёздочкой.
ЕСИА — не просто логин и пароль
Единая система идентификации и аутентификации — это «вход» во все госсервисы. Через неё авторизуются на портале «Госуслуги», сайтах налоговой, ПФР, МВД. Если мессенджер получит к ней доступ, он станет потенциальным каналом утечки персональных данных миллионов россиян. Поэтому требования к таким системам жёсткие.
ФСБ на заседании правительственной комиссии по цифровому развитию передала VK документ с замечаниями. Главное — Max должен доказать, что не сольёт данные. Речь идёт не просто о шифровании, а о целом комплексе мер.
Чего именно требует ФСБ: четыре кита безопасности
В документе перечислены конкретные шаги. Вот ключевые:
- Модель угроз. VK обязана создать документ, где описаны все возможные сценарии атак на систему и способы защиты. Без этого нельзя сертифицировать канал связи.
- Сертифицированные средства шифрования. Обычный TLS не подойдёт. Нужны криптографические модули из реестра ФСБ определённого класса. Их придётся внедрить прямо в мессенджер.
- Договоры с лицензиатами ФСБ. VK должна заключить соглашения с компаниями, у которых есть лицензии на техэкспорт и гостайну. И с самой ФСБ — для аудита.
- Возможна проверка исходного кода. Спецслужба может запросить код Max на анализ. Это стандартная практика для критических систем. VK вряд ли обрадуется, но отказ будет означать конец интеграции.
Личное наблюдение автора: Недавно я заметил, что многие стартапы считают такие требования избыточными. Но после утечек данных клиентов банков и маркетплейсов отношение меняется. Лучше потратить полгода на сертификацию, чем потом объяснять, почему 10 миллионов паспортных данных оказались в открытом доступе.
Как VK реагирует: bug bounty и первые уязвимости
Компания запустила публичную программу поиска багов 1 июля. За это время двум исследователям выплатили 223 410 рублей. Цифра скромная, но важен принцип: вознаграждение платят только за критические уязвимости. По данным самой программы, за последний месяц нашли несколько таких дыр.
В VK уверяют, что большинство претензий закроют. Но готов ли Max к аудиту ФСБ прямо сейчас? Судя по тому, что программа bug bounty только стартовала, а первые серьёзные баги уже есть — нет. Мессенджер сырой. И это нормально для продукта, которому всего несколько месяцев.
Требования ФСБ — не прихоть, а стандарт безопасности для систем, имеющих доступ к государственным данным. Игнорировать их может только тот, кто не планирует работать с чувствительной информацией.
Сравнительная таблица: что есть у Max сейчас и что требует ФСБ
| Параметр | Текущее состояние Max | Требования ФСБ |
|---|---|---|
| Модель угроз | Отсутствует публичная информация | Обязательный документ для сертификации |
| Шифрование | Стандартное (вероятно, TLS) | Сертифицированные ФСБ средства определённого класса |
| Договоры с лицензиатами | Не объявлены | Необходимы с обладателями лицензий ФСБ |
| Аудит исходного кода | Код закрыт, но возможна проверка по запросу | ФСБ может запросить код для анализа |
| Bug bounty | Запущена, найдены критические уязвимости | Требуется устранение всех найденных багов |
Микроинструкция: как мессенджеру получить доступ к ЕСИА
Вот пошаговый путь, который придётся пройти любому сервису:
- Разработать и согласовать модель угроз с ФСБ.
- Внедрить сертифицированные криптосредства и настроить защищённый канал.
- Заключить договоры с лицензиатами ФСБ и с самой спецслужбой.
- Пройти аудит исходного кода (если потребуют).
- Устранить все критические уязвимости, найденные в ходе bug bounty или аудита.
- Получить официальное заключение ФСБ о соответствии.
Шаг четвёртый — самый болезненный для VK. Исходный код Max — интеллектуальная собственность. Но альтернативы нет: либо показываете, либо прощаетесь с «Госуслугами».
Резюме от автора
Max — амбициозный проект. Но дорога к госинтеграции усеяна не только и не столько бюрократией, сколько реальными техническими барьерами. ФСБ не пытается «задушить» мессенджер — она выполняет свою функцию защиты данных. Если VK справится с требованиями, мы получим по-настоящему безопасный отечественный сервис. Если нет — история закончится очередным красивым, но неработающим концептом. Время покажет. Но я бы не ставил на запуск раньше 2025 года.
