Размышления и наблюдения, взятые из ТГ-канала "Пост Лукацкого"
Часть 1 ( https://t.me/alukatsky/13071 )
Итак, сюрприз, мессенджер Мах признан национальной платформой 💬 И у меня есть что сказать по этому поводу, но для начала недоумение. Если вспомнить принятое законодательство о том, что у нас теперь на первое место выходят русскоязычные названия, то как надо читать платформу, упомянутую в распоряжении - Мах (по-русски) или Max (по-английски)? Но это лирика, на самом деле у меня комментарий будет все-таки в тему канала 🤔
Когда принимали оборотные штрафы 🤑 за инциденты с ПДн, то одним из сценариев ухода от этого наказания, называли фирмы-однодневки, которые и будут становиться операторами персональных данных вместо своих "мам" и "пап". И вот яркий пример, когда государство само показывает "как надо делать". Чтобы не подставлять ВК, статусом оператора нацмессенджера наградили некое ООО "Коммуникационная платформа" (на сайт (https://complatform.ru/) без слез не взглянешь). Теперь, если что и произойдет, то... Будет ли ВК нести ответственность за инциденты? ❓
Если посмотреть реестр операторов персональных данных, то мы увидим ( https://pd.rkn.gov.ru/operators-registry/operators-list/?id=... ), что для ООО "Коммуникационная платформа" ответственным за организацию обработки ПДн является ООО "ВК", которому принадлежит 15% в операторе нацплатформы. 84,99% принадлежат ООО "В КОНТАКТЕ", а оставшийся 0,01% ООО "КОМПАНИЯ ВК" 📊 Устанавливая Max, вы кому даете согласие на обработку ПДн? И кто в реальности их обрабатывает? Кстати, обратите внимание, между датой регистрации уведомления и датой внесения в реестр прошел... 1 (один) день! Я не вспомню больше ни одного такого случая, чтобы РКН столь оперативно регистрировал операторов ПДн 🛡
Дальше больше. Смотрим ( https://www.audit-it.ru/contragent/1247700595230_ooo-kommuni... ) публичную информацию по компании (в СПАРКе и т.п. сервисах данных еще больше). Среднесписочная численность персонала в 2024 году - 2️⃣ человека (и по ФОТу похоже ( https://www.tbank.ru/business/contractor/legal/1247700595230...) ). Согласно реестру РКН данное ООО обрабатывает ПДн широкого спектра и точно более чем 100000 субъектов (уже загрузок более 2 миллионов). Согласно ПП-1119 уровень защищенности ПДн, который может быть установлен в ООО "Коммуникационная платформа", не может быть ниже 3-го, а при выборе актуальных угроз 1-го или 2-го типа (а даст ли ФСБ 👮♂️ выбрать ниже?) - не ниже 1-го (2-й в принципе тут не предусмотрен). Как при 2-х сотрудниках реализовано требование наличия собственного подразделения по защите ПДн? 🤔
Смотрим дальше. В реестре РКН написано, что оператор передает ПДн по Интернет 🔗, но при этом, согласно тому же реестру, никаких шифровальных средств оператор нацплатформы не использует. Возникает очередной вопрос - а как, собственно, обеспечивается конфиденциальность персданных пользователей платформы? У ФСБ вроде вполне четкая позиция на этот счет? 🔑
А еще все говорят, что в Max будет интегрирован "Госключ" 🔑, а сам он будет связан с ЕСИА. И как это будет сделано без криптографии?.. А ведь криптографию еще надо внедрить в мессенджер и потом сертифицировать, что занимает в ФСБ немало времени (хотя может быть будет как при регистрации в реестре РКН - за 1 день?). И потом опять сертифицировать, и опять, и опять - ведь новые релизы с новыми функциями будут выпускаться еженедельно. И как при таких спринтах будет проверяться корректность встраивания СКЗИ? 👨💻
Часть 2 (https://t.me/alukatsky/13072 )
Изучаем запись в реестре операторов ПДн дальше. Там заявлено всего 5 целей обработки у ООО "Коммуникационная платформа":
1️⃣Заключение, исполнение, сопровождение, изменение, расторжение договоров с контрагентами с учетом требований действующего законодательства
2️⃣Осуществления трудовых отношений с работниками в соответствии с действующим трудовым законодательством и заключенными трудовыми договорами и обеспечение работников комфортными условиями труда
3️⃣Исполнение обязательств, предусмотренных действующим законодательством РФ, включая подзаконные акты
4️⃣Оформление гостевых пропусков для однократного прохода на территорию оператора
5️⃣Обработка обращений (жалоб, претензии, заявления и т.д.) по заключенным договорам (в т.ч. от пользователей) или в соответствии с действующим законодательством РФ.
Как вы думаете, какая цель описывает работу мессенджера? 🤔 Я вот думал-думал и не нашел никаких вариантов в этой пятерке. Не контрагентами же пользователей называют. А тогда на каком основании мессенджер вообще получает персональные данные своих абонентов? Кстати, заявляется об интеграции в Max еще и биометрии 🎭 Но в списке обрабатываемых данных для всех пяти целей биометрия не заявлена. Вообще там много чего не внесено из того, что с высоких трибун заявляют чиновники относительно функционала национальной платформы 🧐
Возвращаясь к первоначальному вопросу - будет ли нести ООО "ВК" ответственность за инциденты с ПДн в мессенджере? 🤔 Вроде как формулировка в реестре говорит, что ООО "Коммуникационная платформа" поручает обработку ПДн именно ВК, но... на самом деле там "поручена" организация обработки, а не сама обработка. И оператором продолжает оставаться именно оператор нацплатформы. На него и ляжет в случае чего вся тяжесть ответственности за инцидент 🚰
Кстати, по закону и многократным разъяснениям РКН политика обработки ПДн должна быть опубликована на сайте компании, чего мы не наблюдаем. Можно, конечно, сказать, что на этот кейс распространяется политика ВК, но, увы, соглашение (https://vk.com/privacy) об обработке ПДн самого ВК ни разу не упоминает ООО "Коммуникационная платформа" 🫢 Но вдруг что-то сказано в соглашении (https://id.vk.com/privacy) об обработке ПДн всей экосистемы ВК. Тоже пустота. Я вам скажу больше - если отбросить в сторону местами странные юридические обороты (я все-таки не юрист), историю с конклюдентным согласием (кого-то другого РКН за такой фокус выдрал бы) и отказ упоминания конкретных юрлиц, которым передаются ПДн пользователей, то мы увидим, что мессенджер Мах вообще не входит (https://vk.com/vk_ecosystem_services) в экосистему ВК и общее соглашение для сервисов экосистемы на нацплатформу не распространяется 🫢
Как пишет (https://t.me/PR_machine_Nika/548) Ника, продвижение нацмессенджера - это задача со звездочкой ⭐️ Соглашусь с ней в этом вопросе. Слишком уж быстро раскручивается вся ситуация, как будто кто-то дал указание срочно заместить Telegram и Whatsapp и все взяли под козырек, но делают все настолько топорно, что диву даешься 🤠 Ну как можно было не подумать об очевидных вещах, которые пробиваются на раз-два и доступны любому желающему - реестр РКН, информация о компании (и да, это не фейк, - все данные проверяются и перепроверяются по нескольким источникам), наличие лицензий ФСТЭК и ФСБ (их нет), согласие на обработку ПДн...
и, наконец, Часть 3
По результатам прошлого поста коллеги подсказали, что у Max выложено нечто (https://legal.max.ru/pp), похожее на политику. Но все-таки это не политика по обработке ПДн, как того требует РКН. И она точно не соответствует тому, что находится в реестре (https://pd.rkn.gov.ru/operators-registry/operators-list/?id=...) РКН.
В предыдущих сообщениях я рассмотрел только отдельные, лежащие на поверхности 🏔 моменты, связанные с обработкой персональных данных и криптографической защитой в нацплатформе. Если попробовать посмотреть глубже, например, на требования нового 117-го приказа ФСТЭК, то из него вытекает (хотя и неявно), что класс защищенности информационной системы, в которой разворачивается Max, должен быть не ниже того, что у ГИС, с которыми она взаимодействует 🤝 А так как там заявлено взаимодействие с ЕСИА, то класс защищенности не должен быть ниже К1, что накладывает еще больше организационных ограничений по ИБ, которые должно выполнять ООО "Коммуникационная платформа". Но способно ли оно это выполнить? Ведь даже поручить ООО "ВК" (как в части ПДн) свою защиту оно не может, так как у ООО "ВК" нет лицензии ФСТЭК на деятельность по ТЗКИ, что требуется по закону. Такая лицензия (https://reestr.fstec.ru/regview1?guid=4f2c69c0-0dc6-4065-8f5...) есть у ООО "ВК Цифровые технологии", но среди указанных там видов деятельности отсутствует мониторинг ИБ.
И ведь даже до защиты самого мессенджера дело не дошло 🛡 Мне почему-то кажется, что именно в этой части там будет все нормально. Но все остальное снижает доверие и к нацплатформе, и к тому, как и кто ее продвигает... Пока это похоже на какое-то впаривание. Куда проще было просто заблокировать все мессенджеры кроме Мах. И все - задача решена. И без всех этих выкрутасов ⛔️
Я думаю, она и так будет решена, видя с каким упорством и скоростью продвигается эта нацплатформа 🤓 Будут выданы если не сертификаты, то хотя бы положительные заключения ФСБ на всю схему, будет выдан сертификат на безопасную разработку, быстро получены все лицензии, во все соглашения на обработку ПДн будут внесены изменения (да, без предупреждения субъектов), в уведомление РКН 🔢 будут внесены нужные изменения для реестра операторов ПДн, специалисты будут обучены, а в ООО "Коммуникационная платформа" будет назначен заместитель генерального директора по ИБ в соответствие с 250-м Указом (а то странно как-то, что нацплатформа не будет отнесена к стратегическим предприятиям) 🗂 И вообще будет много чего сделано... или не будет. Тут же как - у нас все равны перед законом, но есть те, кто ровнее.
Выполнить все утвержденные за долгие десятилетия нормотворчества организационные требования по ИБ и ПДн в Мах невозможно 🚫 И перед стейкхолдерами этого платформенного мессенджера встанет дилемма - забить болт на требования, попробовать их выполнить (честно скажу, нереально; особенно в столь сжатые сроки), заняться очковтирательством, запустить процесс изменения устаревших требований 🤔 Я, признаться честно, хотел бы, чтобы все пошло по последнему варианту. Собралась бы согласительная комиссия из разных ведомств, провела бы ревизию всего законодательства по ИБ и отменила бы все то говно мамонта, которое мы тянем за собой уже десятки лет. Поэтому, скорее всего, будет а вот что будет, мы посмотрим все вместе 💃
ЗЫ. Да, если, вдруг, меня читают представители ООО "Коммуникационная платформа" и на все заданные в трех заметках вопросы уже есть ответы, то был бы рад их увидеть. Готов даже про них написать, если будет продемонстрировано, что все или часть описанного не соответствуют текущей действительности ✍️ И еще раз повторю - вопросы у меня не к технической стороне защиты мессенджера, а к той обвязке, которая эту защиту должна сопровождать.
ЗЗЫ. Все-таки, куда все так торопятся с этим Мах, подставляя себя под критику иноагентов, нежелательных организаций, экстремистов, террористов, блогеров и просто интересующихся?.. ❓ Но ведь главное что? Что вся критика идет на частную компанию из двух человек. Это же не государственный мессенджер и разрабатывает его не государственная компания! И не важно, что через него будет осуществляться доступ к госуслугам (это такие "мелочи")...
