Не раздавайте ПДн

Научно-технический центр подведомственный Роскомнадзору ФГУП «Главный радиочастотный центр» опубликовал исследование под названием «Об угрозах иностранных мессенджеров в условиях санкций», в котором подробно разобрал опасности для граждан России пользоваться иностранными инструментами передачи сообщений. В исследовании делается обзор основных инструментов электронной слежки, существующих в мире и сравниваются характеристики централизованных и децентрализованных мессенджеров. Основной вывод в исследовании следующий: пользователи зарубежных приложений и социальных сетей из РФ могут потерять доступ к своим данным в них из-за санкций со стороны недружественных стран.

Разведчики и мессенджеры

В исследовании подробно разбирается использование коммуникационных средств в работе специальных служб. В частности, разбирается деятельность таких компаний как PenLink, ShadowDragon, Candiru, NSO, Wolf Research, Amesys, RCS Lab и некоторых других. Эти компании разрабатывают программное обеспечение двойного назначения, которое в основном предназначено для проведения расследования правоохранительными органами, однако в некоторых случаях оно же может использоваться и для шпионажа за гражданами других государств. Естественно, что для этого используются в том числе и различные мессенджеры. А вывод из этого раздела следующий: «Новые обвинения в шпионаже и слежке появляются каждый день на мировой политической арене. Хотя утверждения не всегда верны, они имеют некоторую основу. В некоторых случаях закрытые ключи пользователей действительно сохраняются. В других, определенные службы работают как центр сертификации, позволяя вам «сертифицировать» новые открытые ключи от вашего имени. Любая из этих моделей делает подслушивание относительно легким для тех, кто имеет доступ к серверу«.

Далее проводится сравнительный анализ двух моделей работы защиты в мессенджерахцентрализованной и децентрализованной. К централизованным авторы исследования относят такие приложения как Signal, WhatsApp, Telegram и Threema. Про последний, в частности, сказано следующее: «Threema – это платный швейцарский мессенджер, претендующий на полную приватности для своих пользователей, несмотря на наличие централизованного сервера… Повышенное внимание к обеспечению приватности привлекает к использованию мессенджера террористов. В частности, известно, что террористы ИГИЛ (запрещенная в России террористическая организация) использовали для общения Threema. Кроме этого, согласно некоторым данным в швейцарской армии запрещено использование любых мессенджеров, включая WhatsApp, Signal и Telegram и рекомендуется использовать исключительно Threema«.

Проводится в документе также и анализ децентрализованных мессенджеров, таких как Briar, Session, FireChat и FireSide. Про них сказано следующее: «Проблема децентрализованных мессенджеров заключается в их неконтролируемом использовании злоумышленниками… Согласно анализу Deep Knowledge Analytics, большинство мессенджеров не может обеспечить одновременно удобство и безопасность. Эта неспособность происходит от взаимоисключающих стратегий, которые они используют… Централизованные мессенджеры хранят данные на серверных хранилищах, децентрализованные – на дисках других пользователей. Оба способа могут подвергаться атакам и взломам и имеют свои достоинства и недостатки. Пользователи в обоих случаях должны понимать риски, которые связаны с передачей конфиденциальной информации через мессенджеры«.

Основными угрозами использования мессенджеров в исследовании указываются следующие: «потери доступа к сервису и к хранящимся на его серверах данных; утечек персональных данных граждан России и их неправомерного использования; распространения противоправного, вводящего в заблуждение и оскорбляющего контента«. В качестве обоснования приводятся следующие доводы: «С учетом контекста происходящих тенденций, первоочередным риском использования иностранных мессенджеров в условиях санкций выступает возможность одностороннего отказа владельца мессенджера (или иного приложения) от исполнения обязательств, предусмотренных пользовательским соглашением. Помимо отказа от исполнения обязательств, со стороны владельца мессенджера может иметь место предвзятая трактовка правовых норм против российских пользователей, выражающаяся, например, в вынесении определенного решения по спорной ситуации в ущерб интересам российского пользователя«.

Рекомендации

В связи с этим специалисты рекомендуют следующее: «отказ от использования мессенджеров, владельцами которых выступают юридические лица (или граждане, подданные), находящиеся в юрисдикции недружественных России государств, в целях недопущения одностороннего отказа владельца мессенджера от исполнения обязательств, предусмотренных пользовательским соглашением. Такой подход нивелирует угрозу потери доступа к сервису и к хранящимся на его серверах данных и угрозу утечек персональных данных и их неправомерного использования. При необходимости, в качестве аналога иностранного мессенджера можно использовать отечественные онлайн-платформы, включающие в себя схожий функционал (в первую очередь, российские социальные сети)«.

Поделиться:
Спецпроект

ИТ-стартапы в сезон венчурной зимы

Подробнее
Спецпроект

Платформа RPA на вырост. Ускоренная миграция с импортного решения на отечественное

Подробнее


Подпишитесь
на нашу рассылку