Если один из крупнейших игроков ИТ-отрасли публично ищет уязвимости в продукте нового игрока, это означает, что нового игрока воспринимают всерьез.
Поскольку история с найденными в почте МойОфис «уязвимостями» продолжает поражать воображение общественности, считаю нужным дать пояснения.
Mail.ru Group раскритиковали почту «Моего Офиса», который ранее раскритиковал почту Mail.ru
В 2013 году, начиная разрабатывать платформу МойОфис, мы взяли за основу следующую идею: офисные продукты должны находиться в облаке, и это облако должно быть частным и не принадлежать сторонним крупным корпорациям. Крупная компания или органы власти обладают ресурсами, чтобы управлять облаком сами, им не обязательно зависеть от поставщика услуги. Частные пользователи и небольшие компании могут использовать сервис, предоставляемый специализированными провайдерами облачных услуг. Сейчас в мире офисных приложений лидируют Google и Microsoft. Поскольку эти компании многопрофильные, у любого бизнеса рано или поздно может возникнуть конфликт интересов с такой компанией. Да, не только ИТ-бизнеса, но и финансового, или медийного, или…
Полтора месяца назад мы выпустили исследование почтовой инфраструктуры в государственных учреждениях России, проведенное нами совместно с НП «Информационная культура» Ивана Бегтина. Пользуясь открытыми данными и прозрачной методикой, мы показали — 78% госучреждений пользуются бесплатной почтой, при этом, больше половины из них используют для служебной переписки и коммуникаций личные ящики на публичном почтовом сервисе mail.ru. Иван и раньше обращал внимание общественности и государства на данную особенность, мы решили исследовать тему шире.
Комментируя полученные цифры, мы привели популярное мнение о рисках, связанных с бесплатной почтой в целом, а также привели как пример ряд случаев, когда злоумышленники, пользуясь социальной инженерией могут получить доступ к любому аккаунту. Только в случае с личной почтой это может быть просто крайне неприятным событием, а вот в случае со служебной перепиской для владельца публичного ящика могут наступить серьезные юридические последствия.
В рамках исследования мы не ставили себе целью исследовать какие-либо публичные сервисы на безопасность. В мире ИТ разное отношение к исследованиям конкурентов, например компания Google исследует все – начиная от ядра Windows до других поисковых систем и почтовых сервисов. Находя уязвимости она извещает владельца сервиса и публикует их через 90 дней.
Отчет вышел 26 мая, и у коллег из Mail.ru была возможность связаться с нами, предоставить свои комментарии или же попросить внести обоснованные изменения.
В пятницу, 1 июля, сотрудник Mail.ru опубликовал на своей странице в Facebook сообщение о том, что, ознакомившись с результатами исследования, проведенного компанией «Новые облачные технологии» вместе с НП «Информационная культура», решил проверить защищенность «МойОфис Почта» и нашел в нем некие уязвимости.
Уведомив нас о найденных багах, уже через час эксперт Mail.ru опубликовал информацию на своей странице в Facebook. За короткое время это сообщение было растиражировано другими сотрудниками и официальным пабликом Mail.ru, который также разместил картинку про то, как по мнению компании Mail.ru в МойОфис принимают решения относительно безопасности.
Всё, что надо знать про «безопасную почту»: vc.ru/n/myoffice-mail
Posted by Mail.Ru Group on Friday, 1 July 2016
Публикация привлекла внимание экспертов IT-отрасли и журналистов, после чего в СМИ стали появляться «креативные» заголовки типа: «Почту для чиновников взломали за 10 минут».
Что произошло на самом деле? Взлома не было — и это важно, так как следует отличать риски теоретические от рисков уже реализованных. Были найдены уязвимости.
Более того, коллега из Mail.ru искал уязвимости на тестовом стенде, используемом нашими партнерами для демонстрации клиентам и экспертам функциональных возможностей продукта.
Сервис, который тестировал Карим недоступен публике, не используется государством - именно потому, что является тестовым. Это внутренняя версия, куда мы по инвайтам пускаем сторонних экспертов и некоторых заказчиков, чтобы тестировать функциональные особенности интерфейса.
Вопросам информационной безопасности мы уделяем крайне пристальное внимание. Хотелось бы отметить, что мы софтверная компания, которая разрабатывает сложные тиражируемые решения.
К работе над продуктами у нас привлечены квалифицированные команды разработчиков, которые используют лучшие практики в части обеспечения защиты, но мы так же осознаем тот факт, что нельзя одновременно быть лучшими во всем, дополнительно привлекаем признанных экспертов рынка для проведения независимого аудита защищенности нашего продукта. Работа Digital Security по данному направлению тесно интегрирована в процесс разработки, практически на всех уровнях, что позволяет выстроить процесс безопасной разработки со своевременным выявлением самых актуальных и критичных угроз информационной безопасности. Профессионалы меня поймут, насколько это тяжело – сделать тиражируемый безопасный продукт, который постоянно обновляется, поддерживается и проходит сертификации у наших регуляторов.
Тем не менее хотелось бы поблагодарить коллег из Mail.ru, в глобальном смысле, сделавшим нам комплимент, сравнивая наш почтовый сервис с собственным флагманским продуктом. Mail.ru занимается почтой уже много лет, а МойОфис Почта только выходит на рынок. Хотя, если Mail.ru когда-нибудь сделает тиражируемое сертифицированное решение почтового клиент/сервера Enterprise уровня, будет крайне интересно провести независимый сравнительный анализ как функциональности, так и безопасности. Тем более, что сообщения о подобной инициативе уже были.
При этом, не может не беспокоить простой вопрос: Mail.ru — это крупнейшая интернет-компания Европы. Что помешает этой компании, ее менеджерам, повторить то же самое, если они будут недовольны тем, что вы говорите? Вопрос, интересный мне в том числе как клиенту: я использую (правда, в тестовых целях) сервис «Mail.ru для бизнеса».
Исходя из всего сказанного выше, остается только поблагодарить Mail.ru за подтверждение нашей бизнес-концепции.
Честно говоря я отпуске и буду в нём до 10-го числа, поэтому реагировать на все инфоповоды старался по минимум. Но, поскольку меня тут регулярно упоминают, то вставлю и свои 5 копеек.
Начну с того что проблему с тем что у нас большая часть публичной государственной коммуникативной и ИТ инфраструктуры является не формальной, сложившейся де-факто, я писал неоднократно последние лет 5 не меньше. Ещё с момента появления проекта Госсеть когда мы выявляли госсайты хостящиеся на всяких экзотических ресурсов и домены органов власти зарегистрированных на физ лиц, и продолжая исследованием email адресов. Каждый раз исследование отнимало множество ресурсов, а ни Минсвязи, ни иные госорганы, полной и реальной картины, то ли не хотели иметь, то ли не хотели тратить на это средства.
Поэтому я, вначале, хочу сказать спасибо коллегам из «Моего Офиса» за их активную позицию в том чтобы этот отчёт появился на свет и в том чтобы была возможность привлечь аналитиков и ресурсы для проведение этого анализа, да, с методподдержкой Инфокультуры.
И давайте, начнём с самого начала. Зачем вообще нужно чтобы любая компания использовала сервис-как-услугу для своих сотрудников?
Я перечислю лишь некоторые:
1. Договор с юридическим лицом с соблюдением базовых гарантий доступности.
2. Возможности сохранения доступа к почте сотрудников в случае их ухода.
3. Возможность устанавливать собственные политики безопасности.
4. Возможность доступа к email адресу сотрудника при необходимости и без запроса у него пароля.
5. Возможность соблюдений требований по обязательной архивации переписки.
и ещё многое другое что многие могут расписать и без меня.
Не случайно и у Google есть почта для домена и у Яндекса есть аналогичный сервис да и у Mail.ru есть сервис для бизнеса, не так ли?
Предположу что сами коллеги из Google, Mail.ru и Яндекса лучше меня сами расскажут про все полезные свойства своих продуктов, а появление их — это не дань моде, а стремление извлечь прибыль из реальных потребностей бизнеса.
Так чем же отличается государственное учреждение от бизнеса? Там не странно ли что юридическое лицо для своей официальной переписки использует адреса бесплатной электронной почты на условиях физического лица. И не имеет гарантий в случае каких-либо проблем или сбоев.
Весь ли бизнес использует сервисы для доменов или свои email сервера? Врядли. Но быть может дело в том что бизнес может жить как ему заблагорассудится, а деятельность госучреждений в России регулируется и не последним регулятором выступаем Минкомсвязи России.
Именно поэтому я нахожу реакцию коллег из Mail.ru, как минимум, необычной. Многоуважаемой Анне (Артамоновой) почему-то не пришло в голову представить свой сервис для бизнеса как альтернативу бесплатным адресам. Рассмотреть этот отчёт как возможность предложить что-либо госучреждениям, а как наезд на Mail.ru.
Очень странный посыл. Государственное регулирование в этой области неизбежно, но конечно, можно как телекомоператоры «ждать у моря Яровой».