Поделиться
Одна из крупнейших стран Европы переводит своих чиновников с Signal на «закрытый» и «суверенный» госмессенджер
В Польше чиновников начали переводить с Signal и Threema на недавно запущенный защищенный мессенджер mSzyfr, который был создан под эгидой Министерства цифровизации. Власти считают его суверенным, но его использование на практике может быть сопряжено с обращением к сервисам, созданным американскими корпорациями.Мессенджер для чиновников
Правительство Польши призвало чиновников и «организации в структуре национальной кибербезопасности» отказаться от мессенджера Signal в пользу защищенной альтернативы, разработанной ведущей польской исследовательской организацией, пишет The Register.
Власти Польши считают, что использование Signal сопряжено с рисками безопасности, в том числе возможностью оказаться жертвой злоумышленников из APT-группировок, применяющих техники социальной инженерии.
Signal – это приложение для обмена сообщениями с акцентом на конфиденциальность. Мессенджер бесплатен и прост в использовании и поддерживает сквозное шифрование, однако, по всей видимости, все же не лишен недостатков.
Заменить в госсекторе Signal призван новый мессенджер под названием mSzyfr, о запуске которого власти Польши объявили в марте 2026 г.
Польша – одна из крупнейших стран Европы по численности населения. Согласно оценкам ООН, по состоянию на 2026 г. в ней проживало около 38 млн человек. По данному показателю Польша занимает пятое место среди стран – участниц ЕС, уступая только Германии, Франции, Италии и Испании.
Угроза извне
В заявлении, касающемся использования Signal, опубликованном на сайте польского правительства, говорится, что группами реагирования на компьютерные инциденты зафиксированы фишинговые кампании, проводимые APT-группировками, имеющими связи с «агентствами во враждебных государствах». Целями атак якобы бы становятся госслужащие и общественные деятели. Каких лиц затронули атаки и о каких конкретно APT-группировках идет речь, не уточняется.
Упомянутые ранее фишинговые атаки на чиновников в ряде случаев осуществляются посредством Signal, говорится в сообщении. В частности, злоумышленники могут выдавать себя за работников службы поддержки мессенджера, устанавливать доверительный контакт с пользователем, а затем захватывать контроль над его учетной записью.
Жертву убеждают в необходимости перехода по вредоносной ссылке при помощи сообщений, сформулированных таким образом, что у нее складывается впечатление о необходимости срочного решения обсуждаемого вопроса. Например, в полученном жертвой сообщении может говориться о грядущей блокировки ее учетной записи и необходимости выполнить определенные действия во ее избежание.
Успешные атаки такого рода позволяют злоумышленникам получить доступ к номеру телефона жертвы и ее переписке.
Альтернатива Signal
В марте 2026 г. власти Польши объявили о запуске мессенджера mSzyfr, который предназначен для использования в органах госуправления, а также организаций, составляющих национальную систему кибербезопасности. По указанию правительства в число пользователей mSzyfr могут быть включены и другие лица.
Новый польский госмессенджер разработан Министерством цифровизации Польши и исследовательской организацией NASK (Научная и академическая компьютерная сеть). NASK, в частности, управляет национальной доменной зоной .pl, в ее структуру входит CERT Polska – национальная компьютерная группа реагирования на чрезвычайные ситуации.
Власти Польши позиционируют mSzyfr как «первый защищенный мессенджер, полностью находящийся в польской юрисдикции». Впрочем, как отмечает The Register, многофакторная аутентификация (MFA) в нем реализована с использованием технологий американских ИТ-гигантов. По умолчанию предлагается применять приложение – аутентификатор Microsoft, но при желании допускается переключение на аналог Google или альтернативу с открытым исходным кодом FreeOTP, которую развивает Red Hat (IBM).
Новому пользователю мессенджер также предложит сгенерировать специальный ключ для восстановления доступа к содержимому переписки пользователя. Этот ключ понадобится в случае выхода пользователем из своей учетной записи. Руководство по установке mSzyfr рекомендует сохранение ключа в стороннем менеджере паролей, обращает внимание The Register. Многие популярные программы данного типа разработаны за рубежом или имеют открытый исходный код. Это обстоятельство, вероятно, противоречит заявлениям разработчиков mSzyfr касательно его полной «суверенности».
В документации к мессенджеру отмечается, что защита конфиденциальности заложена в ДНК проекта, чего, по мнению разработчиков, нельзя сказать о WhatsApp** и Signal. Последние к тому же не удовлетворяют требования Общего регламента по защите данных (GDPR), определяющего правила трансграничного обмена данными и работы с персональными данными.
mSzyfr не доступен широкой публике. Подключиться к сервису могут только сотрудники организаций, одобренных властями Польши и только по специальному приглашению.
Замена Threema
mSzyfr в Польше призван заменить защищенный мессенджер со швейцарскими Threema, использование которого чиновникам рекомендовалось, начиная с 2022 г. Однако переход на новую технологию доставит полякам определенные неудобства, поскольку автоматический перенос переписки в mSzyfr из Threema невозможен из-за архитектурных особенностей последней.
*принадлежит корпорации Meta*, признанной властями РФ экстремистской; ее деятельность запрещена
Поделиться
Короткая ссылка
