Нацмессенджер Aitu: вопросы о безопасности и переходе госслужащих

Жанна Аксентий

3 min read
Нацмессенджер Aitu: вопросы о безопасности и переходе госслужащих

До 15 сентября все государственные служащие Казахстана должны перейти на использование национального мессенджера Aitu. Решение принято Цифровым штабом под руководством Премьер-министра Олжаса Бектенова в рамках исполнения поручений Президента по цифровизации и развитию ИИ. Мы собрали наиболее важные вопросы о безопасности, защите данных и доверии к новой платформе и попробовали получить на них ответы от разработчиков.

Какие технологии и протоколы шифрования применяются в Aitu и соответствуют ли они международным стандартам? Какие механизмы предусмотрены для предотвращения несанесанкционированного доступа к данным госслужащихфишинг)?

Где будет храниться пользовательская переписка, метаданные и медиафайлы — и какие меры предприняты для их защиты, включая резервирование и шифрование данных?

Какие механизмы предусмотрены для предотвращения несанкционированного доступа к данным госслужащих и пользователей, в том числе в случае компрометации устройства?

Aitu разрабатывается в соответствии с требованиями законодательства Республики Казахстан о персональных данных и их защите.

Все соединения между клиентом и сервером защищены современными криптографическими протоколами, предотвращающими атаки типа «человек посередине». Для голосовых и видеозвонков применяется защищенный канал связи, обеспечивающий конфиденциальность и целостность передаваемых данных. Мы регулярно проводим анализ исходного кода и тестирование на проникновение, что позволяет своевременно выявлять и устранять потенциальные уязвимости.

Пользовательские данные, включая историю переписки и медиафайлы, обрабатываются и хранятся на территории Республики Казахстан. Хранилища данных зашифрованы в режиме data at rest и имеют систему резервного копирования.

В целях информационной безопасности мы не раскрываем специфику применяемых криптографических алгоритмов, параметры шифрования или схемы ключевого обмена. Вместе с тем сообщаем, что все применяемые технологии соответствуют международным требованиям и постоянно совершенствуются для противодействия актуальным киберугрозам.

Как будет организован аудит кибербезопасности Aitu? Планируется ли регулярное тестирование и привлечение внешних экспертов, включая международные компании?

Какие меры предусмотрены для защиты мессенджера от DDoS-атак и попыток массового сбора данных?

Как будет выстроена система реагирования на уязвимости и инциденты — от их обнаружения до устранения?

Aitu относится к категории критически важных объектов информационно-коммуникационной инфраструктуры РК (КВОИКИ), соответственно в BTS Digital действует собственная команда по информационной безопасности, а также Операционный центр информационной безопасности (ОЦИБ), обеспечивающий мониторинг, реагирование и профилактику инцидентов.

Для защиты от DDoS-атак применяется комплекс мер, включающий фильтрацию трафика на уровне инфраструктуры, распределенную балансировку нагрузки и автоматическую активацию дополнительных ресурсов при аномальной активности.

Любые выявленные уязвимости обрабатываются по регламенту: фиксируются в бэклоге продуктовой команды, приоритизируются, устраняются в сроки зависящие от степени критичности и проходят повторное тестирование. Такой подход обеспечивает постоянное развитие системы защиты и оперативное реагирование на новые угрозы.

Кто и на каких условиях может получить доступ к данным пользователей Aitu, и как будет обеспечен баланс между требованиями государства и правом граждан на приватность?

Будет ли у Aitu прозрачная и доступная политика обработки персональных данных для пользователей?

Как мессенджер будет соответствовать требованиям национального законодательства и международным стандартам по защите данных?

Aitu имеет прозрачную политику обработки персональных данных, изложенную в доступной и понятной форме. Каждый пользователь может ознакомиться с ней в приложении и на официальном сайте по ссылке: https://aitu.io/terms.

Платформа Aitu соответствует требованиям законодательства Республики Казахстан о хранении и обработке персональных данных, а также использует подходы, соответствующие международным практикам в сфере информационной безопасности.

Как будет обеспечиваться безопасность при интеграции Aitu с другими госуслугами и платформами (например, eGov)?

Интеграция Aitu с государственными сервисами и платформами будет осуществляться в соответствии с требованиями, установленными законодательством РК, через защищенные каналы связи с многоуровневой аутентификацией и авторизацией, а также с применением протоколов, соответствующих национальным и международным стандартам безопасности.

Как планируется повышать доверие пользователей, особенно при переходе с популярных зарубежных мессенджеров?

Каждый пользователь вправе сам выбирать удобный для него мессенджер. При этом мы уверены, что Aitu способен полностью закрыть потребности как частных пользователей, так и бизнеса, предлагая полный набор привычных функций мессенджера плюс расширенные возможности. Мы обеспечиваем поддержку и помогаем клиентам быстро и удобно адаптировать приложение под их потребности.

Что будет сделано для защиты от вредоносных ботов, фейковых аккаунтов и дезинформации в национальном мессенджере?

Одним из ключевых преимуществ Aitu является собственная система авторизации, интегрированная с сертифицированным ЦОИД. Мы применяем наш опыт и технологии для защиты пользователей от вредоносных ботов, фейковых аккаунтов и дезинформации за счет инструментов ИИ. У нас уже есть успешные решения в этой сфере, например Aitu Passport, который доказал свою надежность и безопасность.

Мы понимаем, что крупная база пользователей Aitu может быть привлекательной для злоумышленников. При этом важно различать:

●      Публичные группы и каналы, к которым может присоединиться любой желающий и получить доступ к общедоступному контенту. Из-за массового характера такие площадки потенциально могут быть использованы для распространения недостоверной информации. В подобных случаях любой пользователь может отправить жалобу на сообщение или публикацию, после чего контент проходит модерацию.

●      Приватные группы, где общение ведется в ограниченном кругу лиц. Это не является открытой площадкой для злоумышленников, так как контроль за достоверностью информации в таких группах осуществляет сам владелец сообщества.

От редакции: Мы получили официальные комментарии, но часть вопросов осталась без прямых и детализированных ответов. Формально прозвучали заверения о защите и соответствии международным стандартам, однако технических подробностей пока явно не хватает. Мы понимаем осторожность разработчиков, но всё же рассчитываем, что в скором времени появится больше конкретики и прозрачности.