«Взлома не было — и это важно», — глава «Новых облачных технологий» развивает конфликт с Mail.ru Group

Если один из крупнейших игроков ИТ-отрасли публично ищет уязвимости в продукте нового игрока, это означает, что нового игрока воспринимают всерьез.

Поскольку история с найденными в почте МойОфис «уязвимостями» продолжает поражать воображение общественности, считаю нужным дать пояснения.

Mail.ru Group раскритиковали почту «Моего Офиса», который ранее раскритиковал почту Mail.ru ^[1]

В 2013 году, начиная разрабатывать платформу МойОфис, мы взяли за основу следующую идею: офисные продукты должны находиться в облаке, и это облако должно быть частным и не принадлежать сторонним крупным корпорациям. Крупная компания или органы власти обладают ресурсами, чтобы управлять облаком сами, им не обязательно зависеть от поставщика услуги. Частные пользователи и небольшие компании могут использовать сервис, предоставляемый специализированными провайдерами облачных услуг. Сейчас в мире офисных приложений лидируют Google и Microsoft. Поскольку эти компании многопрофильные, у любого бизнеса рано или поздно может возникнуть конфликт интересов с такой компанией. Да, не только ИТ-бизнеса, но и финансового, или медийного, или…

Полтора месяца назад мы выпустили исследование почтовой инфраструктуры в государственных учреждениях России, проведенное нами совместно с НП «Информационная культура» Ивана Бегтина. Пользуясь открытыми данными и прозрачной методикой, мы показали — 78% госучреждений пользуются бесплатной почтой, при этом, больше половины из них используют для служебной переписки и коммуникаций личные ящики на публичном почтовом сервисе mail.ru. Иван и раньше обращал внимание общественности и государства на данную особенность, мы решили исследовать тему шире.

Комментируя полученные цифры, мы привели популярное мнение о рисках, связанных с бесплатной почтой в целом, а также привели как пример ряд случаев, когда злоумышленники, пользуясь социальной инженерией могут получить доступ к любому аккаунту. Только в случае с личной почтой это может быть просто крайне неприятным событием, а вот в случае со служебной перепиской для владельца публичного ящика могут наступить серьезные юридические последствия.

В рамках исследования мы не ставили себе целью исследовать какие-либо публичные сервисы на безопасность. В мире ИТ разное отношение к исследованиям конкурентов, например компания Google исследует все — начиная от ядра Windows до других поисковых систем и почтовых сервисов. Находя уязвимости она извещает ^[2] владельца сервиса и публикует их через 90 дней.

Отчет вышел 26 мая, и у коллег из Mail.ru была возможность связаться с нами, предоставить свои комментарии или же попросить внести обоснованные изменения.

В пятницу, 1 июля, сотрудник Mail.ru опубликовал на своей странице в Facebook сообщение о том, что, ознакомившись с результатами исследования, проведенного компанией «Новые облачные технологии» вместе с НП «Информационная культура», решил проверить защищенность «МойОфис Почта» и нашел в нем некие уязвимости.

Уведомив нас о найденных багах, уже через час эксперт Mail.ru опубликовал информацию на своей странице в Facebook. За короткое время это сообщение было растиражировано другими сотрудниками и официальным пабликом Mail.ru, который также разместил ^[3] картинку про то, как по мнению компании Mail.ru в МойОфис принимают решения относительно безопасности.

Публикация привлекла внимание экспертов IT-отрасли и журналистов, после чего в СМИ стали появляться «креативные» заголовки типа: «Почту для чиновников взломали за 10 минут».

Что произошло на самом деле? Взлома не было — и это важно, так как следует отличать риски теоретические от рисков уже реализованных. Были найдены уязвимости.

Более того, коллега из Mail.ru искал уязвимости на тестовом стенде, используемом нашими партнерами для демонстрации клиентам и экспертам функциональных возможностей продукта.

Сервис, который тестировал Карим недоступен публике, не используется государством — именно потому, что является тестовым. Это внутренняя версия, куда мы по инвайтам пускаем сторонних экспертов и некоторых заказчиков, чтобы тестировать функциональные особенности интерфейса.

Вопросам информационной безопасности мы уделяем крайне пристальное внимание. Хотелось бы отметить, что мы софтверная компания, которая разрабатывает сложные тиражируемые решения.

К работе над продуктами у нас привлечены квалифицированные команды разработчиков, которые используют лучшие практики в части обеспечения защиты, но мы так же осознаем тот факт, что нельзя одновременно быть лучшими во всем, дополнительно привлекаем признанных экспертов рынка для проведения независимого аудита защищенности нашего продукта. Работа Digital Security по данному направлению тесно интегрирована в процесс разработки, практически на всех уровнях, что позволяет выстроить процесс безопасной разработки со своевременным выявлением самых актуальных и критичных угроз информационной безопасности. Профессионалы меня поймут, насколько это тяжело — сделать тиражируемый безопасный продукт, который постоянно обновляется, поддерживается и проходит сертификации у наших регуляторов.

Тем не менее хотелось бы поблагодарить коллег из Mail.ru, в глобальном смысле, сделавшим нам комплимент, сравнивая наш почтовый сервис с собственным флагманским продуктом. Mail.ru занимается почтой уже много лет, а МойОфис Почта только выходит на рынок. Хотя, если Mail.ru когда-нибудь сделает тиражируемое сертифицированное решение почтового клиент/сервера Enterprise уровня, будет крайне интересно провести независимый сравнительный анализ как функциональности, так и безопасности. Тем более, что сообщения о подобной инициативе уже были ^[6].

При этом, не может не беспокоить простой вопрос: Mail.ru — это крупнейшая интернет-компания Европы. Что помешает этой компании, ее менеджерам, повторить то же самое, если они будут недовольны тем, что вы говорите? Вопрос, интересный мне в том числе как клиенту: я использую (правда, в тестовых целях) сервис «Mail.ru для бизнеса».

Исходя из всего сказанного выше, остается только поблагодарить Mail.ru за подтверждение нашей бизнес-концепции.