Адміністрація США зобов’язала держслужбовців встановити офіційний додаток Білого дому на робочі смартфони

Примусове розгортання програмного забезпечення ризики та технічні нюанси нового рішення Білого дому

Адміністрація президента США видала нову внутрішню директиву яка зобов’язує державні установи встановити новий офіційний мобільний додаток «The White House» на всі робочі смартфони та планшети державних службовців виконавої гілки влади. ІТ-відділи федеральних відомств зокрема Федерального авіаційного управління вже розпочали процес автоматичного розгортання цього софту за допомогою систем централізованого управління мобільними пристроями (MDM). Процес відбувається повністю в автоматичному режимі без потреби у згоді користувачів або будь-яких дій з їхнього боку що викликало серйозну дискусію в колах експертів з кібербезпеки та захисту персональних даних.

Головною метою створення програми декларується покращення комунікації між адміністрацією та держслужбовцями оперативне інформування про ключові рішення та надання прямого доступу до офіційних релізів. Проте експерти з комп’ютерної безпеки вказують на потенційні приховані загрози пов’язані з трекінгом геолокації збором телеметрії та використанням державних ресурсів для цілей які можуть межувати з політичною агітацією всередині державного апарату.

Технічні особливості програми та механізми автоматичного встановлення

Додаток Білого дому розроблений для двох основних мобільних платформ iOS та Android. Оскільки мова йде про службові пристрої (Government-Furnished Equipment) міністерства та відомства використовують спеціалізовані платформи управління мобільними додатками підприємства. Це дозволяє адміністраторам безпеки дистанційно інсталювати видаляти та оновлювати будь-яке програмне забезпечення. Співробітники урядових структур не мають технічної можливості заблокувати цей процес або видалити програму після її появи на екрані пристрою.

За попередніми технічними аналізами вихідного коду та дозволів програми додаток вимагає доступу до кількох критичних функцій операційної системи

• Постійне фонове оновлення даних для миттєвого отримання пуш-повідомлень.
• Доступ до служб геолокації (офіційно для відображення регіональних новин урядової адміністрації).
• Збір ідентифікаторів пристрою та аналітичних даних про використання додатка.
• Доступ до мережевих з’єднань та можливість передачі даних у фоновому режимі.

Такий широкий спектр дозволів для програми яка фактично є агрегатором новин та прес-релізів викликає питання у фахівців з корпоративної безпеки. Особливе занепокоєння викликає збір геоданих працівників які займають конфіденційні посади або мають доступ до державної таємниці оскільки витік такої інформації може стати серйозною загрозою для національної безпеки.

Порівняльний аналіз ризиків та функціоналу корпоративного софту Білого дому

Для кращого розуміння ситуації доцільно порівняти параметри стандартного інформаційного софту та нової урядової програми яка розгортається на пристроях держслужбовців США.

Політичний контекст та правові суперечності нового рішення

Критики нової ініціативи Білого дому наголошують на юридичних аспектах примусової інсталяції софту. Відповідно до законодавства США державні ресурси (включаючи урядовий зв’язок та службові смартфони) не можуть використовуватися для проведення політичних кампаній або лобіювання інтересів конкретної політичної сили. Оскільки додаток транслює пряму риторику поточної адміністрації Дональда Трампа виникає ризик порушення закону Хетча (Hatch Act) який чітко обмежує політичну діяльність федеральних службовців під час виконання службових обов’язків та використання урядового майна.

Адвокати та представники Білого дому відкидають ці звинувачення зазначаючи що програма є виключно інструментом внутрішньої комунікації та підвищення прозорості роботи виконавчої влади. За їхніми словами додаток допомагає уникати викривлення інформації в медіа та доносити офіційну позицію керівництва держави безпосередньо до виконавців на місцях. Проте правозахисні організації вже готують запити на основі закону про свободу інформації (FOIA) щоб з’ясувати точний перелік даних які збирає додаток та механізми їхнього подальшого зберігання.

Наслідки для ІТ-інфраструктури державних відомств

Для системних адміністраторів урядових мереж таке рішення створило додаткове навантаження. Інтеграція стороннього софту у закриті системи безпеки вимагає проведення аудитів та коригування існуючих політик конфіденційності. Експерти попереджають що створення єдиного додатка для всіх держслужбовців створює так звану єдину точку відмови (single point of failure). Якщо хакери зможуть компрометувати сервери оновлень цього додатка або виявити вразливість у його коді вони отримають потенційний доступ до сотень тисяч службових пристроїв по всій країні.

Наразі процес розгортання триває і найближчим часом програма з’явиться на смартфонах усіх представників федеральних міністерств. Ситуація залишається під пильним наглядом профільних комітетів Конгресу та незалежних експертів з кібербезпеки які намагаються оцінити довгострокові наслідки цього кроку для цифровій безпеці державних інституцій.