Польское правительство рекомендовало государственным служащим и «организациям, входящим в структуру национальной кибербезопасности», прекратить использование мессенджера Signal в пользу более безопасного решения, созданного ведущим польским научно-исследовательским институтом, сообщает The Register.
По мнению властей Польши, применение Signal связано с определенными угрозами безопасности, включая вероятность стать мишенью злоумышленников из APT-группировок, которые активно используют методы социальной инженерии.
Signal представляет собой приложение для обмена сообщениями, ориентированное на защиту конфиденциальности. Этот мессенджер является бесплатным, удобным в использовании и предлагает сквозное шифрование, однако, как выясняется, у него есть и свои уязвимости.
Для замены Signal в государственном секторе предназначен новый мессенджер под названием mSzyfr, о запуске которого польские власти объявили в марте 2026 года.
Польша является одной из крупнейших европейских стран по численности населения. По оценкам ООН, на 2026 год в ней проживало около 38 миллионов человек. По этому показателю Польша занимает пятое место среди стран Европейского союза, уступая лишь Германии, Франции, Италии и Испании.
В заявлении, опубликованном на официальном сайте польского правительства и касающемся использования Signal, отмечается, что группы реагирования на компьютерные инциденты выявили фишинговые кампании, проводимые APT-группировками, связанными с «агентствами враждебных государств». Целью таких атак, как утверждается, становятся государственные служащие и публичные лица. При этом не уточняется, какие именно лица пострадали от атак и о каких конкретных APT-группировках идет речь.
В сообщении также говорится, что упомянутые фишинговые атаки на чиновников в ряде случаев осуществляются через Signal. В частности, злоумышленники могут выдавать себя за сотрудников службы поддержки мессенджера, устанавливать доверительные отношения с пользователем, а затем перехватывать контроль над его учетной записью.
Жертву убеждают перейти по вредоносной ссылке с помощью сообщений, составленных таким образом, чтобы у нее создалось впечатление о необходимости срочно решить обсуждаемую проблему. Например, в полученном сообщении может говориться о предстоящей блокировке учетной записи и необходимости выполнить определенные действия, чтобы этого избежать.
Успешные атаки такого типа позволяют злоумышленникам получить доступ к номеру телефона жертвы и ее переписке.
В марте 2026 года польское правительство анонсировало запуск мессенджера mSzyfr, предназначенного для применения в государственных органах и организациях, входящих в национальную систему кибербезопасности. По решению властей в число пользователей mSzyfr могут быть включены и иные лица.
Новый государственный мессенджер Польши был создан Министерством цифровизации страны совместно с исследовательской организацией NASK (Научная и академическая компьютерная сеть). NASK, в частности, отвечает за управление национальной доменной зоной .pl, а в ее состав входит CERT Polska — национальная группа реагирования на компьютерные инциденты.
Польские власти представляют mSzyfr как «первый защищенный мессенджер, полностью находящийся под юрисдикцией Польши». Однако, как отмечает The Register, многофакторная аутентификация (MFA) в нем реализована с использованием технологий американских ИТ-гигантов. По умолчанию предлагается использовать приложение-аутентификатор от Microsoft, но при желании можно переключиться на аналог от Google или открытое решение FreeOTP, разрабатываемое компанией Red Hat (IBM).
Новому пользователю мессенджер также предложит сгенерировать специальный ключ для восстановления доступа к содержимому его переписки. Этот ключ потребуется в случае выхода пользователя из своей учетной записи. Руководство по установке mSzyfr рекомендует хранить ключ в стороннем менеджере паролей, обращает внимание The Register. Многие популярные программы такого рода созданы за рубежом или имеют открытый исходный код. Это обстоятельство, вероятно, противоречит заявлениям разработчиков mSzyfr о его полной «суверенности».
В документации к мессенджеру подчеркивается, что защита конфиденциальности заложена в саму основу проекта, чего, по мнению разработчиков, нельзя сказать о WhatsApp** и Signal. Последние, к тому же, не соответствуют требованиям Общего регламента по защите данных (GDPR), который определяет правила трансграничного обмена данными и работы с персональной информацией.
mSzyfr недоступен для широкой публики. Подключиться к сервису могут только сотрудники организаций, одобренных польскими властями, и исключительно по специальному приглашению.
mSzyfr в Польше призван заменить защищенный мессенджер швейцарской компании Threema, использование которого рекомендовалось чиновникам с 2022 года. Однако переход на новую технологию создаст для поляков определенные неудобства, так как автоматический перенос переписки из Threema в mSzyfr невозможен из-за архитектурных особенностей последнего.
*принадлежит корпорации Meta*, признанной властями РФ экстремистской; ее деятельность запрещена
