Zoom вместо закона: как городская власть подменила документооборот видеосвязью
-
22:06, 02 вересня, 2025
Пост справедливости
Госпожа Светлана Федорова справедливо обратила внимание на ситуацию вокруг сессий горсовета.
Меня упомянутые чиновники когда-то в соцсетях заблокировали — возможно, просто устали. Всё-таки с 2015 года мы с коллегами предлагали волонтёрские IT-решения и онлайн-сервисы, которые позже кстати стали основой для «Дії». Но если речь идёт о цифровизации городского управления, важно быть профессионалом до конца, а не считать, что граждане не разбираются в технологиях.
Теперь к сути.
1. Zoom — лишь инструмент связи, а не система документооборота.
Да, Zoom обеспечивает базовый уровень QoS (Quality of Service), шифрование трафика AES-256 и возможность работы через защищённое облако с сертификацией SOC 2. Это делает его удобным инструментом для видеоконференций.
Но юридически значимые решения фиксируются только в системах электронного документооборота (ЕДО), где реализованы PKI-инфраструктура (Public Key Infrastructure), поддержка КЭП/е-подписей, хранение данных в соответствии с SLA и возможность криптографического аудита.
Департамент в своё время закупил именно такую систему за бюджетные деньги, хотя было предложение внедрить решение бесплатно.
Раз выбрали — значит, надо использовать её, а не подменять ЕДО видеосервисом.
2. Идентификация в Zoom отсутствует.
В банкинге и финтехе удалённая идентификация клиентов реализуется через процедуры eKYC (Electronic Know Your Customer) и AML-контроль. Применяются:
– биометрическая верификация (Face ID, Liveness Detection),
– сравнение с реестрами,
– многофакторная аутентификация (MFA),
– обязательное логирование и хранение в зашифрованных базах с контролем доступа RBAC/ABAC.
В Zoom же максимум — Single Sign-On через корпоративный домен.
Но для депутатов горсовета не внедрены ни обязательные профили с цифровой идентификацией, ни механизмы многоуровневой проверки личности.
Вход с произвольным именем и отключённой камерой означает фактическое отсутствие верификации
3. Проблема не в Zoom, а в организации процесса.
Технически Zoom предоставляет API для выгрузки логов, но они не имеют юридической силы без подписи КЭП.
Случаи, когда система фиксировала «голос за», которого не было, указывают на сбои либо в процедуре идентификации, либо в протоколировании.
Ключевые вопросы остаются открытыми:
– кто отвечает за Identity Management и авторизацию участников;
– как реализован аудит логов и контроль версий протоколов;
– почему с июня отключены камеры, хотя это элементарный механизм двухфакторной верификации (визуальная + системная);
– где и в каком объёме хранится журнал событий, есть ли резервное копирование (backup) и disaster recovery план.
Без внешнего аудита с использованием независимых специалистов по информационной безопасности все разговоры о «прозрачности» остаются лишь словами.
А пока такие инциденты не будут расследованы и устранены, честнее и надёжнее принимать решения оффлайн — в присутствии друг друга, с подписями в ЕДО и защитой на уровне PKI, а не ограничиваться обещаниями «защищённого облака».
- Апчхи
- Будьте здоровы
