Недавно произошла очередная утечка персональных данных из WhatsApp, только в этот раз более 500 млн учетных записей оказались в открытых источниках и базе даркнета, 10 млн из которых принадлежат пользователям из России. Каковы последствия такой масштабной утечки, экспертам еще предстоит оценить.
Не секрет, что многие представители делового мира используют в работе популярные мессенджеры для решения срочных вопросов, обмениваются файлами, делятся скринами, документами и передают «чувствительные корпоративные данные» вовне. Это также подтверждает опрос Superjob — 74% россиян используют WhatsApp в служебных целях. Стихийный и массовый перевод рабочей связи в мессенджеры и социальные сети случился еще в 2020, тогда пандемия вскрыла слабые места сегмента корпоративных коммуникаций. О том, как обстоят дела с отечественными мессенджерами сегодня, как подобрать подходящее решение и почему компании не торопятся менять привычную «зеленую иконку», обсудили Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ Axoft и Роман Мискевич, технический директор Anwork, который также поделился одним из кейсов внедрения приложения.
Обзор ситуации на рынке
С точки зрения зрелости решений, сегмент корпоративных коммуникаций находится в стадии формирования. При этом спрос на отечественные продукты стремительно растет. По прогнозам аналитиков tada.team, объем рынка софта для бизнес-коммуникаций составит до 100 млрд руб. в ближайшие три года.
«Безусловно, такой рост обусловлен освобождением ниши иностранными корпорациями. На рынке есть отечественные приложения, которые не только могут быть “гибко” встроены в процессы бизнеса, но и предоставить серьезный уровень защиты. К примеру, в нашем портфеле присутствуют решения, обеспечивающие шифрование каналов, не хранят информацию на промежуточных серверах и сертифицированы ФСТЭК», — добавляет Игорь Тюкачев.
Эксперты также отмечают тенденцию на сегментацию рынка корпоративных мессенджеров. В зависимости от сферы деятельности и задач организации могут использоваться разные средства коммуникации. Поэтому если перед бизнесом встал вопрос о подборе аналога иностранного решения, то для начала стоит определиться, в каких целях будет использоваться приложение и какой функционал необходим. Например, это может быть простое обеспечение связи с сотрудниками вне корпоративного периметра, быстро и дешево.
«В определенный момент WhatsApp стал активно использоваться, в том числе и для работы. Стоимость такого общения практически сведена к нулю, а вопрос защиты данных пользователей от злоумышленников и ответственности за их утечку не является приоритетным. При этом мы видим, что количество взломов растет в геометрической прогрессии, и некоторые компании, у которых есть ресурсы и возможности, пытаются разработать собственные решения для защиты своего, скажем так, внешнего периметра», — поясняет Роман Мискевич, технический директор Anwork,
Если все же сохранность, конфиденциальность информации, являются приоритетом, то нужно определить, какие данные следует защитить в первую очередь. Ведь это могут быть не только рабочие звонки, переписка, фото или документы, но и геопозиция, платежная информация, контакты в записной книжке, клиентские базы и другие данные, включая метаданные.
Игорь Тюкачев отмечает: «Имеет смысл использовать решения, которые не хранят переписку у себя и не позволяют деанонимизировать пользователей, например, по номеру телефона. Если мы говорим про решения для B2B, то они могут работать на серверах вендора или на инфраструктуре заказчика. И если для SMB допустимо хранить данные на стороне производителя, так как уровень ИБ-зрелости примерно одинаковый, то крупному бизнесу стоит все держать на своей стороне».
Проблемы киберкультуры или ответственности?
При рассмотрении вопроса о важности защиты данных и использования надежных платформ, стоит учитывать социальные паттерны, которые сформировали определенное отношение к мессенджерам в бизнес-среде. Одним из таких паттернов незрелости рынка является тот факт, что компании пока не готовы приоритизировать безопасность онлайн-коммуникаций. К такому выводу пришли аналитики Anwork в ходе опроса, в котором приняли участие более 100 руководителей высшего и среднего звена, работающих с высокочувствительной информацией.
70% респондентов считают, что безопасность не так важна, поскольку им нечего скрывать. Также интересно было узнать, как сами опрашиваемые воспринимают поведение других людей при защищенном обмене данными. Например, использование шифрования для рабочих секретов 80% воспринимают как «оправданное», а для общих или личных — как «параноидальное». Но, при этом никто из участников опроса не хотел бы, чтобы его коммуникации были доступны разработчикам мессенджера, а коммерческие данные, которыми он обменивается, оказались в открытом доступе.
Привычка пользоваться распространёнными приложениями стерла грань между личными коммуникациями и рабочими. Поэтому разработчикам необходимо не только обеспечивать защиту на начальном этапе взаимодействия с заказчиками, но и проводить разъяснительную работу. Ведь если пользователю непонятно, как система работает, то это автоматически снижает доверие к инструменту.
Все ли так страшно на практике?
Несмотря на неоднозначное отношение к использованию защищенных мессенджеров, компании с критической инфраструктурой осознают серьезность рисков утечки данных и полной их потери. Поэтому готовы идти на сложные трансформации и потратить 7-14 дней на внедрение нового решения. Именно столько времени потребовалось разработчикам приложения Anwork, чтобы внедрить конфиденциальную систему онлайн-коммуникации среди руководителей одной из крупнейших энергетических компаний страны.
Для заказчика важно было обеспечить тотальную безопасность корпоративного общения для передачи “чувствительной информации”. Также необходима была защита от спама и таргетированной рекламы, которая собирает данные о пользователях, включая их переписку. Подобная информация — легкая добыча для хакеров, ее могут украсть, перепродать конкурентам или использовать для шантажа. Дополнительным требованием было наличие удобного и понятного интерфейса, а также простого планировщика с возможностью назначать встречи, ответственных за переговоры, контролировать процессы таким образом, чтобы не отвлекаться на микроменеджмент, но быть в курсе всех сроков и результатов.
Разработчики ПО применили сквозное (End-to-End) шифрование для всех функций по умолчанию. Обмен данными происходит в закрытых группах, для этого инициатор коммуникации создает эту группу и отправляет участнику специальный код приглашения. Получатель вводит этот код в своем приложении и, попав в соответствующую группу, может начинать обмен данными. Вся коммуникация шифруется и отправляется на сервер, он пересылает информацию, не читая и не сохраняя ее. Данные хранятся на устройствах пользователей ограниченное время в зашифрованном виде – от 1 до 14 дней. Дополнительной защитой коммуникаций является механизм двустороннего SSL-pinning.
Процесс внедрения решения максимально прост и удобен и с точки зрения технической реализации, дополнительное оборудование не требуется, так же как и выделенные специалисты на техподдержку внутри компании. Нужно просто установить приложение и ввести лицензионный ключ.
«Единственной сложностью при реализации проекта, на наш взгляд, стали сроки. Была задача – внедрить продукт и проверить его готовность для эксплуатации в течение 7 дней. Но поскольку застать на местах десятки занятых топ-менеджеров было не просто, приходилось договариваться об онлайн-встречах, чтобы каждому сотруднику показать принцип работы с решением. С линейными руководителями вопрос был решен за 3 рабочих дня. В целом, софт был установлен за 2 недели», — дополняет Роман Мискевич.
Вместо заключения
Сложности перехода на новые решения зачастую связаны с психологическим барьером, особенно это характерно для прикладного ПО. Привычный интерфейс, понятный функционал, доступность приложения, быстрота в использовании — переучиваться работать с другим софтом не все сразу готовы. К сожалению, во многих случаях «негативным» драйвером становится кража данных или их утечка, когда предпринимать какие-то действия уже поздно.
Чтобы не доводить ситуацию до «точки невозврата», компаниям необходимо выходить из зоны комфорта, менять привычные схемы коммуникаций. И здесь стоит начать с внутрикорпоративной культуры, проводить системную работу с сотрудниками. Это позволит направить процесс внешних коммуникаций в нужное русло и выстроить работу по новым стандартам.
Таким образом, системный и комплексный подход к выстраиванию информационной безопасности организации, изменение подхода к корпоративному общению и формирование осознанной киберкультуры — необходимые элементы сегодня для обеспечения надежной защиты бизнес-активов.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
