Как построить защищенные ...

Как построить защищенные коммуникации в своей компании

erid: 2SDnjda6CvZ
Как построить защищенные коммуникации в своей компании
Как построить защищенные коммуникации в своей компании
23.05.2024

Рубан.jpg
Максим Рубан

CISO платформы корпоративных коммуникаций и мобильности eXpress


Союз личных мобильных устройств и корпоративных коммуникационных платформ действительно возможен. Применение современных решений делает его не только удобным, но и безопасным.

Риски использования публичных мессенджеров в компании

Публичные мессенджеры несут для бизнеса множество рисков. Основные из них – утечка данных, отсутствие контроля за корпоративной информацией и невозможность защитить работника.

  • Вся информация, которая попадает в публичные мессенджеры автоматически утекает. С момента отправки сообщений или файлов, можно сказать, они уже утекли, потому что, как правило, данные хранятся на сервере за рубежом. Использование публичных мессенджеров для компаний – это уже реализованный риск утечки. Когда для бизнеса он станет дорогой расплатой за удобство UX – лишь вопрос времени.
  • Публичные мессенджеры находятся за периметром корпоративного контура. Иными словами, компания не может контролировать потоки данных, что именно, с какой целью и куда передается работниками в публичных мессенджерах. Предпринять проактивные действия по защите корпоративных и персональных данных попросту невозможно.
  • При использовании публичных мессенджеров работник сам решает, что и кому он передает, зачастую, в нарушение локальных нормативных актов компании. В случае возникновения инцидентов работник вынужден сам отвечать за свои действия. В подобных ситуациях компания не сможет защитить своего работника, который попал в неприятную ситуацию, т.к. это происходит за пределами защищаемого контура.

Для государственных компаний и финансовых организаций использование публичных мессенджеров в принципе запрещено. С марта 2023 года Роскомнадзор запретил передачу в них персональных данных и финансовой информации. То есть для многих компаний уже не стоит вопрос, могут ли они использовать публичные мессенджеры. Теперь им предстоит решить, как организовать корпоративное коммуникационное пространство по-новому с учетом требований безопасности.

Must have для защищенных корпоративных коммуникаций

  • Альтернатива. Невозможно запретить использование публичных мессенджеров, не предлагая альтернативы. И она есть – это современные корпоративные коммуникационные платформы.
  • Удобство. Такие приложения быстро становятся для пользователя привычным инструментом работы, к тому же выполняют все функции по поддержанию безопасности и не требуют дополнительных действий для защиты данных.
  • Гибкий инструмент. Для компании они не только создают защищенную корпоративную среду, но и помогают модернизироваться, расширяться и унифицировать процесс, при этом не требуя больших финансовых вливаний.
  • Безопасность. Применение криптоконтейнеров на ближайшие годы останется единственным решением, которое позволит компаниям установить должный уровень безопасности согласно требованиям регуляторов и в то же время сохранить удобство использования.
  • Локализация. Бизнес сегодня может избежать рисков, размещая на своих мощностях решения с функционалом публичных мессенджеров. Многие, в том числе крупные, компании уже убедились в этом на своем опыте.

Корпоративный мессенджер как безопасная альтернатива публичному

Корпоративный мессенджер должен обеспечить коммуникационное доверенное пространство, которое привычно и удобно для пользователя и безопасно с точки зрения бизнеса. Такие мессенджеры работают непосредственно в архитектуре заказчика или на его арендованных мощностях. Все сообщения и файлы хранятся в зашифрованном виде на внутренних серверах. Компании видно, кто имеет доступ к информации и как ей распоряжается. А сотрудники получают привычный инструмент, которым могут сразу пользоваться, не теряя времени на адаптацию.

Важно, что в отличие от публичных, корпоративные мессенджеры априори имеют высокую ИБ-защиту, в идеале подтвержденную сертификатом ФСТЭК России. Раньше такие продукты выбирали только те компании, которых к этому обязывали регуляторные нормы. Сейчас уже чаще, в связи с уходом зарубежных вендоров, клиенты задают российским разработчикам вопрос о наличии сертификата ФСТЭК  и уделяют особое внимание тому, как отечественные ИТ-компании выстраивают жизненный цикл безопасной разработки.

И здесь импортозамещающие мессенджеры действительно хорошо себя показывают. Среди них даже есть решение, соответствующее самому высокому, 4 уровню доверия ФСТЭК России к средствам технической защиты конфиденциальной информации, позволяющее внедрять ГИС 1-го класса защищенности. Это подтверждает, что инструмент онлайн-коммуникации не содержит уязвимостей и в полном объеме прошел испытания, включающие  экспертизу кода, а также статический, динамический и композитный анализ.

Инструменты защиты, о которых надо знать

Процессы самого вендора, который предлагает безопасное корпоративное решение, конечно, тоже должны соответствовать нормам, установленным в России, в частности, ГОСТ Р 56939 по безопасной разработке программного обеспечения. Если вендор подтверждает свою благонадежность и зрелость, то он, очевидно, может реализовать для клиента дополнительные сложные, но значимые для безопасности функции.

Ролевая модель. На сегодняшний день это уже базовый функционал корпоративных решений, один из самых актуальных для служб безопасности. Он позволяет тонко и гибко настроить модель прав и доступов как для пользователей, так и для административного персонала. Можно ограничивать видимость и загрузку определенных файлов или отправку сообщений в определенные чаты с привязкой к определенному устройству.

Безопасные пуши. Безусловно, это одна из важных составляющих любого корпоративного мобильного приложения. Вся информация в современном корпоративном мессенджере в той или иной степени является защищаемой. Сервер не должен отправлять защищаемую информацию в открытом виде. Большинство пуш-серверов, как мы знаем, находятся за рубежом. Что же делать? Реализовать отправку не самой информации, а метаинформации или метаданных. Клиентское устройство получает сообщение с пуш-сервера, далее устройство запрашивает и загружает информацию с корпоративного сервера в шифрованном виде в криптоконтейнер, расшифровывает и отображает пользователю на его устройстве в виде уведомления.

Настройка контурности. Если по каким-то причинам невозможно использовать ГОСТ-шифрование, можно ограничить потоки информации на уровне контурности системы. В зависимости от того, где находится пользователь или его клиентское устройство, ему предоставляется разный уровень доступа к информации. Например, если пользователь подключается к корпоративному Wi-Fi, у него будет свободный доступ в информационную систему. Как только он покинет пределы организации и подключится к публичному мобильному интернету, корпоративная информация или ее часть станет недоступна. Возможность гибко настраивать просмотр информации в зависимости от нахождения пользователя – очень востребованная сейчас функция.

Режим повышенной конфиденциальности. Современные технологии позволяют защищать чувствительную информацию в отдельных чатах. При включенном в мессенджере конфиденциальном режиме пользователь не сможет сделать скриншот на своем устройстве, его сообщения или сообщения, прочитанные им, могут автоматически удаляться по гибко настраиваемому алгоритму.

Как обезопасить бизнес от утечек по вине сотрудников

Применяя современные ИБ-методики, можно закрыть большинство уязвимостей. Что касается защиты корпоративной информации от неблагонадежности сотрудников, то имеет смысл создать условия, при которых усомниться в их порядочности просто не возникнет повода. Например, если руководителя компании мучает вопрос, заберет или не заберет его подчиненный ценные данные, не обязательно испытывать его на порядочность, устраивая проверки. Достаточно внедрить корпоративную систему, позволяющую не допускать рисков, при которых он может забрать критически важные для бизнеса данные.

Корпоративные платформы позволяют это сделать – о части предназначенных для этого механизмов мы уже говорили. Криптоконтейнеры и end-to-end шифрование можно настроить так, что даже административный персонал не сможет увидеть хранимую информацию.

Кроме того, полезно проводить киберучения – инсценировку негативных ситуаций и отработку реакции персонала на инциденты. Нужно трезво оценивать поведение персонала совместно с выполнением требований по ИБ или внедрением современных систем защиты информации. После провести разбор ситуации – но не с целью наказать, а чтобы помочь разобраться и улучшить процессы.

Другие материалы
Когда и зачем проводить киберучения
28.10.2022
Когда и зачем проводить киберучения
Призрак прошлого: как легаси-код угрожает кибербезопасности
02.07.2024
Призрак прошлого: как легаси-код угрожает кибербезопасности
Кибербезопасность автономных транспортных средств: угрозы, уязвимости и стратегии защиты
20.03.2025
Кибербезопасность автономных транспортных средств: угрозы, уязвимости и стратегии защиты
СКЗИ (средства криптографической защиты информации): что это, какие классы, чем отличаются и что проверяет ФСБ
15.11.2024
СКЗИ (средства криптографической защиты информации): что это, какие классы, чем отличаются и что проверяет ФСБ
DNS-серверы: для кого актуальны российские продукты
13.07.2022
DNS-серверы: для кого актуальны российские продукты
Виртуализация и ИБ: правила игры в новых средах
10.10.2023
Виртуализация и ИБ: правила игры в новых средах

Популярные публикации
06.12.2024
Ситуационные центры России: готова ли государственная информационная инфраструктура к актуальным внешним условиям?
01.12.2024
Обзор платформ для практического обучения: направления Offensive и Defensive
25.11.2024
Аналитическое сравнение российских продуктов по управлению уязвимостями
17.12.2024
Утечка данных: как случается и что с ними делать
16.08.2024
Менеджеры паролей - 7 лучших решений для бизнеса
15.11.2024
Аналитическое сравнение российских систем SGRC (Security Governance, Risk and Compliance)
19.10.2024
ГосСОПКА: какие перспективы у цифрового щита России?
12.12.2024
Этичный хакинг: что это такое и где применяется? Кто такие белые хакеры?
20.01.2025
Как работают TLS-сертификаты Минцифры
10.11.2024
Импортозамещение в ИБ: как указ президента №250 меняет крупнейшие российские компании
17.01.2025
SOC (Security Operation Center): для чего компании нужен центр мониторинга кибербезопасности
21.12.2024
Как стать хакером с нуля? Что нужно знать и уметь, где учиться?
12.12.2024
Кардинг: технологичное мошенничество или проверка на внимательность?
30.12.2024
SIEM-системы в России - что это, какие популярные решения применяются
29.10.2024
Автоматизированный SOC, NGFW и багбаунти: итоги года и прогнозы на 2024
19.01.2025
XDR, DLP, IDS: какое ИБ-решение выбрать
22.12.2024
Пентест или тестирование на проникновение: слабости в обороне компаний, актуальные в 2023 году
06.10.2024
Обзор средств доверенной загрузки
09.10.2024
Критическая информационная инфраструктура (КИИ): инструкция по выявлению и категорированию объектов
27.11.2024
Anonymous vs Killnet: история группировок
04.11.2024
Банк угроз ФСТЭК: использовать нельзя игнорировать
15.11.2024
СКЗИ (средства криптографической защиты информации): что это, какие классы, чем отличаются и что проверяет ФСБ
Показать всё
Комментарии 0