Как построить защищенные коммуникации в своей компании

Максим Рубан

CISO платформы корпоративных коммуникаций и мобильности eXpress

Союз личных мобильных устройств и корпоративных коммуникационных платформ действительно возможен. Применение современных решений делает его не только удобным, но и безопасным.

Риски использования публичных мессенджеров в компании

Публичные мессенджеры несут для бизнеса множество рисков. Основные из них – утечка данных, отсутствие контроля за корпоративной информацией и невозможность защитить работника.

• Вся информация, которая попадает в публичные мессенджеры автоматически утекает. С момента отправки сообщений или файлов, можно сказать, они уже утекли, потому что, как правило, данные хранятся на сервере за рубежом. Использование публичных мессенджеров для компаний – это уже реализованный риск утечки. Когда для бизнеса он станет дорогой расплатой за удобство UX – лишь вопрос времени.
• Публичные мессенджеры находятся за периметром корпоративного контура. Иными словами, компания не может контролировать потоки данных, что именно, с какой целью и куда передается работниками в публичных мессенджерах. Предпринять проактивные действия по защите корпоративных и персональных данных попросту невозможно.
• При использовании публичных мессенджеров работник сам решает, что и кому он передает, зачастую, в нарушение локальных нормативных актов компании. В случае возникновения инцидентов работник вынужден сам отвечать за свои действия. В подобных ситуациях компания не сможет защитить своего работника, который попал в неприятную ситуацию, т.к. это происходит за пределами защищаемого контура.

Для государственных компаний и финансовых организаций использование публичных мессенджеров в принципе запрещено. С марта 2023 года Роскомнадзор запретил передачу в них персональных данных и финансовой информации. То есть для многих компаний уже не стоит вопрос, могут ли они использовать публичные мессенджеры. Теперь им предстоит решить, как организовать корпоративное коммуникационное пространство по-новому с учетом требований безопасности.

Must have для защищенных корпоративных коммуникаций

• Альтернатива. Невозможно запретить использование публичных мессенджеров, не предлагая альтернативы. И она есть – это современные корпоративные коммуникационные платформы.
• Удобство. Такие приложения быстро становятся для пользователя привычным инструментом работы, к тому же выполняют все функции по поддержанию безопасности и не требуют дополнительных действий для защиты данных.
• Гибкий инструмент. Для компании они не только создают защищенную корпоративную среду, но и помогают модернизироваться, расширяться и унифицировать процесс, при этом не требуя больших финансовых вливаний.
• Безопасность. Применение криптоконтейнеров на ближайшие годы останется единственным решением, которое позволит компаниям установить должный уровень безопасности согласно требованиям регуляторов и в то же время сохранить удобство использования.
• Локализация. Бизнес сегодня может избежать рисков, размещая на своих мощностях решения с функционалом публичных мессенджеров. Многие, в том числе крупные, компании уже убедились в этом на своем опыте.

Корпоративный мессенджер как безопасная альтернатива публичному

Корпоративный мессенджер должен обеспечить коммуникационное доверенное пространство, которое привычно и удобно для пользователя и безопасно с точки зрения бизнеса. Такие мессенджеры работают непосредственно в архитектуре заказчика или на его арендованных мощностях. Все сообщения и файлы хранятся в зашифрованном виде на внутренних серверах. Компании видно, кто имеет доступ к информации и как ей распоряжается. А сотрудники получают привычный инструмент, которым могут сразу пользоваться, не теряя времени на адаптацию.

Важно, что в отличие от публичных, корпоративные мессенджеры априори имеют высокую ИБ-защиту, в идеале подтвержденную сертификатом ФСТЭК России. Раньше такие продукты выбирали только те компании, которых к этому обязывали регуляторные нормы. Сейчас уже чаще, в связи с уходом зарубежных вендоров, клиенты задают российским разработчикам вопрос о наличии сертификата ФСТЭК  и уделяют особое внимание тому, как отечественные ИТ-компании выстраивают жизненный цикл безопасной разработки.

И здесь импортозамещающие мессенджеры действительно хорошо себя показывают. Среди них даже есть решение, соответствующее самому высокому, 4 уровню доверия ФСТЭК России к средствам технической защиты конфиденциальной информации, позволяющее внедрять ГИС 1-го класса защищенности. Это подтверждает, что инструмент онлайн-коммуникации не содержит уязвимостей и в полном объеме прошел испытания, включающие  экспертизу кода, а также статический, динамический и композитный анализ.

Инструменты защиты, о которых надо знать

Процессы самого вендора, который предлагает безопасное корпоративное решение, конечно, тоже должны соответствовать нормам, установленным в России, в частности, ГОСТ Р 56939 по безопасной разработке программного обеспечения. Если вендор подтверждает свою благонадежность и зрелость, то он, очевидно, может реализовать для клиента дополнительные сложные, но значимые для безопасности функции.

Ролевая модель. На сегодняшний день это уже базовый функционал корпоративных решений, один из самых актуальных для служб безопасности. Он позволяет тонко и гибко настроить модель прав и доступов как для пользователей, так и для административного персонала. Можно ограничивать видимость и загрузку определенных файлов или отправку сообщений в определенные чаты с привязкой к определенному устройству.

Безопасные пуши. Безусловно, это одна из важных составляющих любого корпоративного мобильного приложения. Вся информация в современном корпоративном мессенджере в той или иной степени является защищаемой. Сервер не должен отправлять защищаемую информацию в открытом виде. Большинство пуш-серверов, как мы знаем, находятся за рубежом. Что же делать? Реализовать отправку не самой информации, а метаинформации или метаданных. Клиентское устройство получает сообщение с пуш-сервера, далее устройство запрашивает и загружает информацию с корпоративного сервера в шифрованном виде в криптоконтейнер, расшифровывает и отображает пользователю на его устройстве в виде уведомления.

Настройка контурности. Если по каким-то причинам невозможно использовать ГОСТ-шифрование, можно ограничить потоки информации на уровне контурности системы. В зависимости от того, где находится пользователь или его клиентское устройство, ему предоставляется разный уровень доступа к информации. Например, если пользователь подключается к корпоративному Wi-Fi, у него будет свободный доступ в информационную систему. Как только он покинет пределы организации и подключится к публичному мобильному интернету, корпоративная информация или ее часть станет недоступна. Возможность гибко настраивать просмотр информации в зависимости от нахождения пользователя – очень востребованная сейчас функция.

Режим повышенной конфиденциальности. Современные технологии позволяют защищать чувствительную информацию в отдельных чатах. При включенном в мессенджере конфиденциальном режиме пользователь не сможет сделать скриншот на своем устройстве, его сообщения или сообщения, прочитанные им, могут автоматически удаляться по гибко настраиваемому алгоритму.

Как обезопасить бизнес от утечек по вине сотрудников

Применяя современные ИБ-методики, можно закрыть большинство уязвимостей. Что касается защиты корпоративной информации от неблагонадежности сотрудников, то имеет смысл создать условия, при которых усомниться в их порядочности просто не возникнет повода. Например, если руководителя компании мучает вопрос, заберет или не заберет его подчиненный ценные данные, не обязательно испытывать его на порядочность, устраивая проверки. Достаточно внедрить корпоративную систему, позволяющую не допускать рисков, при которых он может забрать критически важные для бизнеса данные.

Корпоративные платформы позволяют это сделать – о части предназначенных для этого механизмов мы уже говорили. Криптоконтейнеры и end-to-end шифрование можно настроить так, что даже административный персонал не сможет увидеть хранимую информацию.

Кроме того, полезно проводить киберучения – инсценировку негативных ситуаций и отработку реакции персонала на инциденты. Нужно трезво оценивать поведение персонала совместно с выполнением требований по ИБ или внедрением современных систем защиты информации. После провести разбор ситуации – но не с целью наказать, а чтобы помочь разобраться и улучшить процессы.

ⓘ

2SDnjdvWCYV