Корпоративные мессенджеры против злоумышленников. Простые способы защитить информацию в чатах

Чем выше ценность корпоративных данных, тем критичнее для бизнеса их потеря или компрометация. Риски многократно возрастают, если чувствительные данные попадают в публичные мессенджеры. Чаты в них не защищены и открывают легкий доступ к конфиденциальной информации злоумышленникам. Хорошая тенденция – бизнес все активнее переходит на корпоративные коммуникационные платформы. Современные энтерпрайз-супераппы умеют эффективно противодействовать угрозам.

Риски использования незащищенных чатов

Общение в мессенджерах давно стало привычной частью корпоративных коммуникаций. Но не следует забывать, что за удобство, с которым происходит обмен данными в чатах, компания может заплатить высокую цену, если эти данные утекут. Если компания экономит на корпоративном решении и пользуется публичным мессенджером, даже при обмене документами между внутренними пользователями не всё бывает гладко. Скажем, документ по ошибке отправлен другому получателю, и вот уже сотрудник или ИТ-специалист читает финансовые отчеты, адресованные руководству компании. Однажды реализация негативных сценариев приведет к серьезному ущербу.

Еще большего контроля требуют внешние коммуникации. Если в чат допускаются внешние пользователи, он не застрахован ни от фишинговых рассылок, ни от подмены айдентики. Злоумышленник, притворяясь руководителем или даже гендиректором компании, может получить  конфиденциальную информацию прежде, чем обман будет раскрыт. Сейчас такие схемы часто практикуются в одном из публичных мессенджеров, и их число, а значит и риски для бизнеса, будут только расти.

Поэтому всё больше компаний переходят на корпоративные платформы. В этом случае пользователь может доверять входящим запросам от новых пользователей, т.к. при регистрации все пользователи проходят идентификацию. Настройки корпоративного контура могут гибко меняться под определенные бизнес требования, в их числе ограничение на общение с внешними пользователями.

Корпоративными мессенджерами необходимо пользоваться компаниям из тех отраслей, в которых публичные мессенджеры запрещены законодательно – например, банки. Все разработчики ПО знают, что банки – самые требовательные заказчики по части информационной безопасности. ГОСТ Р 57580 «Защита информации финансовых организаций» предъявляет множество требований для работы с банковскими данными. Разработчикам приходится потрудиться, чтоб доработать свои платформы согласно требованиям этого ГОСТа.

Как можно настроить мессенджеры,  чтобы они защищали информацию в чатах

Ролевая модель. Для корпоративных решений разграничение прав пользователей – базовая функциональность, которую службы безопасности реализуют в отношении как пользователей, так и административного персонала. Использование корпоративного каталога подразумевает, что каждый новый пользователь автоматически получает доступ согласно групповым политикам компании. В том числе это касается присутствия пользователей в тех или иных корпоративных чатах.

Указание на появление внешнего пользователя. Если в корпоративный чат постучится пользователь, который не является сотрудником компании, он не сможет первым начать диалог в чате. Внутренний пользователь видит, что запрос на общение исходит от внешнего человека и сам принимает решение, начинать с ним в беседу или нет. Присутствие в чате внешних пользователей – знак для работников компании, что отправлять в этот чат корпоративные данные запрещено. Предупреждение о появлении нового внешнего пользователя также работает как антискам и антифрод.

Гибкая настройка ограничений. В корпоративном мессенджере можно реализовать систему ограничений, согласно которым будет регламентироваться отправка документов. Настройкой этих условий занимаются администраторы. Компания может запретить пользователям корпоративного чата отправлять как все документы, так и определенный тип документов, документы определенного размера и так далее. Например, в корпоративном мессенджере можно запретить отправку или пересылку видео в чат, где есть внешние пользователи. Работает это так: желающие загрузить видео просто не смогут выбрать из списка чат, в котором есть кто-то еще, кроме сотрудников компании.

Ограничения на доступ к вложениям. Доступ к вложениям также настраивается администраторами и может зависеть от разных параметров, варианты и сочетание которых компания выбирает исходя из своих норм безопасности. Распространенный вариант – идентификация по типам устройств. Например, сотрудник сможет получить вложения на корпоративный смартфон, но не сможет на личный. Место, откуда открыта сессия, тоже имеет значение. Скажем, сотрудник без проблем получит вложение на ноутбук, пользуясь корпоративным Wi-Fi, но ему будет отказано в этой возможности, если он захочет получить корпоративный файл на это же устройство, но за пределами корпоративной сети.

Ограничения на работу с вложениями. Если в корпоративном мессенджере реализован запрет на сохранение вложений, присланных от внешних пользователей, то, например, изображение, которое пришло снаружи, пользователи чата смогут посмотреть, но не смогут ни сохранить, ни обработать. При этом с точно таким же изображением, присланным в чат внутренним пользователем, действия будут разрешены. Эта функция не только защищает чаты от утечек, но и хорошо дополняет корпоративную систему безопасности. Администраторы создают правила, что можно делать, а что нельзя, соотносят их с должностями и отделами. А также отмечают исключения – например, разрешают руководителям любые действия с любыми вложениями.

Режим повышенной конфиденциальности. Для отдельных чатов, где может появиться особенно чувствительная информация, администратор может включить режим повышенной конфиденциальности. В таком режиме невозможно сделать скриншот экрана, а все сообщения, которые пользователи прочитали, могут автоматически удалятся по заданному компанией алгоритму, например, по таймеру или по факту прочтения.

Многофакторная аутентификация. Применение многофакторной аутентификации обеспечивает пользователю безопасный доступ к корпоративным коммуникационным ресурсам. Она может включать одноразовый пароль (OTP), который пользователь получает на e-mail или в sms, аутентификацию по паре логин-пароль из каталога пользователей, индивидуальный ПИН-код, установленный сотрудником в приложении. Парольные политики для разных категорий пользователей могут отличаться. Пароли, которые уже использовались или были скомпрометированы, выбрать повторно нельзя.

Дистанционное удаление информации. Если бизнес использует публичный мессенджер, изъять у уволенного специалиста корпоративную информацию без его согласия невозможно. Корпоративный суперапп позволяет со стороны сервера удалить сессию пользователя, в которой работал сотрудник на мобильном устройстве, и автоматически на устройстве удалится защищаемая информация. Одновременно он автоматически удаляется из корпоративных чатов и больше не может получить доступ к корпоративным данным.

Соблюдение правил поведения в корпоративных чатах – обязанность сотрудника

Корпоративную коммуникационную среду, как правило, интегрируют в общую систему защиты корпоративной информации. У современных платформ есть API и коннекторы, которые незаметно для пользователей соединяют суперапп с решениями для мониторинга безопасности, управления учетными записями, продуктами классов SIEM, DLP, Anti-Virus и так далее.

И все же, как бы хорошо ни была выстроена корпоративная система информационной безопасности, ответственное поведение сотрудников в информационном пространстве бизнеса остается ключевым аспектом. Каждый сотрудник должен понимать, что переход из публичного мессенджера в корпоративный – это не просто замена привычных средств коммуникации на новые, а принципиально иная система организации прав пользователей и доступа к корпоративной информации. Согласиться с установленными рабочими правилами, не пытаться их обойти, быть внимательным к действиям внешних пользователей – это то, что каждый специалист может и должен делать для защиты конфиденциальных данных компании, в которой он работает.