Токен 2SDnjePPp7S

Почему нельзя использовать публичные мессенджеры в бизнесе и как их заменить

Премия Securitymedia
Почему нельзя использовать публичные мессенджеры в бизнесе и как их заменить
Почему нельзя использовать публичные мессенджеры в бизнесе и как их заменить
11.10.2023

Максим Рубан.jpg
Максим Рубан

Руководитель направления информационной безопасности платформы корпоративных коммуникаций и мобильности eXpress


Использование в рабочих целях популярных зарубежных мессенджеров, таких как Telegram и WhatsApp (принадлежит Meta*), несет значительные риски для компании и снижает ее информационную безопасность. Пересылка сообщений с конфиденциальными данными, взлом личных аккаунтов или недобросовестное поведение уволенных сотрудников могут привести к потере или компрометации корпоративной информации. Максим Рубан, руководитель направления информационной безопасности платформы корпоративных коммуникаций и мобильности eXpress, рекомендует свести эти риски к минимуму, найдя публичному мессенджеру замену среди отечественных продуктов.

Какие существуют риски использования публичных мессенджеров в бизнесе

  1. Утечка данных: использование публичных мессенджеров означает, что ваша переписка и файлы уже утекли и доступны третьим лицам без вашего ведома. Коммерческую или служебную информацию могут незаметно использовать в своих целях в режиме реального времени.
  2. Отсутствие контроля: при увольнении работник может использовать рабочую переписку, тем более зарубежные публичные мессенджеры обрабатывают и хранят переписку и файлы за пределами РФ.
  3. Отсутствие защиты: публичные мессенджеры в своем арсенале не имеют функционала борьбы с фишинговыми рассылками, и организация защиты недосягаема для сотрудников ИБ-компании. Пользователь неосознанно может реализовать уязвимости, позволяющие получить злоумышленнику полный доступ к мобильному устройству. Далее злоумышленник волен самостоятельно определять, какие данные похитить.

Распространенные сценарии, угрожающие безопасности

Сценарии использования общедоступных мессенджеров сотрудниками в работе варьируются, но все они создают потенциальные угрозы для информационной безопасности компаний и могут нанести материальный ущерб.

При увольнении сотруднику отключают доступ к информационным системам и сервисам компании. Но в этот список не попадают публичные мессенджеры, поскольку для компаний блокировка доступа в них недосягаема. Уволенный сотрудник может продолжать общение с корпоративным кругом лиц и обрабатывать информацию, которая ранее использовалась в рабочих целях, в том числе конфиденциальную.

При этом публичные мессенджеры не соответствуют требованиям законодательства в области защиты информации и не предназначены для обработки конфиденциальной информации. Сотрудник самостоятельно определяет, нужен ли антивирус или двухфакторная аутентификация. Отсутствие парольных политик и минимального уровня защиты информации на мобильных устройствах открывает большие возможности для потенциального злоумышленника, что может привести к взлому и получению несанкционированного доступа к мобильным приложениям или устройству в целом.

Как снизить риск инцидентов с участием мессенджеров

В целях снижения рисков таких инцидентов в бизнесе можно применить следующие меры:

  1. Внедрить корпоративный продукт и предоставить сотрудникам удобный инструмент. Заменить публичные мессенджеры на корпоративный мессенджер, внедренный на серверах компании (on-premise). Только такой подход обеспечивает контроль над данными и безопасностью, так как все сообщения и файлы хранятся в зашифрованном виде на внутренних серверах, под вашим управлением.
  2. Использовать федерацию (многоконтурность), иными словами создать условия для безопасной работы с внешними публичными пользователями. В этом случае сотрудники смогут общаться с подрядными организациями и партнерами без потерь функционала и удобства.
  3. Использовать шифрование данных при хранении и отправки в целях обеспечения безопасности и применять инструменты защиты данных enterprise-класса. Решения подобного класса обеспечивают механизмы мультифакторной аутентификации, гибкие ролевые модели прав доступа и возможность дистанционного удаления данных.
  4. Интегрировать мессенджер с системами информационной безопасности компании. Некоторые продукты предлагают API и возможности интеграции с существующими системами мониторинга безопасности, системами аутентификации и системами управления учетными записями, DLP и т.п. Это позволяет более эффективно контролировать использование мессенджера и реагировать на потенциальные угрозы.
  5. Использовать российское сертифицированное ПО, если необходимо обрабатывать информацию ограниченного доступа. Мессенджеры должны обладать функциями по защите информации в соответствии с требованиями ФСТЭК России (например, соответствующие 4-ому уровню доверия). Такие сертифицированные мессенджеры соответствуют определенным нормативным требованиям и стандартам безопасности. Кроме того, проведение регулярных аудитов безопасности поможет выявить уязвимости и подготовить рекомендации по их устранению.

Почему полный запрет мессенджеров неэффективен

Вопрос обеспечения безопасности передаваемой информации внутри организации особенно важен в текущих геополитических реалиях. Запретить своим сотрудникам использовать публичные мессенджеры для рабочих переписок легко, но невозможно контролировать запрет.

Во-первых, сотрудник не враг в аспекте ИБ. Зачастую использование публичных мессенджеров на личных мобильных устройствах обусловлено удобством и отсутствием подобных сервисов внутри компании. Они вправе самостоятельно выбирать удобные средства коммуникаций. Таким образом, пока не появится удобный сервис, сотрудники продолжат использовать привычный повседневный набор популярных мобильных приложений и не будут выполнять запрет.

Во-вторых, невозможно контролировать запрет на уровне личных мобильных устройств. Сотрудники ИБ не могут управлять потоками информации и обеспечивать их безопасность. Запрещенное использование выявляется уже после момента утечки, когда данные компании найдены на просторах сети.

Два этих фактора подтверждают важность и необходимость внедрения корпоративных мессенджеров.

Большие компании внедряют MDM-системы, которые дают возможность контролировать политики безопасности на мобильных устройствах, и выдают сотрудникам корпоративные устройства. Данное решение слишком дорогое и долгое. Другой вариант - использовать отечественный продукт, который позволит безопасно общаться на личных мобильных устройствах, используя криптоконтейнер и шифрование данных. В этом случае у компании есть возможность управлять и контролировать свои данные.

Как выбрать безопасный корпоративный мессенджер

При выборе корпоративного мессенджера для бизнеса следует обращать внимание на многие аспекты.

Убедитесь, что мессенджер предлагает надежные способы аутентификации, такие как многофакторная аутентификация (MFA), или интеграцию с едиными каталогами пользователей. Это поможет применять политики безопасности и предотвратить несанкционированный доступ к мессенджеру.

Корпоративный мессенджер должен использовать сильное и надежное шифрование данных. Идеально, если мессенджер предлагает шифрование end-to-end, гарантирующее, что только отправитель и получатель могут прочитать сообщения.

Важно проверить возможности управления доступом и настройками прав доступа в корпоративном мессенджере. Это позволяет определить роли и привилегии для сотрудников в соответствии с их функциями и потребностями. Вы должны иметь возможность контролировать, кто может отправлять сообщения, обмениваться файлами или иметь доступ к определенным функциям мессенджера.

Оказание технической поддержки, готовность решать проблемы и предоставлять обновления системы безопасности со стороны разработчиков мессенджера также не менее важны. Необходимо быть уверенными в продолжительности доступа к сервису и возможности продления лицензий в будущем.

Отечественные мессенджеры соответствуют рекомендациям по ИБ

Конечно, при принятии решения о выборе мессенджера для бизнеса стоит оценить функциональность, интеграцию с другими инструментами, удобство использования и требования самой компании и ее команды.

Использование именно отечественного мессенджера поможет бизнесу соблюдать требования российского законодательства, в том числе касающиеся запрета на использование иностранного ПО при пересылке персональных и финансовых данных. Роскомнадзор составил список тех мессенджеров, которые запрещены к использованию при пересылке таких данных (в него входят такие решения, как Telegram, WhatsApp, Viber и MS Teams). В то же время существует Реестр российского программного обеспечения, в котором можно найти подходящее решение для импортозамещения.

Отечественные мессенджеры, как правило, обеспечивают безопасность персональных и финансовых данных и защиту от несанкционированного доступа. Они разрабатываются с учетом особенностей российского рынка и потребностей бизнеса, могут предлагать специализированные функции и интеграции, которые соответствуют запросу компаний на создание цифровых рабочих мест.

Если платформы, такие как MS Teams и Slack, закрывают доступ или ограничивают продление лицензий в России, то использование отечественного мессенджера обеспечит стабильность и непрерывность коммуникации в бизнесе. Российские мессенджеры не зависят от иностранных компаний или сервисов и гораздо надежнее для работы в периметре корпоративных коммуникаций.

* Meta признана в России экстремистской организацией и запрещена на территории Российской Федерации


Комментарии 0