Бизнес на связи с безопасностью
Как сделать корпоративное общение конфиденциальным
Сегмент корпоративных коммуникаций, который стремительно начал расти еще в пандемию, в 2024 году продолжает активно развиваться. Во многом его стимулируют уход зарубежных игроков и возросший запрос российских компаний на информационную безопасность. С 2022 года ряд иностранных вендоров стал ограничивать корпоративные лицензии, и некоторые российские компании, которые не успевали внедрять отечественный аналог, сталкивались с простоем в бизнесе, утечками и сопутствующими рисками. “Ъ” разбирался, какие задачи для организации безопасных и эффективных корпоративных коммуникаций еще предстоит решить в 2024 году, а какие сервисы российские вендоры готовы предложить уже сейчас.
Рынок корпоративных коммуникаций в последние годы стремительно растет и, по оценке IVA Technologies, сейчас превышает 80 млрд руб. Речь идет о различных решениях для общения внутри компании. Среди них — аудио- и видеочаты, почта, телефония, мессенджеры. Подобные решения интегрируются со всей IT-инфраструктурой заказчиков, что повышает требования к их безопасности и отказоустойчивости.
Рискованная стратегия
Долгое время в сегменте корпоративных коммуникаций лидирующие позиции занимали ведущие иностранные вендоры: Cisco, Polycom, LifeSize, Zoom, Microsoft Teams, Avaya и др. Однако с 2020 года расстановка сил начала меняться: российские разработчики стали активно занимать рынок. Процесс ускорился в 2022 году, когда западные вендоры ограничили работу своих сервисов на территории России.
Сейчас в реестре российского софта зарегистрировано 258 коммуникационных программных продуктов. Среди них — Dion, Vinteo, IVA Technologies, «Сбер Джаз», МТС Link и другие. Один из наиболее популярных продуктов в бизнес-общении — видео-конференц-связь (ВКС). На сегодня, по данным TAdviser, порядка 40% крупных российских компаний используют только российские ВКС-сервисы. При этом 60% организаций используют одновременно несколько разных платформ. Это связано с тем, что некоторые компании продолжают применять ранее внедренные зарубежные решения и параллельно тестируют российское ПО.
Дело в том, что ряд зарубежных сервисов все еще можно использовать в ограниченном формате (Microsoft Teams, Zoom). Однако, как отмечают эксперты, это несет серьезные риски с точки зрения информационной безопасности. Еще в октябре 2022 года Минпромторг рекомендовал руководителям промышленных предприятий прекратить использование для служебных целей иностранных мессенджеров и систем ВКС, чтобы обеспечить кибербезопасность. Использование западных сервисов, таких как Zoom и Microsoft, напрямую нарушает российский закон «О персональных данных» в части выполнения требований по хранению сведений на территории РФ, поясняет исполнительный директор АРПП «Отечественный софт» Ренат Лашин: «С точки зрения информационной безопасности риски использования этих сервисов сейчас достаточно велики, поэтому их запрет станет логичной и неизбежной мерой. На российском рынке корпоративных коммуникаций уже давно существуют зрелые отечественные ВКС-сервисы, не уступающие по качеству зарубежным, они смогут эффективно и быстро заместить продукты западных компаний. Российские решения известны и за рубежом, они широко используются во многих сферах, совместимы с различным оборудованием и ПО».
Иностранные вендоры систем ВКС больше не поддерживают установленные продукты, поэтому связанность бизнеса и сохранность ценных для него данных (от исходного кода до информации о клиентах), которые не должны покидать защищенный корпоративный периметр, не гарантированы, отмечает заместитель гендиректора по развитию бизнеса вендора НОТА (Холдинг Т1) Антон Спирин: «Утечки могут приводить к финансовому и репутационному ущербу, остановке бизнес-процессов. Поэтому требуется переходить на отечественные решения ВКС корпоративного класса». Переход более важен для организаций из особо регулируемых отраслей, таких как финансовые или медицинские компании, а также для бизнеса, имеющего в структуре объекты критической информационной инфраструктуры, для которых написаны очень конкретные и жесткие правила по набору потенциально возможных инструментов.
Основная проблема в том, что зарубежные корпоративные ВКС-системы сейчас не обновляются до актуальных версий с устраненными уязвимостями, список которых постоянно растет, отмечает директор управления унифицированных коммуникаций «Айтеко» Артур Коплик.
С ним согласен руководитель российского исследовательского центра «Лаборатории Касперского» Дмитрий Галов: «Важно оперативно устанавливать все обновления (как в серверной части, так и в клиентской), так как уязвимости могут позволить злоумышленникам не просто подключиться к видеоконференции, но и проникнуть в инфраструктуру организации». Он добавляет, что сегодня ВКС часто используется для передачи конфиденциальной информации, поэтому требования к безопасности будут схожи вне зависимости от того, международное это решение или российское: «Традиционные требования включают шифрование, обеспечение защиты сервера видеоконференций, контроль подключений, обязательную авторизацию с использованием нескольких факторов».
Если говорить про риски, связанные с геополитической ситуацией, то их, к сожалению, часто не удается избежать, полагает господин Галов: «Бывали примеры, когда зарубежные вендоры предупреждали клиентов из России за месяц до отключения, невзирая на сроки договора. Такая ситуация может быть очень неприятной, учитывая, что в крупной компании на изучение и внедрение новых решений может уйти довольно много времени».
«Исходя из того, что наибольший спрос бизнеса в 2023 году был направлен именно на платформы комплексных коммуникаций, отключение или утечка из таких систем у крупной компании грозит серьезными потерями: стоимость ущерба может исчисляться сотнями миллионов рублей»,— отмечают в IVA Technologies. Однако господин Коплик считает, что потенциальное отключение зарубежных ВКС-сервисов сегодня уже не так опасно: «Многие крупные компании уже внедрили отечественные ВКС-системы. У кого-то такие системы работают в дополнение к основному сервису, кто-то полностью импортозаместился. К счастью, на российском рынке ВКС есть ряд достойных игроков, некоторые из которых смогли решить даже острый вопрос с георезервированием (размещение резервных копий на географически разнесенных площадках.— “Ъ”)».
Безопасный подход
Сегодня многие российские решения в сегменте корпоративных коммуникаций готовы заменять Cisco, Zoom, MS Teams, Avaya и других, обеспечив необходимый уровень безопасности. Так, IVA Technologies, в частности, для каждого клиента организует пилоты продуктов: компании могут проверить уровень защищенности софта перед внедрением. «Особенность нашего продукта в том, что мы предоставляем клиентам инструменты для защиты их конфиденциальной информации, благодаря которым они могут выстраивать собственную политику безопасности»,— уточняет генеральный директор IVA Technologies Станислав Иодковский. Для отработки безопасного использования продуктов IVA Technologies создала киберполигон: имитацию рабочей сети заказчика, где установлена ВКС IVA MCU со всеми возможными компонентами. Специалисты компании вместе с технологическими партнерами пытаются взломать ВКС. Любая найденная уязвимость исправляется. Каждый релиз IVA MCU перед выходом проходит тестирование на безопасность.
Российские вендоры также обеспечивают разные варианты защиты мероприятий от нежелательных участников: персональные ссылки, комнаты ожидания, защита ПИН-кодом и возможность входа на мероприятие только зарегистрированных на платформе пользователей. В сервисе Dion (разрабатывается НОТА), например, для повышения уровня контроля при сохранении удобства использования цифровых систем предусмотрена аутентификация по SSO (Single Sign-On, технология единого входа, которая позволяет переходить из одного раздела в другой без дополнительной аутентификации), говорит Антон Спирин: «Также для защиты данных в системе предусмотрен сервис по запрету скачивания файлов, если работник находится вне контура компании».
У IVA Technologies предусмотрены персональные ссылки для входа в мероприятие с логином и паролем (по этой ссылке может войти только один приглашенный участник), есть возможность создавать комнату ожидания, куда попадают пользователи, вошедшие по общей (гостевой) ссылке. Также можно установить ПИН-код на вход в мероприятие (как до начала встречи, так и во время) и менять его несколько раз за встречу. «При этом при создании мероприятия ПИН-код не передается в том же письме, что и ссылка. Это повышает безопасность в случае компрометации почты»,— отмечают в компании. В качестве крайней меры в сервисе можно поменять ссылку и ID на мероприятие (как до его начала, так и во время), при этом сохраняя всю существующую историю, включая переписку чата и документы.
Применение всех этих технологий может позволить изменить ситуацию 2023 года, когда более чем на 20% выросло количество утечек пользовательских данных. Поэтому одна из важнейших задач, которую предстоит решать бизнесу параллельно с технологической трансформацией,— повышение цифровой безопасности, убежден Станислав Иодковский. Усовершенствование технологий и более активный переход на отечественные решения, по мнению эксперта, способны повысить уровень безопасности информационных систем.