Безопасные коммуникации сотрудников: что важно знать
С 2022 года российский бизнес вынужден уделять еще больше внимания кибербезопасности. Трехкратный рост количества кибератак, опасения, связанные с хранением данных на зарубежных серверах — все это заставляет компании пересматривать свою ИТ-инфраструктуру. Изменения коснулись и цифровых систем для корпоративных коммуникаций. Один из основных вопросов здесь — как добиться безопасности и конфиденциальности делового общения в онлайне?
Главные источники киберугроз
Безопасность всегда была одним из главных показателей, определяющих выбор ИТ-продукта. В 2022 г. это требование приобрело особое значение — ведь российские компании столкнулись с беспрецедентным уровнем ИБ-угроз.
Так, по данным Group-IB, в прошлом году число атак, целью которых было получение финансовой выгоды, увеличилось по сравнению с 2021 г. почти в три раза (данные получены на основе анализа числа проведенных реагирований на инциденты в российских компаниях). Еще одной тенденцией, сформировавшейся в 2022 г., стал рост киберпреступлений со стороны хактивистов — политически мотивированных хакеров.
Как отмечают специалисты Group-IB, для доступа в корпоративную сеть чаще всего используются уязвимости публично доступных приложений (61% случаев), фишинг (22%), компрометация служб удаленного доступа и проникновение через публично доступные терминальные серверы и VPN (17%). В 68% случаев атаки заканчиваются шифрованием данных программами-вымогателями (ransomware).
Бизнес-коммуникации в онлайне и сохранность данных
Вместе с тем в 2022 г. удаленный формат работы, который начал активно развиваться в период пандемии, стал устоявшимся трендом. Так, по данным Superjob, на сентябрь 2022 г. в таком режиме работали сотрудники каждой пятой российской компании. В 12% организаций на удаленке осталось от ½ до ¾ персонала — это ИТ-специалисты (38%), специалисты по продажам (26%), HR (25%), финансам (17%), юриспруденции (16%). Рост количества дистанционных сотрудников влечет за собой повышение уровня цифровизации компаний, а он, в свою очередь, — неизбежное увеличение числа киберугроз.
Эффективность работы удаленных сотрудников во многом зависит от качества и удобства коммуникационных платформ. В числе необходимых практически всем компаниям функций — обмен сообщениями и документами, возможность обсудить рабочие вопросы на видеоконференциях, совместная работа с документами. Еще одна важная задача — поддержка корпоративной культуры: мероприятия в гибридном формате, онлайн-обучение и т.д. «Переезд» всех видов коммуникаций на цифровые платформы заставляет бизнес беспокоиться о сохранности персональных данных участников онлайн-мероприятий.
До последнего времени многие российские компании использовали в качестве средств корпоративных коммуникаций решения зарубежных разработчиков, в том числе публичные мессенджеры, такие как Telegram и WhatsApp. Однако в 2022 г. ситуация изменилась. Некоторые иностранные компании ушли из России и прекратили поддержку российских пользователей, другие заблокировали доступ к облачным ресурсам, третьи не принимают оплату из России.
Чтобы гарантированно сохранить плавность бизнес-процессов, компании стали массово переходить на сервисы российской разработки. Кроме того, на фоне роста числа киберугроз, государство рекомендовало образовательным и медицинским учреждениям, промышленным предприятиям и, конечно, государственным структурам и ведомствам отказаться от иностранных мессенджеров. С 1 марта 2023 г. был введен прямой запрет на их использование для передачи персональных и платежных данных для финансовых организаций, а также при предоставлении государственных и муниципальных услуг, выполнении государственного или муниципального задания.
Нельзя забывать и о том, что российское законодательство требует хранить персональные данные россиян на территории нашей страны. Западные компании, до самого последнего времени работавшие в России, зачастую пренебрегали этим требованием, а их российские заказчики смотрели на это сквозь пальцы. Однако в 2022 г. ситуация резко изменилась — государство ужесточает ответственность за утечку персональных данных, штраф может составить до 3% от оборота.
Корпоративные коммуникации в новой реальности
Российским разработчикам есть, что предложить бизнесу в непростой ситуации. Одни компании начали срочно вкладываться в создание новых корпоративных систем для видеоконференций и мессенджеров. Другие, например, Webinar Group, уже имели в арсенале подходящие решения (компания занимается разработкой сервисов для видеоконференций и вебинаров с 2008 г).
Foresight Day»2023: импортозамещение продолжается
ИмпортонезависимостьПри выборе конкретного продукта надо учитывать несколько факторов. Во-первых, сервис должен быть включен в Единый реестр российских программ для электронных вычислительных машин и баз данных.
Во-вторых, данные должны храниться на территории Российской Федерации. Это касается как баз, обеспечивающих работу сервисов, так и персональных данных участников вебинаров и онлайн-встреч. Дата-центр, где расположено ядро системы, должен быть сертифицирован по высоким требованиям к безопасности и доступности (ISO 27001). В нем должны быть обеспечены строгий контроль физической безопасности, дублирование передаваемых данных для предотвращения их утраты в случае выхода из строя аппаратного или программного обеспечения, защита от Ddos-атак.
Максим Семиренко, Imredi: В ритейле time-to-market в 2 года — это выстрел себе в ногу
РитейлВсе данные должны передаваться в зашифрованном виде. Необходимо, чтобы соединение клиента с сервером устанавливалось через HTTPS. Также нужно обеспечивать безопасность при передаче аудио- и видеоданных.
Очень важная функция — возможность ограничить доступ к онлайн-мероприятиям только для корпоративных учетных записей, использующих технологию единого входа SSO. SSO позволяет пользователям создать один надежный пароль, который можно применять сразу для всех корпоративных систем.
Другие аспекты, на которые следует обращать внимание, — это наличие сквозного и асимметричного шифрования, двухфакторной аутентификации, возможность настроить автоудаление истории сообщений и защиту от снятия скриншотов.
В облаке или на своих серверах?
Все перечисленные выше факторы применимы для облачных решений для видеоконференций. Другими словами, если разработчик состоит в Реестре операторов персональных данных Роскомнадзора, он может хранить данные пользователей на своих серверах в дата-центрах. Однако для некоторых государственных, финансовых, медицинских организаций, а также крупнейших компаний, в которых требования к обеспечению безопасности данных очень высоки, критически важно хранить все данные в собственном контуре. Здесь на помощь приходят on-premise версии ИТ-продуктов. Такое решение есть, например, у Webinar Group.
«On-premise версия платформы Webinar по инструментарию практически не отличается от облачной. При этом она легко интегрируется с внутренней ИТ-инфраструктурой компаний, позволяет без сторонних провайдеров хранить и обновлять данные на собственных серверах, адаптировать функционал под индивидуальные потребности», — отмечает Владимир Карпенко, руководитель бизнес-юнита On-premise и Meetings компании Webinar Group.
On-premise решения порой работают даже быстрее, чем облачные, поскольку данные обрабатываются локально и не требуют передачи по интернету. Кроме того, пользоваться ими экономически выгодно: они требуют только единовременных затрат на закупку оборудования и лицензий.
По данным «Финам», на начало 2023 г. доля отечественных ВКС в b2b-сегменте составляла 45% и продолжает расти. В ближайшее время решения для организации корпоративных коммуникаций от российских вендоров будет использовать более половины компаний. Главное, чтобы они были не только функциональными, но и безопасными.
Наталья Рудычева
Полный текст статьи читайте на CNews