Общаться с осторожностью: риски в использовании мессенджеров

В последнее время разного рода удаленные коммуникации переживают взрывной рост по всему миру. В первую очередь это наследие пандемии, во вторую – один из плодов глобализации, в третью – результат повсеместного отказа самих пользователей от очного общения в пользу удаленного. В России этот процесс имеет особенный характер, поскольку на глобальные тренды накладывается уход с нашего рынка ряда мировых производителей коммуникационных инструментов.

Вынужденный переход на альтернативные решения приводит к возникновению совершенно новых рисков, которые можно разделить на технологические, риски развития и риски информационной безопасности. Для анализа этих рисков выделим в коммуникационных платформах три основных кластера: телефонию, видеосвязь и месседжинг. Первые два кластера исследованы достаточно глубоко, а на месседжинге задержимся подробнее.

В американском городе Лас-Вегас (шт. Невада) есть казино Silverton, одна из главных достопримечательностей которого – огромный аквариум с редкими породами рыб и ежедневным шоу русалок. Для владельцев, очевидно, это был очень ценный актив, поскольку в нем обеспечивался постоянный мониторинг температуры воды, для чего, в свою очередь, использовались интеллектуальные IoT-термостаты. И вот в 2018 г. через один из этих термостатов злоумышленник проник во внутренний сегмент сети казино и украл откуда другой ценный актив – базу данных high rollers, т.е. игроков, делающих большие ставки. Как оказалось, термостаты, являясь частью платформы интернета вещей, были связаны с открытым сегментом интернета. Это было очень удобно для удаленного мониторинга, но совершенно недопустимо с точки зрения информационной безопасности.

База high rollers – это Святой Грааль любой игорной зоны. Казино лишилось конфиденциальности одного из своих основных бизнес-инструментов, чем поспешили воспользоваться конкуренты. Интернет вещей 2018 г. схож с месседжингом 2024 г. тем, что по нему еще не накоплена достаточно большая база реализовавшихся рисков, и беда обычно приходит к пользователю «откуда не ждали».

Для оценки данной группы рисков необходимо отталкиваться от систем, которые уже используются для обмена текстовыми сообщениями у корпоративных заказчиков. Это в основном продукты Microsoft Skype for Business и Microsoft Teams. Сегодня, являясь налоговым резидентом РФ, приобрести подписку на полностью облачный Microsoft Teams практически невозможно, поэтому в качестве наиболее популярной legacy-системы рассмотрим именно Skype for Business.

Отметим, что Skype сейчас не предоставляет того функционала, к которому конечные пользователи привыкли в WhatsApp (принадлежит Meta, которая признана экстремистской и запрещена в РФ) и Telegram. Редактирование сообщений, статусы доставки, реакции, разные виды p2p- и группового общения, даже стикеры и gif – вот к чему тяготеет рядовой пользователь. В Skype всего этого нет и уже не будет, в чем достаточно просто убедиться, заглянув на официальный сайт Microsoft. Там мы увидим, что финальная on-premise версия S4B выпущена в конце 2018 г., после чего продукт больше не развивался. Если проигнорировать недостаточно широкий функционал и эргономику этого коммуникационного инструмента, сотрудники предприятий просто «утекут» в некорпоративные средства связи. Однако эту тему мы рассмотрим чуть позже в свете информационной безопасности.

Подведем промежуточный итог: ИТ-блок корпоративного заказчика вынужден искать отечественную замену существующим коммуникационным платформам. Такие решения уже есть, причем в плане пользовательского функционала они черпают вдохновение именно в консьюмерских продуктах и очень похожи на Telegram, допуская при этом on-premise-внедрение внутри безопасного сетевого периметра предприятия. Кроме того, в среде отечественных месседжинговых продуктов развивается концепция SuperApp, т.е. интерфейса, объединяющего в одном окне вместе с мессенджером доступ к другим корпоративным подсистемам (почта, CRM, платформа бронирования ресурсов), автоматизацию взаимодействия с которыми обеспечивают чат-боты.

Такой подход к корпоративной коммуникационной платформе удобен и безопасен для предприятия.

Развивать существующее западные решения невозможно, оставлять их в текущем состоянии опасно из-за самовольной миграции пользователей в незащищенные средства связи. Но есть ли зрелые отечественные продукты? Мы такие продукты видим, и что еще важнее, они активно развиваются, о чем свидетельствуют дорожные карты их разработчиков.

При переходе на отечественные решения предприятия могут выбрать один из следующих путей.

Первое направление – на начальном этапе сознательно поступиться частью коммуникационного функционала ради «экосистемности», т.е. искать ответ на свой запрос в портфолио вендоров широкого профиля, где мессенджер – лишь дополнение к почте и офисному пакету. Плюс такого подхода – возможность решить целый спектр задач продуктами одного поставщика, с их глубокой внутренней интеграцией, закладываемой на этапе разработки. Минусы – более узкий функционал по сравнению со специализированными коммуникационными инструментами. Однако, как говорилось выше, отечественные вендоры активно развивают свои продукты, поэтому узнать планируемую дату появления недостающего механизма можно в их дорожных картах.

Второе направление – ставка на заведомо зрелый инструмент месседжинга, разработка которого является единственным либо основным бизнесом вендора. Плюсы – максимальное приближение функционала и эргономики такого инструментам к продуктам грандов мирового рынка.

Минусы – отсутствие нативной интеграционной связи со смежными подсистемами, что потребует от предприятия дополнительных инвестиций во внутренний или внешний источник интеграционной компетенции. Однако отметим, что упомянутая выше идеология SuperApp помогает нивелировать этот минус, поскольку она нацелена как раз на интеграцию разных подсистем заказчика в рамках единого интерфейса мессенджера, который в таком случае перестает быть простым инструментом текстового общения и преобразуется в постоянно доступное пользователю «рабочее место будущего».

Еще один риск развития – возможность того, что выбранный поставщик не останется активным игроком рынка и прекратит наращивать функционал собственной платформы. При оценке этого риска можно опереться на пример Telegram – совершенно некорпоративной платформы коммуникаций. Однако он прекрасно иллюстрирует уровень заинтересованности поставщика в рынке РФ. Из публично доступной и авторитетной аналитики за 2023 г. мы увидим, что Россия – это вторая страна по количеству загрузок приложения Telegram (34,4 млн), первая по количеству проводимых в приложении часов (в среднем 5,1 ч в месяц) и по генерируемому годовому трафику (23,84%). Очевидно, что потеря такого рынка с экономической точки зрения существенна для любого вендора, и корпоративного, и из сегмента B2C. 

При этом мы говорим о фактически зарубежном игроке, но даже он дорожит нашим рынком. Напомню, в 2017 г. у Роскомнадзора появились претензии к Telegram, и на протяжении двух лет каждый имеющий доступ к новостным ресурсам мог наблюдать их отчаянную и временами комичную борьбу. Однако сейчас мы читаем заявления официальных лиц государства о том, что Telegram активно сотрудничает с регулятором по любым вопросам. Таким образом суть претензий исчерпана, а сам Telegram однозначно сделал шаг навстречу государству с целью сохранения рынка. Если спроецировать эту ситуацию на отечественных разработчиков платформ корпоративной связи, то станет очевидно, что для них этот рынок еще дороже, поскольку вследствие текущей геополитической обстановки другого рынка у них может просто не быть. Так что они наверняка приложат все усилия для последовательного и стабильного роста в рамках РФ.

Ключевые риски в этой сфере – потеря личного устройства, автосохранение медиаданных, рассеянность пользователя и социальная инженерия.

Тут мы в первую очередь рассматриваем именно некорпоративные средства связи, поскольку разработчики отечественных месседжинговых платформ для корпоративных заказчиков вынуждены думать о таких функциях, как двухфакторная аутентификация, удаленная блокировка устройства администратором в случае утери или компрометации, интеграция с системами data leakage prevention. Однако реальность такова, что рядовые сотрудники предприятий пользуются Telegram и WhatsApp (принадлежит Meta, которая признана экстремистской и запрещена в РФ), а информация, которую они пересылают в этих «домашних» мессенджерах, зачастую носит конфиденциальный характер.

Основное устройство для мессенджера, конечно, смартфоны, и пользователи, бывает, их теряют. При этом многие никак не защищают свои устройства от свободной разблокировки, и в итоге все данные (и сам мессенджер, и медиатека устройства) становятся доступны случайным людям.

Второй сценарий – это автоматическое сохранение на смартфоне медиаданных, которое никто обычно не выключает. Все фотографии сохраняются в медиатеку, а потом синхронизируются с внешними публичными облаками хостинг-провайдеров, часть которых находится за рубежом (например, Apple iCloud). Там эти данные подвергаются уже рискам другого характера, которые хорошо иллюстрирует тот факт, что многие подробности частной жизни знаменитостей мы узнаем после так называемых сливов данных из публичных облаков.

Еще один очень рискованный сценарий – это массовое создание рабочих групп в публичных мессенджерах. Помимо прямой компрометации передаваемой корпоративной информации вследствие возможного доступа к ней владельцев месседжинговых платформ угрозу безопасности представляет отсутствие контроля за актуальностью участников этих групп, что отнюдь не редкость. Человек покидает своего работодателя и уходит к его конкуренту, но продолжает по инерции получать свежие данные о текущих проектах и инициативах, и не у всех хватает сознательности не воспользоваться этими данными на новом рабочем месте.

Наконец, социальная инженерия, а именно фейковые аккаунты топ-менеджеров и иных высокопоставленных сотрудников предприятия. С таких аккаунтов сотрудникам предприятий могут посылаться сообщения, побуждающие выдать конфиденциальные сведения. Часто такие требования злоумышленников выглядят для рядового пользователя вполне авторитетно, поскольку он и сам регулярно использует «домашний» мессенджер для решения деловых вопросов.

Более того, техники социальной инженерии с каждым днем становятся все более изощренными. Например, вместо прямого запроса на выдачу конфиденциальных данных злоумышленник может готовить почву для следующего мошеннического контакта, сообщая, что в ближайшее время с пользователем мессенджера свяжется работник ФСБ, Минфина, Минцифры или иного государственного регулятора, что еще сильнее снижает бдительность рядового пользователя.

Поделимся следующей гипотезой, подтверждения которой мы получаем все чаще: чем более традиционным является вид коммуникаций, тем меньше рисков всех видов он порождает. В первую очередь это связано с активной работой вендоров над развитием своих решений. Месседжинг же (особенно зрелый, безопасный и отечественный по происхождению) – это новая в корпоративной среде вещь. Мы видим, как заинтересованность и потребность предприятий в продуктах такого класса растут. Пока, согласно нашей оценке, отечественные вендорские решения за этим процессом не поспевают. Однако правильный курс ими уже взят, и продукты с хорошим потенциалом отчетливо видны на рынке. Ключевым фактором выявления, оценки и снижения описанных выше рисков является постоянный трехсторонний обмен экспертизой в формате «заказчик – интегратор – вендор». На основе этой синергии рождаются актуальные скоринги игроков рынка коммуникаций, формализующие данные о зрелости соответствующих решений и планах их развития. Именно такие данные позволят российским предприятиям с минимальными для непрерывности бизнеса потерями преодолеть турбулентный переходный период миграции со старых зарубежных платформ на отечественные.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!