Дмитрий Денисов, DION: Корпоративная ВКС — это прежде всего безопасная и удобная платформа
На вопросы TAdviser об особенностях информационной безопасности в ВКС-системах, подходах к цифровой гигиене, а также практике применения злоумышленниками дипфейков и социальной инженерии ответил Дмитрий Денисов, директор по продукту DION (платформа корпоративных коммуникаций).
Сегодня мошенничество в цифровых каналах коммуникации приобрело в России характер эпидемии. С какими специфическими угрозами сталкивается бизнес при использовании видеоконференцсвязи и как противостоять таким угрозам?
Дмитрий Денисов: Наибольшая опасность при использовании ВКС-систем в корпоративном сегменте состоит в утечках не только персональных данных, но и в конфиденциальной информации, представляющих коммерческую тайну организации, например, в момент их передачи на сервер. Нетрудно представить, что публикация чувствительной для бизнеса информации может поставить под угрозу как минимум репутацию компании, а как максимум — ее существование.
Чтобы защититься от несанционированного доступа к данным, коммуникационные платформы шифруют трафик, передающийся через интернет. Гибридный способ размещения решения обеспечивает дополнительный уровень защиты: данные остаются в контуре компании и не могут быть подвержены перехвату внешним злоумышленником.
Также компаниям необходимо вводить эффективные парольные политики и внедрять механизмы аутентификации, а именно технологию единого входа (SSO). Например, DION поддерживает авторизацию доменными учетными записями с использованием безопасной технологии SAML 2.0, которая не подразумевает прямого доступа компонентов DION в службу каталогов компании и исключает передачу паролей по сети. ИТ-служба, в свою очередь, должна контролировать ротацию паролей (например, каждые полгода сотрудники обязательно их обновляют) и внедрять надежную систему управления циклом учетных записей.
Дополнительный уровень безопасности обеспечивают механизмы двухфакторной аутентификации как для пользователей при регистрации в системе, так и для ИТ-специалистов при входе в административную панель. Дополнительные меры могут быть настроены на этапе прохождения сотрудником SSO авторизации.
Популярна точка зрения, что решить эту задачу можно посредством инсталляции решения на площадке заказчика. Согласны ли вы с этим?
Дмитрий Денисов: Инсталляция системы на площадке заказчика (т.н. on-premise-системы) — это не панацея, и вряд ли она способна полностью решить проблему обеспечения безопасности. Внедренные локально системы корпоративных коммуникаций не могут обновляться так же часто, как облачные SaaS-решения. Время исправления дефектов, особенно касающихся пользовательского опыта, по сравнению с облачными аналогами гораздо выше.
Парадокс, на мой взгляд, заключается в том, что облачные сервисы, которые ориентированы на пользователя, с налаженными интеграциями и системами управления жизненными циклом, дают наибольшую защиту в сравнении с решениями, ориентированными на встраивание в инфраструктуру заказчика. Во многом это объясняется тем, что облачные провайдеры обладают действительно глубокой экспертизой, в том числе в вопросах защиты от DDoS-атак — далеко не каждая ИТ-служба заказчика может похвастаться такими компетенциями. И если в компании нет такого опыта и сильной ИБ-команды, лучше внедрить облачный сервис.
Однако чтобы определить, какой формат размещения больше подходит клиенту, важно внимательно проанализировать его инфраструктуру, его запросы, возможности и желания. Мы в DION развиваем обе версии на одинаково высоком уровне.
Есть требования регуляторов и соображения здравого смысла в пользу того, чтобы часть информации хранить на площадке заказчика?
Дмитрий Денисов: Именно поэтому мы решили сделать гибридное решение DION, которое позволяет не только быстро настраивать новый функционал, но и задавать разные уровни защиты данных. Вся чувствительная информация располагается на серверах компании-клиента, при этом преимущества облачного сервиса сохраняются.
Через какие уязвимости действуют социальные инженеры-киберпреступники, чтобы атаковать тех, кто пользуется ВКС? Как бизнес может этому противодействовать?
Дмитрий Денисов: Самая большая уязвимость — по-прежнему люди. Простой пример: сотрудники переходят по ссылкам, которые на первый взгляд кажутся знакомыми, авторизуются там и только потом понимают, что оставили чувствительные данные на фишинговом сайте. Также часто пользователи доверяют сообщениям в мессенджерах от адресатов, представляющихся специалистами внутренней ИБ-службы. Люди просто забывают, что любая коммуникация с ИТ- и ИБ-подразделения возможна лишь через корпоративные каналы связи. Поэтому важно использовать для общения сотрудников специальные корпоративные системы.
Схемы мошенничества, которые построены на принципах социальной инженерии, можно успешно обходить с помощью многофакторной аутентификации пользователей, использования систем DLP, обучения сотрудников и тесного сотрудничества с отделами кибербезопасности организации. Главное — всем этим не пренебрегать.
Насколько важна цифровая гигиена при использовании ВКС-сервиса?
Дмитрий Денисов: Ответственность компаний состоит, во-первых, в том, чтобы грамотно настроить управление жизненным циклом учетных записей, а во-вторых, понять, каким образом можно идентифицировать внутреннего злоумышленника. И в этом вопросе на помощь приходят системы предотвращения утечек DLP, которые реализованы в том числе в DION.
Понимание важности цифровой гигиены — результат продолжительной и комплексной работы компании, и ВКС-сервисы позволяют упростить этот процесс. Например, UC-платформу можно использовать для обучения, хранения и передачи видео с полезной информацией, формировании своеобразной базы знаний. Несмотря на то, что современные ВКС-решения имеют множество инструментов для защиты данных, соблюдение пользователями простых правил цифровой гигиены помогает избежать инцидентов.
Сотруднику организации нельзя запретить общаться с внешними пользователями. Есть ли решение этой проблемы?
Дмитрий Денисов: Это действительно актуальная проблема. Например, в теории человек может методом подбора ссылки войти в комнату или конференцию с несколькими десятками или сотнями участников и при этом остаться незамеченным. Чтобы такого не происходило, вендоры добавляют возможность защиты конференции с помощью пароля, ограничение гостевого доступа во всех или отдельных конференциях, а прежде, чем подключиться ко встрече, пользователи ждут одобрения организатора в зале ожидания. Если решение гибридное, компания может проводить особо важные конференции на локальных медиасерверах с доступом только авторизованных сотрудников. При этом остальные встречи можно проводить в облаке, с открытым гостевым доступом.
Важно уметь отличать аутентифицированного проверенного пользователя от гостя, который выдает себя за него. Необходимо постоянно быть на связи с сотрудниками кибербезопасности. Компании отличаются друг от друга рисками утечек и способами их нивелировать, поэтому мы всегда находимся в контакте с сотрудниками, способными предотвратить такие инциденты.
Новые технологии быстро осваивают мошенники. Насколько опасны сейчас для бизнеса дипфейки?
Дмитрий Денисов: Уверен, что, если выполнять все известные условия для безопасного цифрового общения — технические, обучающие, превентивные — технологии дипфейков могут вызвать лишь улыбку. Однако это не означает, что можно вовсе забыть про такого рода угрозы.
В первую очередь, компаниям нужно позаботиться о надежных системах авторизации и хранения паролей, чтобы злоумышленники не могли получить доступ к учетной записи сотрудника. Также необходимо всегда держать в фокусе внимания и разбирать внутри команды последние кейсы утечек и регулярно тестировать, проверять на прочность свою ИТ-инфраструктуру — это поможет повысить осведомленность и внимательность сотрудников.
Какой должна быть корпоративная ВКС?
Дмитрий Денисов: Идеальная корпоративная ВКС — это система, которую удобно и приятно использовать: она позволяет сотрудникам работать из любой точки и с любого устройства, гарантируя стабильную связь. А вся работа и коммуникация в этой платформе происходит в режиме единого окна: конференции, чаты, переговорные комнаты, видеохостинг, хранение и обмен медиафайлами — всё под рукой. Таким образом решение поддерживает развитие бизнеса, закрывая растущие потребности пользователей. И последнее, идеальное ВКС-решение всегда заботится о безопасности корпоративных данных: вендор регулярно обновляет базовую инфраструктуру и код, применяет патчи, а в основе его работы — современные принципы безопасной разработки.