РБК Компании
РБК Компании
Телеканал
Pro
Инвестиции
Мероприятия
Отрасли
Недвижимость
Autonews
Спорт
РБК Компании
РБК Вино
РБК Life
Тренды
Визионеры
Национальные проекты
Город
Стиль
Крипто
РБК+
Дискуссионный клуб
Исследования
Кредитные рейтинги
Франшизы
Газета
Спецпроекты СПб
Конференции СПб
Спецпроекты
Проверка контрагентов
ESG-индекс
Политика
Экономика
Бизнес
Технологии и медиа
Финансы
Экономика образования
Здоровье
eXpress 9 октября 2024

Риски при использовании публичных мессенджеров в бизнесе

Корпоративное общение и работа сейчас уже неразделимы. Однако применение публичных мессенджеров для рабочей коммуникации сопряжено с серьезными рисками

Максим Рубан
CISO платформы корпоративных коммуникаций и мобильности eXpress

В период 2012-2022 гг работал в Государственной корпорации «Ростех» по направлению информационная безопасность

Корпоративные средства коммуникации и рабочие процессы в настоящее время уже не разделимы. Работники заменяют почту на мессенджер, а офисный ПК на личный смартфон. Открыв смартфон можно оперативно ответить на рабочий вопрос, согласовать и отправить документ или удаленно войти в какой-либо корпоративный сервис. Однако применение публичных мессенджеров для рабочей коммуникации сопряжено с серьезными рисками, о которых нельзя забывать.

Какие существуют риски использования публичных мессенджеров в бизнесе

Данные в публичных мессенджерах уже утекли: использование публичных мессенджеров означает, что ваша переписка и файлы автоматически выходят за пределы внутреннего контура компании и доступны третьим лицам без вашего ведома. Тем более зарубежные публичные мессенджеры обрабатывают и хранят переписку и файлы за пределами РФ. Коммерческую или служебную информацию могут незаметно использовать в своих целях в режиме реального времени, ведь когда пользователи устанавливают и запускают первый раз мобильное приложение, они редко вчитываются в условия политик хранения и обработки пользовательских данных и просто соглашаются с ними.

Например, пользовательское лицензионное соглашение WhatsApp (принадлежит корпорации Meta, деятельность которой признана экстремистской и запрещена на территории РФ) содержит раздел про ограничение ответственности. В нем говорится, что платформа не несет ответственности за убытки пользователя «вне зависимости от причин и оснований возникновения ответственности, включая небрежность». Иными словами, платформа не заинтересована в сохранности данных пользователей и может обрабатывать и хранить, как угодно и где угодно, при этом допуская небрежность.

Отсутствие защиты: публичные мессенджеры в своем арсенале не имеют механизмов защиты информации. Фишинговые рассылки в настоящее время набрали особую популярность. Пользователь неосознанно может стать жертвой уязвимости, позволяющей получить злоумышленнику полный доступ к мобильному устройству. В частности, по результатам исследования Positive Technologies в 2023 году почти половина (43%) всех успешных атак на организации были проведены с использованием социальной инженерии (79% из них осуществлялись через электронную почту, СМС-сообщения, социальные сети и мессенджеры).

Отсутствие контроля: при увольнении работник может использовать рабочую переписку в своих целях. Как правило, бывшему сотруднику отключают доступ к информационным системам и сервисам компании. Но в этот список не попадают публичные мессенджеры, поскольку для компаний блокировка доступа в них недосягаема. Уволенный сотрудник может продолжать общение с корпоративным кругом лиц и обрабатывать информацию, которая ранее использовалась в рабочих целях, в том числе конфиденциальную.

Законодательные последствия. Все публичные мессенджеры не соответствуют требованиям законодательства в области защиты информации и не предназначены для обработки конфиденциальной информации. Сотрудник самостоятельно определяет, нужен ли антивирус или двухфакторная аутентификация. Отсутствие парольных политик и минимального уровня защиты информации на личных мобильных устройствах открывает большие возможности для потенциального злоумышленника. Поэтому требования к корпоративным коммуникациям в отдельных сферах строго регламентируются: действует закон, устанавливающий прямой запрет для российских организаций использовать иностранные мессенджеры, приказы ФСТЭК России, закон, наделяющий Центробанк полномочиями контроля за переходом банков на отечественное ПО, и так далее. Выходят новые государственные регламенты, к примеру, в марте 2024 года кабинет министров внес в Госдуму законопроект о переходе субъектов критической информационной инфраструктуры РФ на использование российского программного обеспечения (ПО) в целях безопасности.

С другой стороны, вышеупомянутая компания реализует машинное обучение собственного ИИ на основании сбора и обработки публичных фотографий пользователей платформы. Отозвать свое согласие можно только запросом через электронную форму. Возникают сомнения в части выполнения требований по защите биометрических персональных данных субъектов ПДн, в том числе при трансграничной передаче.

Сценарии использования общедоступных мессенджеров сотрудниками в работе варьируются, но их объединяет желание удобно и быстро осуществлять корпоративную коммуникацию. Именно в стремлениях получить удобство в работе и ускорить свои процессы работники без понимания реализуют угрозы безопасности корпоративных данных и могут нанести материальный и репутационный ущерб бизнесу. Однако этого вполне легко можно не допустить.

Запрещать работникам использовать удобные для них мессенджеры можно, но эта мера не дает практического эффекта. Необходимо предоставить им корпоративный, сопоставимый по удобству мессенджер, который фактически будет выполнять все требования по защите информации компании. Зачастую внедрение продуктов класса защищенных корпоративных коммуникаций позволяет оцифровать множество процессов, повысить уровень ИБ компании и даже сократить операционные расходы.