Нажать на решетку: как иностранные мессенджеры могут навредить бизнесу
В октябре Минпромторг России обратился к промышленным предприятиям страны с просьбой отказаться от использования иностранных мессенджеров во внутрикорпоративных коммуникациях. В числе первых платформ, от которых компаниям следует отказаться, ведомство назвало WhatsApp, Zoom и Skype — по мнению представителей министерства, переход на отечественные аналоги позволит обеспечить более высокий уровень кибербезопасности компаний. «Известия» разбирались, насколько реальна опасность таких программ для бизнеса и есть ли в России действительно защищенные аналоги иностранного ПО.
«Отсидеться не получится»
Отдельной статистики, способной проиллюстрировать масштаб киберугрозы при использовании иностранных мессенджеров и систем видеоконференцсвязи (ВКС) на промышленных предприятиях России, нет — в прежние времена программные «дыры» в основном использовались с целью промышленного шпионажа или кражи чувствительных для компаний данных с целью получения выкупа, поэтому бизнес в целом пытался скрыть такие события от общественной огласки. Но сейчас ситуация совершенно иная: вся российская цифровая инфраструктура на постоянной основе подвергается массовым кибератакам, о чем недавно в ходе рабочей встречи с президентом Владимиром Путиным говорил вице-премьер Дмитрий Чернышенко.
«Информационная безопасность стоит во главе угла, потому что на 80% увеличилось в этом году число кибератак на Россию. Причем если в прошлом году основной целью кибератак был финансовый сектор, то в этом году — госсектор <…> 25 тыс., даже больше, кибератак на госресурсы и 1,2 тыс. инцидентов на критической инфраструктуре были успешно ликвидированы», — отмечал Чернышенко.
При этом, как отмечают опрошенные «Известиями» эксперты, многие компании продолжают пользоваться иностранными сервисами коммуникации в рабочих целях по привычке. Как говорит руководитель перспективных проектов в области информационной безопасности IT-кластера Фонда «Сколково» Оксана Ульянинкова, в сознании предпринимателей продолжают жить стереотипы о низком качестве пользовательского интерфейса и узком функционале таких приложений в сравнении с западными конкурентами. Многие готовы и дальше ставить комфорт выше безопасности собственного бизнеса, до конца не осознавая сопутствующих рисков.
«По статистике, при выборе платформы видео-конференц-связи аспекты, связанные с конфиденциальностью и безопасностью, идут после качества звука и видео», — говорит директор Центра информационной безопасности компании «Ланит-Интеграция» Николай Фокин.
Стоит отметить, что в целом консенсуса по поводу удобства использования и качества российских приложений не сложилось и в комментариях собеседников «Известий». Так, в Минпромторге отметили, что на сегодняшний день конкурентоспособность отечественных программ коммуникации очень высока, а некоторые рекомендованные программы превосходят по своим функциям и качеству зарубежные аналоги.
«Российские решения менее удобны по сравнению с мировыми лидерами, и они дороже зарубежных. Кроме того, отечественные сервисы поздно появились. Возникает вопрос: если у тебя есть работающее решение, зачем тебе просто так переходить на любое другое?» — приводит альтернативное мнение IT-директор hh.ru Геннадий Береговский.
В чем проблема
В целом все опрошенные «Известиями» эксперты сошлись во мнении, что обмен информацией в современных реалиях является критически важной составляющей любой деятельности, не только в промышленности. И запрос на безопасные решения для проведения переговоров и решения повседневных задач давно ощущают даже сами предприниматели.
«Риски утечки чувствительной информации очевидные. Учитывая рост кибератак на всю информационную инфраструктуру, которые производятся из-за рубежа, заинтересованными являются иностранные лица. Сейчас самое время для того, чтобы выработать новые подходы и обеспечить независимость в важных вопросах в области кибербезопасности. Необходимо отметить, что предприятия самостоятельно обращаются в министерство с соответствующим запросом на российское ПО», — сказали «Известиям» в Минпромторге.
Представитель Министерства цифрового развития РФ в комментарии «Известиям» отметил, что этот запрос на самом деле появился еще задолго до того, как в отношении российской информационной инфраструктуры серьезно выросло число кибератак. И еще тогда ситуация подтолкнула отечественных вендоров к разработке собственных качественных и безопасных решений.
«С 2020 года в связи с распространением COVID-19 и массовым переводом сотрудников на удаленную работу у большинства промышленных предприятий возникла необходимость в поиске и приобретении программ для ВКС. На тот момент на рынке ощущался недостаток заметных отечественных решений видеоконференцсвязи. При этом рост рынка стал стимулирующим фактором для появления новых и развития существующих отечественных программ для ВКС», — объясняют в Минцифры.
Тогда же, отмечают в ведомстве, многие промышленные предприятия начали разрабатывать собственные программы для ВКС на основе отечественных и иностранных решений. И в целом, так как мессенджеры и системы ВКС являются неотъемлемой частью информационной инфраструктуры организации, предприятия используют существующую систему обеспечения информационной безопасности и применяют единые требования по инфобезопасности регуляторов — в этом смысле компании, которые следуют общим государственным стандартам безопасности, находятся вне зоны риска.
Большой вопрос — как подтолкнуть остальные компании к переходу на отечественные решения. На вопрос «Известий» о перспективности введения законодательных ограничений в отношении такого ПО в Минцифры ответили, что реализовывать в правовом поле такое решение следует поэтапно, учитывая наличие и доступность аналогов таких программ, а также их способность удовлетворить запросы организаций, отслеживая при этом обратную связь от самих промпредприятий.
«Запреты, на мой взгляд, не решат проблему кардинально: люди будут тратить силы на обход ограничений, и, уверен, лазейки найдутся. Поможет наличие на рынке хорошо проработанных, удобных и безопасных продуктов по приемлемым ценам», — приводит свою точку зрения Геннадий Береговский из hh.ru.
Последствия — тоже риски
Самый негативный сценарий, по мнению опрошенных «Известиями» экспертов — моментальное отключение на территории России со стороны зарубежных компании. Такое развитие событий может поставить под удар всю операционную деятельность предприятий и привести к внедрению отечественных решений в угоду оперативности, а не информационной безопасности, из-за чего сам процесс может привести к критическим ошибкам вследствие того же человеческого фактора.
«Наиболее серьезный риск — как раз отключение решения для россиян, полное отключение пользователей от системы. В этом случае компания остается без связи и вынуждена заниматься выбором, закупкой и развертыванием решения в авральном режиме», — говорит Геннадий Береговский.
К тому же, если говорить об информационной безопасности в более широком контексте, важно и то, насколько такие решения будут совместимы с остальной цифровой инфраструктурой.
«Подход к задаче по построению системы кибербезопасности предприятия должен быть комплексным. Безусловно, защита критической инфраструктуры требует усилий и грамотного подхода. Это не только техническая защита процессов производства, но и политика безопасности и процессы в целом», — объясняет Оксана Ульянинкова из «Сколково».
При этом очевидным плюсом внедрения российских решений остается то, что все взаимосвязанные с ними «железные» инфосистемы находятся на территории страны, а значит, физический доступ к ним у злоумышленников отсутствует. Вдобавок отдельные решения еще больше сужают круг лиц, способных получить доступ к такой инфраструктуре.
«Основные риски возникают с облачными продуктами. Самые распространенные: нарушение приватности, кража конфиденциальной информации, несанкционированный доступ к записям видеоконференций. В отличие от облачных решений модель on-premise позволяет разворачивать платформы в защищенном периметре предприятий, а это существенно снижает указанные риски», — говорит Николай Фокин из «Ланит-Интеграции».
В Минцифры добавляют, что кража внутренних данных с предприятий может привести к распространению информации, которая составляет не только критическую важность для самой компании, но и недопустима для публикации или передачи с точки зрения российского законодательства. В этом перечне — персональные данные, служебные сведения, информация, доступ к которой ограничен органами власти в соответствии с Гражданским кодексом России и федеральными законами, определяющими гостайну. По сути это означает, что утечка через иностранный мессенджер может привести к возбуждению административных и даже уголовных дел в отношении компании и ее сотрудников.
Максимально оградить компанию от подобного исхода, по мнению представителей Минпромторга, способны отечественные программы для коммуникаций и ВКС.
«На наш взгляд, доверять следует ПО, включенному в единый реестр российских программ для электронных вычислительных машин и баз данных. Удобный сервис по подбору отечественных аналогов иностранного ПО предусмотрен на сайте Ассоциации разработчиков программных продуктов «Отечественный софт», — заключили в ведомстве.
