Какие опасности таит корпоративная переписка в публичных мессенджерах?

Все чаще компании в качестве канала связи используют мессенджеры, и на первый план здесь выходят скорость обмена информацией и безопасность сообщений. Какие риски надо учитывать при выборе программы?

Планомерная популяризация производителями программного обеспечения, такими как Facebook, WhatsApp, Viber, Telegram, своих продуктов для передачи сообщений привела к появлению самого понятия «мессенджер».

Какие бывают виды мессенджеров

Публичный мессенджер — это мессенджер, платформу которого создает компания — разработчик программного обеспечения. Разработчики размещают свои мессенджеры в официальных интернет-магазинах, делая их максимально доступными для широкого круга пользователей по всему миру.

Корпоративный мессенджер — это мессенджер, платформа которого, как правило, размещается на серверах компании. Корпоративный мессенджер еще называют частным, чтобы подчеркнуть, что данными владеет только корпорация, обеспечивающая работу платформы мессенджера.

Приватный мессенджер — это разновидность упомянутых выше типов мессенджеров с фокусом на защиту конфиденциальности передаваемых данных. Приватным может быть как публичный, так и корпоративный мессенджер.

Надеюсь, с терминологией все более-менее понятно. Теперь давайте перейдем непосредственно к разбору особенностей каждого из типов мессенджеров.

Топ-6 недостатков публичных мессенджеров

1. Отсутствие контроля над инфосистемой и платформой

• Вы не можете контролировать безопасность публичных мессенджеров и возможность доступа к ним других пользователей, надежность алгоритмов и оборудования, политику по отношению к выдаче данных третьим лицам и влияние государственных органов.

Фактически при установке публичного мессенджера на cвой смартфон или компьютер вы соглашаетесь с тем, что данные будут передаваться через инфраструктуру сервиса, который представляет платформу мессенджера. То есть в любом случае вся переданная информация будет храниться или как минимум проходить через серверы владельца мессенджера.

Владельцы сервисов и разработчики платформ уверяют, что вся информация шифруется и не может быть прочитана даже самими разработчиками. Однако если верить информации авторитетного издания Electronic Frontier Foundation от 2014 года, далеко не каждый мессенджер может называться приватным. Хоть исследование и устарело, на рынке не появилось новых серьезных платформ и ситуация кардинально не изменилась.

• Платформа корпоративного мессенджера может быть размещена на сервере компании, в том числе в надежных юрисдикциях, и находится под полным ее контролем.

Компания может самостоятельно ограничивать доступ к мессенджеру, анализировать работу его платформы, контролировать безопасность и доступность сервиса в целом.

• Блокировка корпоративного сервера со стороны властей практически невозможна.

2. Угроза блокировки аккаунта и уязвимость к атакам

• Вы не можете контролировать политику доступа к публичному мессенджеру. Среди широкого круга его пользователей могут быть и злоумышленники. При этом владельцы мессенджера в одностороннем порядке или по решению властей могут лишить вас доступа к нему.

• Мессенджер WeChat заблокировал аккаунты, связанные с блокчейном и криптовалютами.
• Не менее эпичной была блокировка в Instagram и Facebook аккаунтов главы Чечни Рамзана Кадырова.
• В мае 2018 года в приложении для обмена мгновенными сообщениями Signal для ПК нашли уязвимость, которая позволяет хакерам украсть логи чата в виде открытого текста. Злоумышленники могут внедрить в приложение Signal для ПК вредоносный код, просто отправив сообщение.

• При использовании корпоративного мессенджера вы полностью контролируете круг лиц, которые имеют доступ к сервису, и можете в любой момент подключить или отключить того или иного пользователя. Мониторинг работы корпоративного мессенджера позволяет обнаружить атаки с целью захвата контроля над аккаунтом на ранних стадиях и вовремя заблокировать их.

3. Законодательные риски

В последние два-три года публичные мессенджеры стали серьезными платформами, где пользователи обмениваются новостями, смотрят видео и слушают аудио, создают группы для общения, ведут личные блоги и даже покупают услуги.

• На публичные мессенджеры влияют изменения в законодательстве.

Законодатели, в частности, вводят ограничения на криптографию (шифрование) и анонимность, требуют передавать властям ключи шифрования по их запросу.

Конечно, российские власти не остались в стороне при регулировании работы мессенджеров:

• с 1 января 2018 года вступил в силу закон, на основании которого владельцы мессенджеров обязаны идентифицировать своих пользователей по номерам мобильных телефонов;
• с 1 июля 2018 года вступили в силу антитеррористические поправки, известные как «пакет Яровой». Поправки обязывают операторов связи и ОРИ (организаторов распространения информации) хранить переписку пользователей, а также голосовые и видеосообщения, предоставляя их по запросам властей. Пока сохранять переписку обязаны только крупные операторы, но это не освобождает остальных ОРИ от обязанности выполнять упомянутые требования. Возможно, уже в ближайшее время мы узнаем, когда и в каких объемах публичным мессенджерам придется начать хранить пользовательский трафик;
• кроме того, зарегистрированные в реестре ОРИ публичные мессенджеры должны предоставлять российским силовикам ключи шифрования. В противном случае они будут заблокированы на территории России, как это случилось с Telegram, который отказался сотрудничать с ФСБ по данному вопросу.

Некоторые мессенджеры, например WhatsApp и Telegram, заблокированы в Китае.

• Корпоративные мессенджеры не подвержены риску блокировки, так как их не касаются законы для публичных мессенджеров. Кроме того, корпоративные мессенджеры в отличие от публичных не являются ОРИ.

4. Анонимность

• Большинство публичных мессенджеров не анонимны.

Третьи лица могут идентифицировать пользователя мессенджера по номеру телефона или другим персональным данным. Это открывает широкие возможности для кибератак, включая фальсификацию телефонного номера.

Политика публичных мессенджеров по отношению к данным и метаданным пользователей непрозрачна, а ведь именно по ним пользователя в большинстве случаев можно идентифицировать.

В качестве примеров можно привести все тот же WhatsApp, который отправляет пользовательские данные в Facebook, а также случай с Эриком Шмидтом (CEO Google в то время), который в 2005 году объявил бойкот CNET после того, как CNET опубликовал его персональные данные, найденные при помощи поиска Google.

• Корпоративные мессенджеры полностью анонимны.

Пользователям не нужно вводить ни номер телефона, ни другие персональные данные. Они всегда могут изменить свое отображаемое в мессенджере имя, а политику анонимности можно настроить на работу с отключением функций отслеживания любых персональных данных, таких как IP- и MAC-адрес, геолокация, тип и модель мобильного устройства и его операционной системы.

5. Защита при утрате мобильного устройства

• Многие публичные мессенджеры сохраняют данные на устройствах пользователей. Если эти устройства попадают в чужие руки, то данные в мессенджерах могут прочитать третьи лица.
• Корпоративные мессенджеры, как правило, не хранят никакую информацию на устройствах пользователей либо хранят минимальное количество данных в специально зашифрованной области — криптоконтейнере, доступ к которому не возможен без ключа шифрования пользователя. При попадании мобильного устройства в чужие руки никакие данные не смогут быть прочитаны.

В ноябре 2018 года зарубежные СМИ сообщили, что владелец футбольного клуба «Монако», российский миллиардер Дмитрий Рыболовлев стал фигурантом дела о мошенничестве. Компрометирующий материал был найден в текстовых сообщениях на телефоне его адвоката.

6. Сквозное шифрование

Приватность, а в частности технология сквозного шифрования (end-to-еnd еncryption — способ передачи данных, в котором только пользователи, участвующие в общении, имеют доступ к сообщениям), заставила пользователей по-новому взглянуть на защиту своих данных и пересмотреть свое отношение к защищенности или приватности мессенджеров в целом.

• В публичных мессенджерах надежность шифрования и политика в отношении ключей шифрования полностью определяется владельцем мессенджера, а не пользователем, а объективная проверка способности криптографического алгоритма противостоять возможным атакам невозможна.
• В большинстве корпоративных мессенджеров используется надежное E2EE-шифрование сообщений, голоса и файлов. При этом пользователю доступен полный контроль над мессенджером на уровне сервера и трафика.

В заключение хотелось бы сказать: если ваша задача — обеспечить конфиденциальную коммуникацию с высокой степенью защиты и безопасности от внешних воздействий и рисков, то, на мой взгляд, выбор однозначно должен быть сделан в пользу корпоративных мессенджеров. Ни один из существующих современных публичных мессенджеров не сможет обеспечить такой же защищенности и анонимности, как корпоративный.

Взято из источника: РБК Pro