31 марта 2023

Лайфхак для руководителей: как сохранять и поддерживать безопасность данных в облачной телефонии

За последний год на рынке облачных технологий фиксируют серьезный рост клиентского интереса к информационной безопасности - особенно среди крупного и среднего бизнеса. Сергей Борисов, заместитель генерального директора по информационной безопасности компании MANGO OFFICE, рассказал, как компании выбрать защищенное решение и как вендоры в области коммуникаций отвечают на современные технологические вызовы.

От адаптации - к оптимизации

По данным Bloomberg, в целом капитальные затраты российского бизнеса за прошлый год не снизились, а даже выросли на 6%. Компаниям пришлось выстраивать новые логистические цепочки и переходить на новые рынки сбыта.

Однако подходы российского бизнеса к хранению и передаче данных переживают стадию трансформации. Уход иностранных вендоров такого ПО, зачастую работавших по модели on premise, стал дополнительным стимулом для компаний задуматься об оптимизации своей инфраструктуры. В частности, бизнесмены стремятся сократить объем инвестиций без потери эффективности или защищенности. Решением для таких предприятий становятся облачные сервисы - они позволяют снизить капитальные расходы на закупку оборудования и серверных мощностей, переложив эту нагрузку на компанию-поставщика. По данным опроса Selectel, именно такая мотивация стала основным драйвером перехода в облака. Компаний, которые готовы перестроить свою работу, чтобы меньше тратить, - 35,5%.

За счет этого в 2022 году, как выяснили iKS-Consulting, объем услуг российских облачных сервисов по подписке (IaaS) уже вырос почти в полтора раза. И мы ожидаем, что позитивный тренд сохранится и в 2023 году.

Безопасность в приоритете

С притоком клиентов из среднего и крупного сегментов, мы как вендоры облачного ПО стали гораздо чаще фиксировать запросы о защите и сохранности конфиденциальной информации.

По данным Positive Technologies, даже в IV квартале прошлого года - когда основная волна кибератак на российские компании уже схлынула, - число попыток украсть у бизнеса персональные данные клиентов или коммерческую тайну, а также скомпрометировать его работу было на 15% выше, чем в 2021 году. Последствия утечек информации действительно могут быть серьезными: разрушенные логистические цепочки, утрата доверия клиентов и крупные штрафы. При этом власти ужесточают ответственность за такие инциденты: сейчас за крупное нарушение компания может заплатить до 500 тысяч рублей, а к лету верхний предел может вырасти до 500 млн рублей.

Для крупных организаций - например, госучреждений, больниц или части предприятий промышленного сектора рынок облачных решений разработал гибридные варианты. К примеру, мы как поставщики решений для коммуникаций предлагаем клиентам хранить все персональные данные и записи звонков в контуре клиента, а на наших серверах оставлять только зашифрованный телефонный трафик.

При этом у руководителей небольших и средних структур чаще всего нет потребности разворачивать такую сложную инфраструктуру. Для них мы подготовили несколько советов, как сформировать безопасные подходы к хранению данных в облачных структурах.

Из CapEx - в OpEx

По данным исследований, в первую очередь среди мошенников популярны методы социальной инженерии - то есть проникновения не за счет технических уязвимостей, а за счет манипуляций работниками компаний. Это значит, что основной точкой внимания руководителя станет подготовка штатных сотрудников и защита их аккаунтов.

Теоретически для этого компания может сформировать целое специальное IT-подразделение, которое займется разработкой специальных защит и инструктированием остальных сотрудников. Однако, как отмечают специалисты Selectel, сделать это может быть непросто. В современной ситуации расширение IT-отделов требует от бизнеса серьезных капитальных затрат: на закупку железа, на доступ к специализированному ПО и, самое главное, на наем квалифицированных специалистов в условиях кадрового голода.

Так что лайфхаком в этом случае станет перевод капитальных затрат в операционные: приобрести уже готовые надежные инструменты можно у сторонних разработчиков. Многие вендоры ПО предлагают своим клиентам дополнительные пакеты с особым акцентом на безопасности - и для их освоения не потребуется создавать специальный отдел.

Что защитит доступ сотрудника

Как разработчики ПО для облачных коммуникаций, мы видим, что зачастую злоумышленники охотятся не только за непосредственно персональными данными, но даже и за доступом к самому ресурсу продвинутой телефонии. Дело в том, что зачастую спам-звонки совершаются со "странных", как будто бы официальных номеров. Чтобы получить доступ к таким номерам, злоумышленники подключаются к учетным записям SIP и начинают совершать массовые звонки.

Хорошая новость в том, что разработчики уже нашли эффективные инструменты, которые могут защитить их клиентов. Так, по нашему опыту, защитить аккаунты сотрудников - и персональные данные, с которыми они работают, - может настройка сложности и срока жизни паролей, а также двухфакторная авторизация. Здесь рынок облачных технологий следует за общерыночным трендом: чем выше требования к паролям и чем чаще они меняются, тем ниже риск взлома. А двухэтапное подтверждение личности, где человек вводит еще и уникальный одноразовый код, позволяет защититься даже от самых изобретательных хакеров.

Дополнительно вендор может предложить клиенту возможность фиксировать и структурировать информацию о работе системы - то есть вести логирование событий безопасности. Изучать такие журналы компания может сама - обычно этим занимается системный администратор, сотрудник безопасности - или поручить отслеживание логов специализированному партнеру. Логи позволяют вовремя зафиксировать подозрительную активность или уже после инцидента разобраться, в чем была его причина и как не допускать подобных ситуаций впредь.

Наконец помочь решить проблему могут черные и белые списки IP-адресов. За счет этого инструмента мы даем клиенту возможность всего один раз обозначить, какие устройства смогут подсоединиться к системе, и не опасаться о проникновениях извне.

Мы в MANGO OFFICE постоянно следим за мировыми рыночными трендами и потребностями конкретно российских клиентов. Так что мы уже разработали и готовим к релизу новое пакетное решение, которое позволит пользователям нашей Виртуальной АТС совмещать несколько инструментов и настраивать защиту звонков под конкретные потребности компании.

Этика ответственного разработчика

Впрочем, в сфере безопасности важна и работа над техническими уязвимостями, то есть работа на стороне разработчика. Предлагая компаниям размещать данные на своих публичных серверах, вендоры облачного ПО стремятся сделать продукт безопасным и отказоустойчивым.

С одной стороны, защищенности продукта позволяет добиться так называемый подход DevSecOps - то есть организация разработки с помощью небольших итераций. За счет этого можно не только быстро создавать жизнеспособный сервис, но и заранее заботиться об устранении уязвимостей кода.

С другой стороны, защищенность системы должна обеспечиваться и в ходе эксплуатации. Технологий, дающих эшелонированную защиту и предотвращающих привычные и неизвестные атаки (которые также называют атаки Zero day), на рынке существует несколько. Например, антифрод-системы: они позволяют автоматически блокировать подозрительные операции. Совсем недавно, к слову, на рынке появились инструменты, которые с помощью искусственного интеллекта анализируют поведение пользователей и таким образом вычисляют подозрительную активность.

При этом ответственные игроки редко полагаются только на один метод защиты. Практический пример на нашем опыте. Чтобы защищать звонки и данные наших клиентов, мы сформировали микс из технологий. В ежедневной работе Виртуальной АТС мы применяем современные системы фаерволов, которые предотвращают разного типа атаки, как на уровне приложений, так и включая DDoS-атаки. Вдобавок мы регулярно заказываем внешнее тестирование: специальные компании имитируют атаки и проверяют наш продукт на проникновение. Это помогает нам всегда действовать на опережение и укреплять защиту до того, как возникнет атака.

Опыт прошлого года показал: рынок отечественного облачного ПО, в том числе и телефонии, готов предложить не просто аналоги западных решений, но и более современные, продвинутые продукты.


Источник:  https://www.comnews.ru/content/225144/2023-03-31/2023-w13/layfkhak-dlya-rukovoditeley-kak-sokhranyat-i-podderzhivat-bezopasnost-dannykh-oblachnoy-telefonii
К другим статьям