Лайфхак для руководителей: как сохранять и поддерживать безопасность данных в облачной телефонии

<p><strong>За последний год на рынке облачных технологий фиксируют серьезный рост клиентского интереса к информационной безопасности – особенно среди крупного и среднего бизнеса. Сергей Борисов, заместитель генерального директора по информационной безопасности компании MANGO OFFICE, рассказал, как компании выбрать защищенное решение, и как вендоры в области коммуникаций отвечают на современные технологические вызовы.</strong></p> <h3>От адаптации - к оптимизации</h3> <p>По данным Bloomberg, в целом капитальные затраты российского бизнеса за прошлый год не снизились, а даже выросли на 6%. Компаниям пришлось выстраивать новые логистические цепочки и переходить на новые рынки сбыта.</p> <p>Однако подходы российского бизнеса к хранению и передаче данных переживают стадию трансформации. Уход иностранных вендоров такого ПО, зачастую работавших по модели "on premise", стал дополнительным стимулом для компаний задуматься об оптимизации своей инфраструктуры. В частности, бизнесмены стремятся сократить объем инвестиций без потери эффективности или защищенности. Решением для таких предприятий становятся облачные сервисы – они позволяют снизить капитальные расходы на закупку оборудования и серверных мощностей, переложив эту нагрузку на компанию-поставщика. По данным опроса Selectel, именно такая мотивация стала основным драйвером перехода "в облака". Компаний, которые готовы перестроить свою работу, чтобы меньше тратить, — 35,5%.</p> <p>За счет этого в 2022 году, как выяснили iKS-Consulting, объем услуг российских облачных сервисов по подписке (IaaS) уже вырос почти в полтора раза. И мы ожидаем, что позитивный тренд сохранится и в 2023 году.</p> <h3>Безопасность в приоритете</h3> <p>С притоком клиентов из среднего и крупного сегментов, мы как вендоры облачного ПО, стали гораздо чаще фиксировать запросы о защите и сохранности конфиденциальной информации.</p> <p>По данным Positive Technologies, даже в 4 квартале прошлого года – когда основная волна кибератак на российские компании уже схлынула – число попыток украсть у бизнеса персональные данные клиентов или коммерческую тайну, а также скомпрометировать его работу, было на 15% выше, чем в 2021 году. Последствия утечек информации действительно могут быть серьезными: разрушенные логистические цепочки, утрата доверия клиентов и крупные штрафы. При этом власти ужесточают ответственность за такие инциденты: сейчас за крупное нарушение компания может заплатить до 500 тыс. рублей, а к лету верхний предел <a href="https://www.kommersant.ru/doc/5747151">может</a> вырасти до 500 млн рублей.<br /> <br /> Для крупных компаний, например, госучреждений, больниц или части предприятий промышленного сектора, рынок облачных решений разработал гибридные варианты. К примеру, мы как поставщики решений для коммуникаций предлагаем клиентам хранить все персональные данные и записи звонков в контуре клиента, а на наших серверах оставлять только зашифрованный телефонный трафик.</p> <p>При этом у руководителей небольших и средних структур чаще всего нет потребности разворачивать такую сложную инфраструктуру. Для них мы подготовили несколько советов, как сформировать безопасные подходы к хранению данных в облачных структурах.</p> <h3>Из CapEx – в OpEx</h3> <p>По данным исследований, в первую очередь среди мошенников популярны методы социальной инженерии – то есть проникновения не за счет технических уязвимостей, а за счет манипуляций работниками компаний. Это значит, что основной точкой внимания руководителя станет подготовка штатных сотрудников и защита их аккаунтов.<br /> <br /> Теоретически для этого компания может сформировать целое специальное IT-подразделение, которое займется разработкой специальных защит и инструктированием остальных сотрудников. Однако, как отмечают специалисты Selectel, сделать это может быть непросто. В современной ситуации расширение IT-отделов требует от бизнеса серьезных капитальных затрат: на закупку железа, на доступ к специализированному ПО и, самое главное, на найм квалифицированных специалистов в условиях кадрового голода.<br /> <br /> Так что лайфхаком в этом случае станет перевод капитальных затрат в операционные: приобрести уже готовые надежные инструменты можно у сторонних разработчиков. Многие вендоры ПО предлагают своим клиентам дополнительные пакеты с особым акцентом на безопасности – и для их освоения не потребуется создавать специальный отдел.</p> <h3>Что защитит доступ сотрудника</h3> <p>Как разработчики ПО для облачных коммуникаций, мы видим, что зачастую злоумышленники охотятся не только за непосредственно персональными данными, но даже и за доступом к самому ресурсу продвинутой телефонии. Дело в том, что зачастую спам-звонки совершаются со "странных", как будто бы официальных номеров. Чтобы получить доступ к таким номерам, злоумышленники подключаются к учетным записям SIP и начинают совершать массовые звонки.</p> <p>Хорошая новость в том, что разработчики уже нашли эффективные инструменты, которые могут защитить их клиентов. Так, по нашему опыту, защитить аккаунты сотрудников – и персональные данные, с которыми они работают – могут настройка сложности и срока жизни паролей, а также двухфакторная авторизация. Здесь рынок облачных технологий следует за общерыночным трендом: чем выше требования к паролям и чем чаще они меняются, тем ниже риск взлома. А двухэтапное подтверждение личности, где человек вводит еще и уникальный одноразовый код, позволяет защититься даже от самых изобретательных хакеров.</p> <p>Дополнительно вендор может предложить клиенту возможность фиксировать и структурировать информацию о работе системы – то есть вести логирование событий безопасности. Изучать такие журналы компания может сама – обычно этим занимается системный администратор, сотрудник безопасности – или поручить отслеживание логов специализированному партнеру. Логи позволяют вовремя зафиксировать подозрительную активность или уже после инцидента разобраться, в чем была его причина, и как не допускать подобных ситуаций впредь.</p> <p>Наконец, помочь решить проблему могут черные и белые списки IP адресов. За счет этого инструмента мы даем клиенту возможность всего один раз обозначить, какие устройства смогут подсоединиться к системе, и не опасаться о проникновениях извне.</p> <p>Мы в Mango Office постоянно следим мировыми рыночными трендами и потребностями конкретно российских клиентов. Так что мы уже разработали и готовим к релизу новое пакетное решение, которое позволит пользователям нашей <strong><a href=" https://www.mango-office.ru/products/virtualnaya_ats/?utm_source=comnews&amp;utm_medium=prpub&amp;utm_campaign=vats_infobez">Виртуальной АТС</a></strong> совмещать несколько инструментов и настраивать защиту звонков под конкретные потребности компании.</p> <h3>Этика ответственного разработчика</h3> <p>Впрочем, в сфере безопасности важна и работа над техническими уязвимостями, то есть работа на стороне разработчика. Предлагая компаниям размещать данные на своих публичных серверах, вендоры облачного ПО стремятся сделать продукт безопасным и отказоустойчивым.</p> <p>С одной стороны, защищенности продукта позволяет добиться так называемый подход DevSecOps – то есть организация разработки с помощью небольших итераций. За счет этого можно не только быстро создавать жизнеспособный сервис, но и заранее заботиться об устранении уязвимостей кода.</p> <p>С другой стороны, защищенность системы должна обеспечиваться и в ходе эксплуатации. Технологий, дающих эшелонированную защиту и предотвращающих привычные и неизвестные атаки (которые также называют атаки Zero day), на рынке существует несколько. Например, антифрод системы: они позволяют автоматически блокировать подозрительные операции. Совсем недавно, к слову, на рынке появились инструменты, которые с помощью искусственного интеллекта анализируют поведение пользователей и таким образом вычисляют подозрительную активность.</p> <p>При этом ответственные игроки редко полагаются только на один метод защиты. Практический пример на нашем опыте. Чтобы защищать звонки и данные наших клиентов, мы сформировали микс из технологий. В ежедневной работе Виртуальной АТС мы применяем современные системы фаерволов, которые предотвращают разного типа атаки, как на уровне приложений, так и включая DDoS-атаки. Вдобавок, мы регулярно заказываем внешнее тестирование: специальные компании имитируют атаки и проверяют наш продукт на проникновение. Это помогает нам всегда действовать на опережение и укреплять защиту до того, как возникнет атака.</p> <p>Опыт прошлого года показал: рынок отечественного облачного ПО, в том числе и телефонии, готов предложить не просто аналоги западных решений, но и более современные, продвинутые продукты.</p> <p> </p>