 |
Общение на удаленке: как выбрать связь, чтобы вас не взломали
Точно так же, как нет "лучшего" автомобиля, не существует и лучшей платформы для совместных видеоконференций. Прежде, чем принимать решение, какие сервисы использовать в своей организации, необходимо учесть некоторые советы по безопасности и конфиденциальности. Ваши сотрудники также могут получать запросы от деловых партнеров присоединиться к используемым ими сервисам, поэтому будет хорошей идеей не только обезопасить себя, но и дать рекомендации другим пользователям и компаниям.
С помощью реестра CASB решения MVISION Cloud мы оценили более 250 различных сервисов онлайн-конференций. Часть из них предлагает видеоконференцию лишь как одну из функций, но всё же выбор остается довольно широким.
Эта статья не расскажет про функциональность разных платформ — существует уже множество подобных сравнений, вместо этого здесь мы сосредоточимся на полезной информации с точки зрения безопасности. Никогда нельзя быть уверенным, что разговор, будь то вживую или онлайн, не может быть кем-то подслушан.
С какими проблемами может столкнуться компания? Конечно, следует исходить из конфиденциальности данных вашего бизнеса и того, какой информацией делятся сотрудники во время видеозвонков.
Запись. Многие приложения позволяют делать запись прямо во время разговора. Некоторые предупреждают об этом участников. Независимо от уровня безопасности приложения, напомните пользователям, что любой, кто подключен к видеозаписи, может записывать звук или экран за пределами приложения. Поэтому все разговоры следует вести исходя из того, что беседа не может быть полностью конфиденциальна. Кроме того, обратите внимание, что у каждого приложения свои правила и условия. Некоторые из них могут даже не запрашивать согласие на запись разговора. Посоветуйте сотрудникам для начала проконсультироваться с юристами, но еще лучше — каждый раз предупреждать о записи всех участников до начала разговора.
Регистрация. С одной стороны, вы можете зарегистрироваться в системе, чтобы в будущем упростить работу с сервисом. С другой, важно убедиться, что облачный сервис не потеряет эти данные в случае взлома. Здесь выбор стоит за вами.
Обмен данными. Не все сервисы поддерживают полноценную видеосвязь. Вы можете выбрать сервисы, которые позволяют только голосовую передачу данных и документов, или поддерживают только одностороннюю видеосвязь, как, например, в рамках учебных платформ.
Право интеллектуальной собственности. Удивительно, что существуют сервисы, которые пытаются претендовать на интеллектуальную собственность своих пользователей. С недавнего времени после внимательного изучения такие лицензионные соглашения были изменены, а подобные пункты удалены. Но всё же обязательно читайте то, что написано мелким шрифтом в договоре!
Шифрование. Отдавайте предпочтение тем службам, где используется шифрование данных, чтобы гарантировать защиту передачи информации. При этом стоит обращать внимание и на методы шифрования (протоколы SSL, TLS и др.).
Конфиденциальность. Использует ли сервис данные пользователя только в рамках своей платформы или делится информацией с третьей стороной (некоторые предоставляют данные компаниям-партнерам, например, Facebook, Google)?
Вы можете отдавать предпочтение одному сервису, однако не факт, что он будет соответствовать всем вашим требованиям. Возможно, для важных внутренних обсуждений подходит одна платформа, а для совещаний всей командой и общения с клиентами — другая.
Чтобы правильно выбрать сервис, мы рекомендуем оценить каждый из них по нижеприведенным критериям и определить, какие функции и характеристики для вас приоритетнее. Для этого можно воспользоваться CASB решением MVISION Cloud или другим сервисом: просто выбирайте нужные критерии и сравнивайте между собой различные платформы.
Ниже мы прописали, на что обратить внимание.
Есть ли у сервиса:
• Шифрование данных при передаче (да/нет и методология протоколов SSL, TLS)
• Шифрование данных, хранящихся на сервере (например, записи) и надежность ключа
• Разрешение шифрования с использованием собственных ключей
• Возможность анонимного использования
• Поддержка многофакторной аутентификации
• Федеративный обмен идентификаторами (например, SAML & OAUTH) для интеграции с вашими системами аутентификации
• Учетная запись администратора, пользователя и доступ к данным
• Информация о размещении (если вас беспокоит, в какой стране хранятся данные)
• Уязвимости, такие как Freak, Poodle или Heartbleed
Что делает сервис:
• Публикует результаты теста на проникновение
• Использует защиту своих опубликованных приложений (WAFirewalls)
• Подтверждает сертификаты соответствия (ISO27018, SOC2 и т.д.).
• Публикует системные отчеты и информацию о времени работы
Были ли на сервисе:
• Известные случаи злонамеренного использования сервиса
• Успешные атаки и утечки данных
• Опубликованные уязвимости в базе данных общеизвестных уязвимостей (CVE)
• Утечки данных в Darknet
А также:
• Политика конфиденциальности (возможна ли передача данных третьим лицам)
• Управление политиками IP
• Под ведомством юрисдикции какой страны
• Расположение головного офиса
• Рейтинг риска для GDPR, CCPA или других нормативных актов
После того, как вы примете решение об использовании конкретного сервиса для своей организации, свяжитесь с сотрудниками и деловыми партнерами и рассмотрите с ними возможность блокировки тех услуг, которым не доверяете. Это может быть достигнуто с помощью CASB для облачных вычислений и замкнутой цепи исправлений путем интеграции с возможностями вашего прокси-сервера, сетевого экрана и прокси-серверов конечных точек. Можно сделать публикации на сайте с рекомендованными сервисами, чтобы пользователи обращались напрямую к проверенным вами источникам.
Мир быстро меняется, как и многие сервисы, которые в данный период находятся под пристальным вниманием. Сегодня важно быть в курсе новостей — за последние несколько дней было много случаев, когда эксперты пересматривали политику конфиденциальности сервисов и лицензионные соглашения с конечными пользователями, или обнаруживали уязвимости в приложениях и сервисах. Разработчики регулярно выпускают обновленные версии, и сотрудникам следует поддерживать приложения в актуальном состоянии, чтобы свести к минимуму угрозы.
Наконец, очевидный совет в плане безопасности — не делиться скриншотами видеоконференций в социальных сетях — злоумышленники могут узнать имена пользователей или уникальный ID совещаний. Если это постоянный идентификатор, то с его помощью они способны проникнуть на собрание в будущем.
Контактное лицо: Баранхеева Александра
Компания: McAfee
Добавлен: 19:07, 27.04.2020
Количество просмотров: 410
Страна: Россия
| «ДиалогНаука» – золотой партнер компании «Киберпротект», АО ДиалогНаука, 17:35, 28.04.2025, Россия254 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, по итогам 2024 года стала «Золотым партнёром» компании «Киберпротект», российского разработчика ПО для защиты данных, резервного копирования и восстановления виртуальных, физических и облачных сред. |
| «ДиалогНаука» и Xello: итоги участия в CISO FORUM 2025, АО ДиалогНаука, 22:27, 23.04.2025, Россия111 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, и компания Xello, разработчик первой российской платформы класса DDP, приняли участие в CISO FORUM 2025. Мероприятие состоялось 10 апреля 2025 года в Loft Hall в Москве и вызвало большой интерес профессионального сообщества. |
| «ДиалогНаука» совместно с Xello участвует в CISO FORUM 2025, АО ДиалогНаука, 20:42, 09.04.2025, Россия119 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, и компания Xello, разработчик первой российской платформы класса DDP, совместно участвуют в Межотраслевом Форуме «CISO FORUM 2025». Мероприятие пройдет 10 апреля 2025 года в Loft Hall в Москве. |
| «ДиалогНаука» участвует в конференции «Цифровая устойчивость промышленных систем», ДиалогНаука, 21:14, 26.02.2025, Россия277 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, участвует в ежегодной конференции «Цифровая устойчивость промышленных систем» (ЦУПС-2025). Мероприятие пройдет 27–28 февраля 2025 года в Москве в Центре событий РБК. «ДиалогНаука» представит экспозицию, посвященную собственным услугам в области информационной безопасности, а также решениям «Лаборатории Касперского». |
| «ДиалогНаука» и Вебмониторэкс заключили соглашение о сотрудничестве, ДиалогНаука, 17:08, 20.02.2025, Россия216 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, и Вебмониторэкс, российский разработчик платформы для защиты веб-приложений, микросервисов и API от атак, заключили договор о партнерстве. Одним из основных направлений в рамках партнерства будет использование решения «ПроWAF» в рамках комплексных проектов для корпоративных заказчиков интегратора. |
| «ДиалогНаука» – участник Уральского форума «Кибербезопасность в финансах», ДиалогНаука, 17:35, 20.02.2025, Россия195 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, примет участие в Уральском форуме «Кибербезопасность в финансах», который пройдет 19–21 февраля 2025 года в конгресс-центре МТС Life Холл в Екатеринбурге. Эксперт «ДиалогНауки» выступит докладчиком в тематическом блоке «Кибераудит в эпоху цифровизации». |
| STEP LOGIC внедрил Kaspersky SD-WAN в сети крупного холдинга, STEP LOGIC, 17:27, 20.02.2025, Россия161 |
| STEP LOGIC завершил проект по внедрению SD-WAN от «Лаборатории Касперского» в инфраструктуру крупного российского холдинга. Благодаря решению заказчик объединил филиалы в единую защищенную сеть и сократил сроки запуска новых ИТ-сервисов. |
| «ДиалогНаука» и AppSec Solutions заключили соглашение о сотрудничестве, ДиалогНаука, 13:28, 19.02.2025, Россия200 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, и AppSec Solutions, российский разработчик решений в области DevSecOps, подписали соглашение о сотрудничестве. Интегратор будет использовать решения AppSec Solutions в рамках комплексных проектов для корпоративных заказчиков. |
| «ДиалогНаука» подтвердила свой статус Approved Scanning Vendor, АО ДиалогНаука, 04:06, 17.11.2024, Россия354 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, подтвердила свой статус Approved Scanning Vendor (ASV) по стандарту безопасности данных в индустрии платежных карт PCI DSS. Интегратор успешно выполнил все требования программы PCI Scanning Vendor Program. |
|
|
