Об авторе: Анна Кузякина, коммерческий директор платформы корпоративных коммуникаций DION.
После того как в 2022 году западные бренды ушли из России, увеличился спрос на платформы корпоративных коммуникаций от отечественных производителей. Доля российского ПО в госзакупках выросла до 87%. Отечественные системы более надежны и предоставляют техническую поддержку. На западном софте продолжают работать в первую очередь коммерческие организации без госучастия. Но их становится все меньше, потому что они осознают потенциальные риски санкций и отключения, с которыми могут столкнуться в любую минуту.
Зачем нужны платформы корпоративных коммуникаций
Платформа корпоративных коммуникаций — это единый интерфейс для общения внутри организации, а также между компанией и клиентами. Функциональность платформы шире, чем у любого отдельного канала связи.
Исторически сотрудники компаний пользовались телефонами для общения голосом, электронной почтой для переписки с клиентами и внутрикорпоративным чатом для общения с коллегами. Потом стало понятно, что на переключение между каналами уходит слишком много времени. Так возникла идея унифицированных коммуникаций — платформы, где все корпоративно приемлемые способы общения сотрудников были бы сведены воедино.
Популярность платформ корпоративных коммуникаций будет расти. Результаты исследований показывают, что они увеличивают прибыльность бизнеса на 20–30% и позволяют сэкономить до 8 млн руб. за счет отказа от других цифровых сервисов. Более 80% персонала отмечают рост эффективности коммуникаций и удаленной работы. Инвестиции в платформу окупаются в среднем за 6 месяцев.
Чем крупнее организация, тем сложнее у нее паттерны общения и тем выше требования к безопасности. Подобным компаниям не подойдет, например, Zoom. Хоть это и популярная платформа, она не соответствует многим требованиям корпоративной информационной безопасности, в частности не позволяет гибко настраивать уровни доступа сотрудников. Такая функция есть в Microsoft Teams, разработчик которой покинул российский рынок, оставив пользователей без техподдержки и возможности обновления системы.
Однако сейчас появляются отечественные платформы корпоративных коммуникаций, которые по функционалу способны частично или полностью заменить иностранные решения, к которым привыкли крупные игроки. К тому же российские разработчики лучше понимают рынок и в части киберугроз, предлагая решения с учетом требований со стороны информационной безопасности бизнеса.
К каким киберугрозам готовиться
Платформы корпоративных коммуникаций должны выявлять и предотвращать разные виды киберугроз. Например, почти все крупные организации подвергаются массовым DDoS-атакам. На сервер поступает лавина запросов от хакеров, и он теряет способность обрабатывать полезные запросы от пользователей. Если платформа коммуникаций прибегает к современным методам шифрования, использовать ее через приложение всегда безопаснее, чем подключаться через браузер. Не лишним будет и минимизировать вход через гостевые ссылки, особенно если у участника конференции в системе заведен аккаунт.
Еще одна разновидность рисков — попытка подслушать, подсмотреть или прочитать чужие разговоры. Чтобы ее предотвратить, применяют механизмы шифрования с использованием криптографических алгоритмов. Один из таких — алгоритм Диффи-Хеллмана — криптографический протокол, который позволяет сторонам выработать общий секретный ключ, используя не защищенный от прослушивания канал связи. Этот ключ используется для шифрования дальнейшего обмена с помощью алгоритмов симметричного шифрования.
Сегодня нетрудно перехватить переписку в мессенджерах, особенно по Wi-Fi из общественного места. Но чтобы расшифровать трафик, требуются огромные компьютерные ресурсы и много времени — несколько месяцев или даже лет. Задача сильно упростится, когда появится мощный квантовый компьютер, прототип которого уже существует. Это устройство сможет расшифровать данные за несколько часов. Чтобы предотвратить новую киберугрозу, разрабатывают алгоритмы постквантового шифрования. В 2023 году, например, ВКС-сервис DION в пилотном режиме интегрировал квантово-устойчивый VPN от QApp, основанный на криптографической библиотеке PQLR, которая содержит семь созданных в России алгоритмов постквантового шифрования.
Наконец, большой класс киберпреступлений — это кража чужой личности. Например, подбор пароля к аккаунту. Для этого уже разработано множество механизмов защиты, в частности мультифакторная аутентификация. Аутентификацию принято отдавать на исполнение во внешнюю систему, с которой платформа корпоративной связи должна интегрироваться.
Это далеко не полный список актуальных киберугроз. Хакеры постоянно изобретают новые уловки, а разработчики учатся их отражать.
Как защищать деловую информацию
Есть три способа реализации системы коммуникаций: облако, on-prem (от англ. on premise, то есть «локально») и гибрид. У каждого своя модель безопасности.
Клиенты часто воспринимают on-prem как наиболее безопасное решение. В этом случае на стороне клиента находится большинство настроек и рычагов управления платформой. Безопасность зависит от контура, выстроенного внутри организации, и от производителя, который создал для платформы механизмы шифрования, разделения данных и ролевых моделей.
В облаке на производителя накладывается намного больше требований по безопасности. Он отвечает не только за само решение, но и за значительную часть инфраструктуры. Разработчик должен обеспечить безопасность сертификации, проверку данных и доступа к ним, а также шифрование каналов. Команда DION активно изучает инновационные методы и подходы к облачной безопасности. Например, сейчас прорабатывается возможность шифрования данных ключом заказчика. При таком подходе ключ хранится у клиента, у него полный контроль над данными, информация проходит через наше облако, но мы не можем ее прочитать.
Гибридный формат предполагает, что самые ценные данные находятся на стороне клиента, но служебные сведения проходят через облако. Это очень перспективная модель. С одной стороны, для оператора платформы удобнее и быстрее развивать облачную часть. С другой стороны, клиент спокоен, так как важные сведения не покидают организацию.
Есть практики кибербезопасности, актуальные для всех трех сценариев. Например, можно запретить гостям платформы мониторить логи: так нельзя будет увидеть, кто из участников беседы присоединился к ней в какой момент времени. Есть системы контроля за утечками данных, которые не позволяют отправить в чате конфиденциальную информацию, такую как строки исходного кода или паспортные данные.
По данным Агентства инноваций Москвы, стартапы, малые и средние компании приобретают облачные решения по ежемесячной подписке. Представители бизнеса не готовы содержать собственную IT-архитектуру, для них важна гибкость решений. Крупные компании и корпорации выбирают on-prem платформы. Для них важно, чтобы стороннее ПО интегрировалось с действующими корпоративными IT-системами. Государственные компании, организации и ведомства, а также НКО тоже склоняются к on-prem, но при этом они ограничены требованиями импортозамещения и информационной безопасности.
Сможет ли российское ПО заменить иностранное
У российских производителей платформ корпоративных коммуникаций сохраняется доступ к зарубежным технологиям и компонентам, необходимым для разработки. В стране активно развиваются собственные направления по постквантовому шифрованию, созданию новых алгоритмов. Единственная проблема — дефицит времени, невозможность создать все, сразу и по высоким стандартам.
Ушедшие из России западные компании совершенствовали свои продукты очень долго. Например, Zoom начали разрабатывать еще в 2011 году и в течение нескольких лет планомерно развивали. У российских вендоров в 2022 году объем наработок был намного меньше. Пришлось начинать не с нуля, но с достаточно скромного уровня.
Многие клиенты понимают: невозможно за два года создать то, чему другие посвятили полжизни. Поэтому заказчики готовы получить в первую очередь базовый функционал в высоком качестве. Например, чтобы платформа не зависала во время звонков или чтобы в конференцию было легко добавить нового участника. Безопасность тоже относится к базовым требованиям. Со временем, когда основные функции будут реализованы в полном объеме, российские разработчики смогут поработать над возможностью добавлять виртуальную маску на лицо во время переговоров, чтобы выглядеть свежо и привлекательно.