Сотрудников бьют по рукам
Госкорпорации и российские ведомства пытаются отучить своих сотрудников от сервисов Google, пишут «Ведомости» со ссылкой на собеседников в ИТ-компаниях. Для этих целей закупаются корпоративные VPN-сервисы, сетевые шлюзы и межсетевые экраны, которые блокируют доступ к Google Drive и Google Docs. В 2022 г. спрос на сервисы и аппаратно программные комплексы такого рода серьезно вырос – об этом изданию сообщили представители Softline и «Код безопасности».
Шлюзы и сетевые экраны способны заблокировать доступ к зарубежным сервисам для сотрудников. Также VPN помогает создать защищенный тоннель для обмена данными между корпоративными пользователями.
Не менее популярны стали и российские VDR-решения, представляющие собой защищенный аналог Google Drivе – они позволяют обмениваться документами в корпоративном хранилище.
Минцифры рекомендовало российским чиновникам перейти на российские сервисы еще в апреле 2022 года
Представители «Ростелекома» и «Ростеха» сообщили изданию, что подавляющее большинство крупных государственных компаний запрещает корпоративное использование сервисов Google Docs и Google Drive в рабочих целях. Для служебных коммуникаций рекомендуют использовать российские сервисы – в компаниях не уточнили, с какого года начали придерживаться этой стратегии.
Представители ВТБ, «Роскосмоса» и «Ростеха» подтвердили, что с их служебных рабочих мест в принципе невозможно воспользоваться сервисами Google. Если сотрудники работают со своих гаджетов, на них они также должны предварительно установить VPN, блокирующий доступ к сторонним сервисам.
Лазейки есть
Собеседники «Ведомостей» в одной из отечественных ИТ-компаний отмечают, что сотрудники ухитряются обходить все запреты. Поэтому руководство компаний, типа «Ростелекома» и «Сбербанка» уже не раз обновляло внутренние ограничения на их использование.
Так, в одной из организаций в сфере информационной безопасности вынесли уже несколько таких распоряжений, в том числе рассылка поступала от ФСТЭК, Минцифры и ФСБ. Но ни официальные запреты, ни рекомендации не работают – причем ситуация в госорганах, даже тех, кто обладает критической информационной инфраструктурой, аналогичная.
«Как компании, так и госорганы продолжают использовать иностранный сервис во внутренних коммуникациях», – резюмировал собеседник.
В беседе с CNews Михаил Сергеев, ведущий инженер Corpsoft24 объяснил, чем чревато для компаний с КИИ использование Google Drive и Google Docs. Безопасность данных, по его словам, под угрозой: данные, хранящиеся в Google Drive и Google Docs, хранятся в облаке, что может повлечь за собой увеличение риска взлома или несанкционированного доступа. Также возможно утечка информации: если учетные данные пользователя или учетные данные доступа к облачным хранилищам утекают, это может привести к несанкционированному доступу к конфиденциальным данным.
Еще один риск, говорит эксперт, это ограничение управления: при использовании удаленных хранилищ данных, таких как Google Drive и Google Docs, компания может потерять некоторый уровень контроля над своими данными.
«В целом, компаниям с КИИ рекомендуется выбирать более защищенные решения для хранения и управления данными, такие как внутренние серверы, защищенные хранилища данных или использование специальных сервисов для управления данными, которые обеспечивают высокий уровень конфиденциальности и безопасности, – заметил Сергеев. – Однако если компания решает использовать Google Drive или Google Docs, то необходимо следовать ряду правил и рекомендаций по безопасности, таких как создание сложных паролей, ограничение доступа к данным, использование защищенных соединений и т.д».
В разговоре с CNews Марат Цихмистров, руководитель направления консалтинга по информационной безопасности Innostage подтверждает, что хранение информации, например, документов, переписки, планов, аудио- и видеозаписей, вне периметра компании – не очень хорошая идея по нескольким причинам. Во-первых, из-за конфиденциальности данных. Провайдеры подобных сервисов автоматически, иногда вручную, просматривают, анализируют и используют данные своих пользователей, отмечает эксперт.
«Из наиболее громких инцидентов можно вспомнить, например, просмотр Google почты втайне от их владельцев, – сказал Цихмистров. – Нарушение конфиденциальности критично для организаций, стран или наднациональных объединений. Во-вторых, хищение информации. Компании, которые предоставляют сервисы хранения или обработки информации, подвержены кибератакам и взломам ничуть не меньше банков или СМИ. У киберпреступников давно в ходу кража информации, с помощью которой они могут заниматься вымогательством. Среди недавних примеров – взломы Riot Games и Rockstar. А огласка данных пользователей и переписок в результате взлома службы знакомств Ashley Madison привела к разводам и даже суицидам».
В-третьих, может иметь место неавторизованный доступ. Некорректная авторизационная модель сервиса или небрежность пользователя может привести к неправильной конфигурации прав доступа к данным. Как результат, информация открыта для широкого круга пользователей или даже всего интернета.
Рекомендация была в апреле
Напомним, весной 2022 г. Минцифры разослал сотрудникам российских госорганов письмо, в котором предложило перечень рекомендованных отечественных сервисов. На замену Zoom, Microsoft Teams и Skype – «Сферум», «Звонки Mail.ru», «Видеозвонки VK», «Яндекс.телемост», «Вебинар.ру», решения TrueConf, IVA Technologies. Сервисы «Google документы», «Google таблицы» и «Google презентации» рекомендовали заместить решениями «Моего офиса», «Р7-офиса», продуктом «Яндекс 360». Зарубежную почту Gmail и Microsoft Outlook — почтой Mail.ru и «Моего офиса».
Также Минцифры потребовало от федеральных органов исполнительной власти и органов исполнительной власти субъектов удалить из страниц своих сайтов весь код JavaScript, загружаемый с иностранных ресурсов.
В октябре 2022 г. CNews писал о том, что региональные госсайты все еще используют зарубежные сервисы. Каждый второй сайт органов власти на местах базируется на сервисах Google.