ICQ в компании: вред или польза?

Системы обмена мгновенными сообщениями (IM), они же месенджеры (ICQ, Jabber, Miranda и т.д.), мало-помалу проникли в список систем корпоративных коммуникаций и прочно там прижились. Однако, если обеспечение безопасной работы в этой среде домашних пользователей — в руках самих пользователей, то бездумный перенос этих сервисов в корпоративную ИТ-инфраструктуру чреват последствиями. И чего здесь больше: вреда или пользы – вопрос открытый. Еще одной дилеммой является то, что польза, главным образом, достается сотрудникам, а вред – компании. Как найти компромисс?

Алексей Лукацкий, менеджер по развитию бизнеса Cisco Systems, считает: «Месенджеры, как и любая другая программа передачи сообщений, может быть использована и во благо, и во вред. Все зависит от целеполагания ее пользователей». Соглашается с коллегой и Кирилл Керценбаум, руководитель группы технических специалистов Symantec в России и СНГ: «Использование в компании IM исторически является одной из краеугольных тем информационной безопасности. Ответить четко, что данное средство обмена информацией является более полезным или более вредным, однозначно сложно».

Фактом является то, что при использовании сервисов IM для решения бизнес-задач, таких как, например, налаживание и поддержание эффективной и оперативной связи с поставщиками и заказчиками, польза IM является однозначной. А все издержки информационных рисков могут быть закрыты продуктами, которые предлагаются на рынке и позволяют контролировать и защищать этот канал передачи информации.

Эксперт дополняет: «Однако если IM сервисы используются абы как, бесконтрольно и в большей степени для удовлетворения личных потребностей сотрудников в общении, то они могут стать большой угрозой для компании. Это — с сточки зрения ИБ. Но и о социальной значимости IM также не стоит забывать! Что касается меня, то я сделал вывод о том, что положительных свойств у IM больше, Но они добавляют лишнюю головную боль по защите еще одной довольно уязвимой точки – и об этом должны всегда помнить пользователи».

Алексей Лукацкий проводит аналогию: «Возможность получать по обычной электронной почте вирусы и спам – это не повод отказаться от этого полезнейшего бизнес-инструмента. То же и с месенджерами, которые, кстати, могут быть настроены на работу только внутри компании, без выхода за ее границы».

Но даже в этом случае существует немало способов контроля (а не запрета) того, как используется технология IM на предприятии. Опыт Cisco Systems доказывает, что весьма эффективно шифрование всей переписки, что защищает от перехвата. Дополнительно можно запретить передачу файлов, ограничившись только текстовыми сообщениями. Можно в автоматическом режиме просматривать IM-трафик в поисках конфиденциальной информации. Можно запустить собственные IM-сервера и сделать их точкой контроля. Можно фиксировать все переговоры по месенджерам…

«Вариантов и сценариев существует немало. Достаточно понять всю сложность и многогранность технологии, ее тонкие и слабые места и варианты защиты сами придут в голову», считает Алексей Лукацкий.

Конечно, не стоит превращать работу службы ИБ в паранойю. Пользователи должны понимать для чего это все делается. Как известно, помимо, политик безопасности, действующих внутри компании, существует целый набор нормативных актов, заставляющих бизнес минимизировать угрозы ИБ, и не только их. За невыполнение ряда из них, например, ФЗ РФ «О персональных данных» от 27 января 2007г., руководству компании грозит уголовное преследование (как крайний случай) за утечку приватных данных по любым каналам, в том числе посредством IM. Захочет ли ваш генеральный директор общаться с прокуратурой, и выделит дополнительный бюджет службы ИБ, или отключит «Аську»? В каждом конкретном случае ответ будет разным.

Есть и иные причины взять под контроль использование IM. Вот некоторые факты. О них говорит Владимир Ульянов, руководитель аналитического центра компании Perimetrix. «Как показывают результаты нашего свежего исследования "Инсайдерские угрозы 2009", популярность такого канала утечки как программы обмена мгновенными сообщениями, составляет примерно 13% от всех зафиксированных каналов. Примечательно, что доля IM даже снизилась по сравнению с предыдущим годом (17%). Впрочем, это вовсе не означает, что угроза утечки через IM нивелируется. Наоборот, компании и пользователи со всей ясностью отдают себе отчет в уровне опасности мессенжеров. Поэтому и предпочитают запретить использование IM в корпоративной среде. Сделать это технически гораздо проще, нежели фильтровать трафик аськи на предмет утечки конфиденциальных данных», считают специалисты Perimetrix.

Надо сказать, что и провайдеры услуг IM значительно «продвинулись» в своей ответственности перед пользователями. Например, Microsoft недавно объявила о партнерстве с пятью из шести наиболее популярных сайтов межличностного общения. В результате обмен контактами с различными службами Windows Live станет более безопасным. До заключения соответствующего соглашения обмен между службами был, как правило, основан на уязвимой технологии копирования с экрана.

Как вывод, любое ИТ средство безопасно, если оно выключено. Но в этом случае экономический эффект от него минимален. И наоборот: в промежуточных состояниях требуется индивидуальный подход к решению конкретных проблем. Практика подсказывает о возможности положительного решения использования корпоративных IM. Но не стоит забывать и о возможном ущербе, о котором говорилось выше.