Skype. Теперь и для бизнеса

Skype считается едва ли не самым защищенным средством сетевых коммуникаций благодаря встроенной подсистеме шифрования трафика и распределенной структуре Skype-сети.

Все под контролем?

В этих условиях нельзя не считаться и с обратной стороной медали: неконтролируемое использование Skype, как и любого другого средства коммуникации, может дать как положительный бизнес-эффект, так и существенные убытки. Попросту говоря, Skype является одним из потенциальных каналов утечки корпоративных и персональных данных, причем стоит среди них особняком. Если другие средства коммуникации (электронная почта, IM-сервисы, социальные сети) используются достаточно давно, и для предотвращения и мониторинга утечек информации по этим каналам рынок предлагает множество различных решений, то со Skype все несколько сложнее. Не случайно в последнее время в индустрии IT-безопасности отмечается большой интерес к поиску путей обеспечения безопасности использования Skype в корпоративных средах.

А если запретить?

Существует распространенное заблуждение, что мониторинг информации, передаваемой по Skype, равно как и избирательный контроль использования самого сервиса отдельными пользователями, невозможен или чрезмерно дорог в связи с высокой степенью защищенности этого канала коммуникаций от прослушивания и перехвата. Действительно, если перехватывать Skype-трафик в глобальной сети (на уровне корпоративных серверов и сетевых шлюзов), то его перехват и последующая расшифровка будут весьма непростым делом, если вообще возможным. Можно глобально запретить использование Skype в корпоративной сети — но как это будет сочетаться с требованиями бизнеса, когда Skype является одним из бизнес-инструментов? Это означает, что серверные DLP-решения не способны предоставить службам ИБ требуемую гибкость, сочетающую возможность использования Skype в рабочих целях отдельными сотрудниками или группами, и предотвращение или хотя бы мониторинг утечек данных через этот канал, если передаваемая информация не соответствует корпоративной политике информационной безопасности. Кроме того, глобальный запрет Skype на корпоративном сетевом уровне повлечет поиск сотрудниками других средств для обмена мгновенными сообщениями и VoIP-коммуникаций, а значит, потребуются новые решения для обеспечения информационной безопасности.

DeviceLock 7.2 Endpoint DLP Suite

Существует только один способ создать решение, позволяющее обеспечить выборочный контроль коммуникаций в Skype и оперативный мониторинг передаваемой информации с возможностью предотвращения передачи недопустимых данных. Это контроль голосовой и текстовой информации, вводимой пользователем Skype на своем компьютере и передаваемых через Skype файлов посредством устанавливаемых на рабочих станциях сотрудников исполняемых агентов, перехватывающих чат, передачу файлов, голосовой и видео-трафик непосредственно в самом клиенте Skype.

Именно таким решением является программный комплекс российской разработки DeviceLock 7.2 Endpoint DLP Suite. С помощью DeviceLock служба информационной безопасности может реализовать различные сценарии противодействия утечкам корпоративных данных через Skype — от тотального запрета его использования до пассивного режима, когда ведется только мониторинг передаваемых данных и их сохранение для последующего анализа службой ИБ. Между этими крайностями — любые сочетания контроля и мониторинга, включающие выборочное разрешение или блокировку чатов и передачи файлов в Skype, разрешение или запрещение голосовых и видеоконференций между пользователями, в том числе с указанием возможных или недопустимых участников разговора и т.д.

Гранулированный контроль

Программный комплекс DeviceLock 7.2 Endpoint DLP Suite позволяет задавать гибкие DLP-политики, обеспечивающие различные методы контроля для исходящих сообщений и передачи файлов через Skype. Содержимое исходящих сообщений в чате Skype и передаваемых файлов анализируется в режиме реального времени на предмет соответствия корпоративным DLP-политикам. При выявлении нарушения политик попытка звонка, передача исходящего мгновенного сообщения или файла будут заблокированы, а администратору DeviceLock будет отправлено тревожное сообщение (алерт) по электронной почте или на SNMP-сервер. Записи аудита и теневые копии переданных и принятых сообщений и файлов хранятся в централизованной базе данных для последующего криминалистического анализа сотрудниками службы ИБ.

Предоставляемая DeviceLock возможность обеспечить гранулированный контроль Skype открывает организациям путь для разрешения своим сотрудникам использовать Skype в целях повышения эффективности работы, но делать это безопасно для компании. Благодаря DeviceLock службы ИБ могут задавать гибкие и надежные DLP-политики, позволяющие сотрудникам пользоваться Skype вместо того, чтобы глобально запрещать этот важный для бизнеса инструмент коммуникаций.

Безусловно, в списке каналов сетевых коммуникаций, по которым может происходить утечка информации, Skype совсем не одинок. Электронная почта для бизнеса, почтовые веб-сервисы, службы мгновенных сообщений, социальные сети и форумы, облачные файловые хранилища, FTP-серверы — все эти блага Интернета могут в любой момент оказаться каналом утечки корпоративной информации, разглашение которой может быть нежелательным или даже опасным для бизнеса. Не стоит сбрасывать со счетов и традиционные локальные каналы — устройства и интерфейсы передачи данных. И неважно, умышленной была утечка или непреднамеренной — эти факторы не освобождают бизнес ни от ответственности за утечку, ни от убытков и упущенных возможностей.

Ни одной инсайдерской утечки

Комплекс DeviceLock 7.2 обеспечивает всеобъемлющий контроль сетевых и локальных коммуникаций с корпоративных компьютеров, что позволяет предотвращать инсайдерские утечки данных через различные сетевые сервисы, устройства и интерфейсы. Более того, функциональные возможности DeviceLock также расширяют область контроля над утечками для решений, построенных в модели BYOD и основанных на использовании виртуальных рабочих сред и виртуализации приложений.

По материалам каталога программных решений Softline direct.

Как решение корпоративного класса «Skype для бизнеса» должен осуществлять поддержку рабочего процесса и обеспечивать безопасность информации, передаваемой или обрабатываемой с его помощью.

Безопасность поддерживается как чисто техническими средствами, например шифрованием трафика и данных на мобильных пользовательских устройствах, так и организационными. Например, «Skype для бизнеса» дает возможность удостовериться, что вы обсуждаете рабочие вопросы именно с тем сотрудником, с которым хотите, а не с его тезкой. Добавление внешних контактов и процесс общения с ними протоколируется службой безопасности.

Видеосредства «Skype для бизнеса» позволяют нескольким сотрудникам в реальном времени работать над одним экземпляром документа, вносить в него правки, согласовывать текст и т.д. При этом решение «помнит» статус документов и пресекает несанкционированные действия, например их открытие или изменение сотрудниками, не имеющими соответствующих прав.

Возможности конференц-связи «Skype для бизнеса» (в том числе использование видеосигнала высокой четкости) позволяют проводить конференции (до 250 сотрудников в облачной версии, до тысячи — при наличии выделенных серверов), совещания и обучающие семинары, экономя тем самым на командировках.

И, разумеется, из «Skype для бизнеса» можно совершать голосовые звонки как на клиент-программы, так и на обычный телефон. Решение может «внутри себя» пропустить звонок в другой город или (если законодательство позволяет) в другую страну и там перевести его в телефонные сети общего пользования. Это также способствует значительной экономии.

Источники