Мессенджеры стали настолько привычными, что заменили многим электронную почту. Однако для решения рабочих задач часто применяются мессенджеры общего пользования, которые привычны и удобны — но в то же время несут риски утечки конфиденциальных данных организации. Для максимальной безопасности нужен мессенджер корпоративный.
- Введение
- Корпоративный и публичный мессенджеры — в чем разница?
- Угрозы безопасности мессенджеров
- Что делает корпоративные мессенджеры безопасными
- Как создать культуру безопасного общения в компании
- Выводы
Введение
Мессенджеры пришли на смену корпоративной почте — в них намного удобнее и быстрее общаться как с коллегами, так и с партнерами и заказчиками. По данным различных опросов (TGStat, SuperJob) в 2023 году около половины пользователей вели рабочую переписку с коллегами в публичных мессенджерах. Но на фоне ухода ряда зарубежных вендоров из России, ограничения доступа к Viber и Discord, к 2025 году наблюдается активный тренд на переход к корпоративным решениям. Отечественный рынок мессенджеров для бизнеса постоянно растет, на сегодня его объем составляет более 10 млрд рублей, а всего в России насчитывается 15 отечественных решений.
Активный переход на корпоративные мессенджеры обусловлен и новыми поправками в КоАП РФ, которые ужесточают ответственность за утечки персональных данных. И это действительно серьезная проблема для бизнеса — по данным InfoWatch в 2024 году количество утечек выросло на треть, при этом 51% утечек происходит по вине сотрудников.
Далее рассмотрим, как работает корпоративный мессенджер, чем он отличается от публичного, какие опции безопасности должно предлагать решение и как создать культуру безопасного общения в компании.
Корпоративный и публичный мессенджеры — в чем разница?
Корпоративный и публичный мессенджеры рассчитаны на разную аудиторию, при этом реализованы на одинаковых технологиях.
В большинстве случаев мессенджеры реализованы на базе клиент-серверной архитектуры. Пользовательское приложение с удобным интерфейсом принимает и отправляет сообщения, синхронизирует данные с сервером, хранит ключевую информацию. Сервер в качестве бэкенда управляет соединениями, обеспечивает передачу данных между пользователями, хранит идентификационную и аутентификационную информацию пользователей, а при необходимости — еще и ключевые данные и переписку. Серверная часть корпоративных мессенджеров размещается в периметре инфраструктуры компании, или используется контролируемое размещение у облачных сервис-провайдеров.
В качестве идентификатора пользователя могут выступать номер телефона, доменная учетная запись, логин. Для аутентификации может использоваться пароль, СМС или сообщение на почту.
Применяемый прикладной протокол передачи зависит от выбора разработчика, самый известный — Extensible Messaging and Presence Protocol (XMPP), который используется совместно с HTTP, TCP/IP. Для реализации видеозвонков может применяться протокол SIP.
Отличие корпоративных мессенджеров от массовых заключается в наличии у первых дополнительных функций, позволяющих управлять пользователями, контролировать коммуникации работников, защищать конфиденциальную информацию с высоким уровнем доверия и безопасности.
Угрозы безопасности мессенджеров
Безопасность — основной фактор перехода с публичных продуктов на корпоративные, это верно и в случае с мессенджерами.
Как и в любом другом решении, в корпоративном мессенджере могут выявляться уязвимости, поэтому важно знать, насколько быстро на них реагирует служба технической поддержки вендора и насколько быстро выпускаются обновления, закрывающие уязвимость.
Так, например, в апреле 2025 опубликована серьезная уязвимость десктопной версии WhatsApp (продукт компании Meta, признанной экстремистской и запрещенной в России) для Windows (CVE-2025-30401). Файл в сообщении отображался на основании MIME-типа, а обработчик файла запускался на основании расширения имени. Используя это несоответствие, злоумышленник мог выполнить зловредный код. В настоящее время уязвимость устранена.
Также БДУ ФСТЭК России содержит информацию о неустраненной уязвимости в одном из мессенджеров, связанных с недостатками механизма генерации сеансового ключа, позволяющими нарушителю реализовать атаку типа «человек посередине». Из-за недостаточной защиты служебных данных, злоумышленник, действующий удалённо, может получить несанкционированный доступ на чтение, изменение или удаление данных посредством отправки специально сформированного GET-запроса.
Новости об инцидентах с утечками через мессенджеры могут с одной стороны показать насколько безопасен продукт — большое количество инцидентов свидетельствует о слабой реакции вендора на причины, приводящие к компрометациям, — а с другой стороны, продемонстрировать готовность компании-разработчика качественно реагировать на негативные события — быстро устранять уязвимости и не допускать повторения успешных атак.
Что делает корпоративные мессенджеры безопасными
Корпоративные мессенджеры часто имеют более широкий набор опций, обеспечивающих безопасность персональных данных и конфиденциальной информации. Многие из них связаны с тесной интеграцией решения во внутреннюю инфраструктуру компании, включая работу с внутренними средствами защиты и мониторинга, используемыми в компании. Например:
- Подключение к DLP позволяет контролировать мессенджер как канал утечки.
- Интеграция с SIEM-системой поможет отлавливать нестандартные события, действия пользователей. Для этого корпоративные мессенджеры должны уметь логировать действия пользователей и иметь соответствующие API.
- Подключение доменной авторизации — это помогает управлять пользователями, отзывать доступ при инцидентах, при увольнении или изменении должности работников, обеспечивает разграничение прав при доступе к данным.
Также корпоративные мессенджеры могут предоставлять следующие функции безопасности:
- Контроль использования данных. Функция позволяет устанавливать запрет копирования информации и создания скриншотов, обеспечивает наложение цифровых водяных знаков. Дополнительно настраивается контроль за вложениями, автоудаление сообщений по расписанию или удаленно при утере клиентского устройства.
- Контроль сессий на устройствах. Функция снижает риски перехвата сеанса пользователя злоумышленником.
- Двухфакторная аутентификация. Функция снижает риски компрометации учетной записи пользователя при краже или несанкционированном подборе его пароля. Как показывает исследование, почти половина респондентов, 49%, используют двухфакторную аутентификацию для рабочих коммуникаций.
- Криптографическая защита. Функция полезна при утере или краже пользовательского оборудования и не позволяет прочитать сообщения при прямом обращении к системе хранения данных. Шифрование данных при передаче — это обязательная функциональность. Она может быть реализована по схеме сквозного шифрования, представленного на схеме, либо с шифрованием через прокси-сервер.
Рисунок 1. Схема сквозного шифрования
Асимметричное шифрование может использоваться при установке соединения, с последующим переходом на симметричное сквозное шифрование.
Для шифрования видеозвонков обычно используется протокол TLS на этапе установления безопасного соединения в связке с ZRTP или SRTP для самого видеотрафика.
Как создать культуру безопасного общения в компании
Безопасность корпоративных коммуникаций обеспечивается не только техническими средствами и зависит от культуры безопасного общения. Публичные продукты по-прежнему остаются конкурентами корпоративного мессенджера. Выработанную привычку к использованию общедоступных мессенджеров можно поменять только в комплексном подходе.
Корпоративное решение должно быть не только быстрым и надежным, коммуникация в нем должна быть удобнее, чем в публичном. Внутри компании мессенджер должен быть частью единого информационного поля, единой экосистемы инструментов. Он должен позволять возможность совместной работы с файлами, давать быстрый доступ к корпоративному диску, календарю и планировщику задач. Полезные для сотрудников функции — это ИИ-помощники, выделенные защищенные чаты с гостями извне, интеграция с почтой и личным кабинетом работника.
Для того, чтобы корпоративный мессенджер вытеснил из обихода компании публичные решения, необходимо дать возможность общаться в нем не только внутри организации, но и с внешними пользователями. Это будет эффективной мотивацией для сотрудников не выходить за пределы корпоративного периметра безопасности, поможет снизить риск успешной целевой фишинговой атаки.
Выводы
Таким образом, корпоративный мессенджер — удобный, быстрый, грамотно интегрированный в инфраструктуру компании и в ее культуру — может гарантировать безопасность информационных активов организации как при внутренних, так и при внешних коммуникациях.
Конечно, обычные повседневные мессенджеры тоже по-своему безопасны, но не стоит лишний раз создавать в организации теневую ИТ-инфраструктуру. Так же как личные облачные хранилища, которыми работники любят пользоваться для обмена файлами, некорпоративные мессенджеры создают угрозу утечки конфиденциальных данных. Кроме того, не следует забывать и о риске эксплуатации уязвимостей в них.
Нелишним будет напомнить, что с 2023 года в России действует запрет на использование иностранных мессенджеров при оказании финансовых и государственных услуг, а также при передаче любых персональных и платёжных данных. Максимальный размер штрафа за такое нарушение может достигать 700 тыс. рублей. По этому запрету уже есть правоприменительная практика.
