Продолжаем тему безопасности, которой коснулись в одной из прошлых статей. Давайте разберемся, почему те, кто ведет корпоративные переписки в Telegram и хранит разного рода юридическую или кадровую информацию о сотрудниках, ходит по тонкому льду утечки и штрафов.
Удобство и простота публичных мессенджеров неоспоримы, но они не могут быть основным контуром хранения корпоративной и персональной информации, хотя многие даже крупные компании используют Telegram и WhatsApp в качестве рабочих инструментов: обсуждение задач, отправка разного рода конфиденциальной документации, а также согласование действий — все это происходит в пространстве небезопасных продуктов.
Среди основных требований любого бизнеса (будь то малый или огромные корпорации) не только удобство и простота использования, но и безопасность, которая стоит денег в конечном счете и должна стоять на первом месте. А там, где есть безопасность, есть и контроль: как хранятся данные, кто и в каких ролях имеет к ним доступ, как этот доступ ограничивается, как отслеживаются и фиксируются действия пользователей для того, чтобы в нужный момент можно было восстановить всю цепочку, соблюдение требований законодательства и требований политики обработки данных.
Как это происходит в Telegram?
Telegram не предоставляет вам автоматического соответствия Общему регламенту по защите данных (GDPR) для пользователей, не являющихся гражданами ЕС. Для GDPR важно не только, где физически хранятся данные, но и:
- на каком основании вы их обрабатываете,
- какие данные собираете,
- кому передаете,
- есть ли договорные гарантии с обработчиком,
- как обеспечиваются права субъекта данных,
- можно ли удалить, выгрузить, ограничить обработку,
- есть ли законный механизм трансграничной передачи.
Если компания использует Telegram для рабочих коммуникаций и через него проходят персональные данные сотрудников, клиентов, кандидатов, то одной фразы “данные в Telegram защищены” недостаточно. Нужны организационные и юридические меры со стороны самой компании.
В рамках закона РФ о персональных данных рисков еще больше. По 152-ФЗ для многих сценариев важны:
- определение оператора персональных данных,
- цели и состав обработки,
- меры защиты,
- поручение обработки третьим лицам,
- трансграничная передача,
- а для сбора данных граждан РФ отдельно встает вопрос локализации.
Главная проблема с Telegram обычно не в “есть шифрование или нет”, а в том, что контролировать место хранения, маршрут передачи, состав обработчика и договорные обязательства платформы для корпоративного комплаенса сложно или невозможно на нужном уровне.
Напомним, что Telegram с таким подходом при утечке персональных данных ваших сотрудников обойдется до 500 000 рублей. Это 5.5 лет Бизнес-подписки в ZentrySpace на команду 50 человек!
Именно поэтому у нас во Fusion Tech основной контур обработки данных находится не в публичных мессенджерах, а в корпоративной системе (речь не только о ZentrySpace, до него мы пользовались Slack).
То есть абсолютно все основные рабочие данные, заявки, документы, согласования, кадровую информацию, служебные действия хранит ZentrySpace в контролируемой инфраструктуре компании или в выбранном корпоративном облаке. Это формирует предсказуемую политику обработки данных, разграничивает доступы и ведет журнал событий. Публичные мессенджеры мы можем использовать для сообщений по типу “сегодня идешь на йогу?”, когда у ZentrySpace плановое обновление, например.
Почему это критично?
Перенося работу в публичные мессенджеры, вы выстраиваете все бизнес-процессы вокруг него, теряя над ними контроль. Ведь помимо того, что в том же Telegram нет как такового обозримого рабочего пространства (папка с чатами не в счет), вы не можете управлять доступом к информации, централизованно удалять данные, контролировать распространение файлов, корректно обрабатывать персональные данные и обеспечивать при этом прозрачность аудита действий. А вот с ZentrySpace можете.
Наш подход:
- ключевые данные хранятся внутри корпоративного контура;
- документы и история согласований доступны в управляемой среде;
- права доступа к информации и управлению предоставляются согласно ролям и организационной структуре компании;
- критичные данные не зависят от внешнего мессенджера;
- внешние каналы используются только в безопасном контексте переписки.
Публичные (иначе — потребительские) мессенджеры прекрасны в своей простоте (начиная с регистрации по номеру телефона), но когда речь не идет о безопасных и зрелых бизнес-процессах, им стоит доверять только корпоративные. Конкретно в нашей модели ZentrySpace встроен и синхронизирован со всеми задачами компании, это не просто чат, это единая система, в которой управление командой происходит неразрывно с коммуникацией. Вести бизнес в простой и привычной или в зрелой и безопасной среде — выбирать вам.
Люблю такие разборы: без громких обещаний, зато с понятной логикой.
Не со всем согласен, но аргументы сильные. Было бы интересно увидеть продолжение.
Хороший пример того, как маленькие решения влияют на итоговый результат.
Вот это уже похоже на практичный опыт. Сохранил себе, вернусь позже перечитать.