А общение точно защищенное? Топ-10 безопасных корпоративных мессенджеров

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.044
Репутация
11.695
Реакции
61.864
RUB
50
Сравнили корпоративные мессенджеры по десяти критериям безопасности, на которые надо смотреть, когда выбираете свой.

Каждому присвоили оценку от 1 до 10. Рейтинг — в конце статьи.

scale_1200


В этой статье разбираемся с безопасностью корпоративных мессенджеров.

Какие сервисы сравнивали: Compass, VK Teams, eXpress, Пачка, Яндекс, Tada.Team, Amo мессенджер, Mattermost, Rocket.Chat, Zulip.

По каким фичам сравнивали: есть ли on-premise, как шифруются данные при передаче, хранении на сервере и на устройстве, интегрируется ли с ИБ-системами, как защищают данные в облаке, делают ли отдельный контур для внешних пользователей, что с конфиденциальностью информации, как защищают данные при потере устройства и есть ли безопасные push-уведомления.

Каждому сервису поставили оценку от 1 до 10, где 1 балл — 1 фича безопасности адекватно реализуется, 0 — её нет вообще или в официальной документации ничего не сказано и 0.5 — реализуется, но с оговорками. А еще если у мессенджера были доп.системы безопасности, накидывали 0.5 балла.

Ниже — подробно о каждом.

Compass — 10.5

Корпоративный мессенджер с открытым исходным кодом и фокусом на безопасность, где есть все привычное для работы, бизнеса и клиентов: видеоконференции на 1000+ участников, чаты, треды, реакции. Есть две версии сервиса: on-premise и облачная, если хотите начать коммуникацию сразу.

А общение точно защищенное? Топ-10 безопасных корпоративных мессенджеров

Как защищает данные

On-premise: можно развернуть у себя, все данные находятся под контролем на вашем сервере.
Шифрование, когда данные передаются: информация защищена надежными протоколами TLS 1.3, SRTP и DTLS.
Как хранятся и шифруются данные на сервере: информация на сервере хранится в криптоконтейнере.
Как шифруются данные на устройстве: есть дополнительное шифрование данных на устройствах.
С какими ИБ-системами интегрируется: интегрируется с DLP системами, SIEM и антивирусами.
Как защищает данные в облаке: информация в облаке хранится в дата-центрах в зашифрованном виде, безопасность оборудования подтверждена международными стандартами ISO и ФСТЭК.
Отдельный контур для внешних пользователей: можно ограничивать видимость, права и доступы для гостей рабочего пространства — подрядчиков, партнеров и внештатных сотрудников.
Конфиденциальность информации: гибкие настройки приватности: можно запрещать загружать файлы, записывать голосовые, и отправлять личные сообщения.
Если устройство теряется: можно дистанционно разлогинить и удалить информацию приложения на устройстве сотрудника по команде с сервера.
Безопасные push-уведомления: можно настроить так, чтобы контент в push-уведомлениях не отражался, — перехватить или подсмотреть важную информацию не получится.
Дополнительно:
  • Безопасность устройств сотрудников — обнаруживаем jailbreak или root на смартфонах с мгновенным уведомлением администратору, а еще защищаем данные от вредоносных программ.
  • Есть синхро с Active Directory и функция Single Sign-On.
  • Регулярные аудиты безопасности — исходный код Compass доступен на GitHub, его регулярно проверяют на уязвимости независимые эксперты безопасности и признанные лидеры рынка.

Rocket.Chat — 10, но не входит в реестр российского ПО

Open-source платформа для корпоративного общения, где можно управлять проектами и общаться с командой.

А общение точно защищенное? Топ-10 безопасных корпоративных мессенджеров

Как защищает данные

On-premise: можно развернуть на собственном сервере.
Шифрование, когда данные передаются: используется TLS/WSS и SSL.
Как хранятся и шифруются данные на сервере: данные на сервере хранятся в зашифрованном виде.
Как шифруются данные на устройстве: использует сквозное шифрование (E2EE).
С какими ИБ-системами интегрируется: интегрируется с LDAP, SAML и OAuth.
Как защищает данные в облаке: нет сертификата ФСТЭК и не входит в реестр российского ПО, но есть сертификаты ISO и американских учреждений: GDPR, HIPAA, FINRA, FedRAMP (так что, если открываете бизнес в России, лучше посмотреть на аналоги, сервис без галочки от росреестра сейчас — зона риска).
Отдельный контур для внешних пользователей: можно настраивать больше 180 разрешений и контролировать настройки для внешних пользователей.
Конфиденциальность информации: есть гибкие настройки.
Если устройство теряется: можно заблокировать пользователя по сигналу с сервера.
Безопасные push-уведомления: есть безопасные пуши.
Дополнительно:
  • Есть синхро с single sign-on (SSO) через Google, GitHub, SAML (и Okta), AzureAD, Active Directory/LDAP.
  • Постоянно проходит аудиты безопасности на уязвимости в коде и системе.

eXpress — 9.5

eXpress — корпоративный мессенджер с конференциями на 250+ участников, личным кабинетом сотрудника и стандартными фичами — можно создавать групповые чаты, отправлять почту и создавать треды.

А общение точно защищенное? Топ-10 безопасных корпоративных мессенджеров

Как защищает данные

On-premise: корпоративные заказчики могут развернуть на сервере.
Шифрование, когда данные передаются: использует транспортное шифрование TLS 1.3 и DTLS, а еще есть возможность шифрования данных Е2ЕЕ.
Как хранятся и шифруются данные на сервере: пишут, что серверы on premise защищены внутри компании.
Как шифруются данные на устройстве: данные хранятся в криптоконтейнере — нельзя будет так просто скачать их вовне, а еще можно запретить делать скрины и запись экрана.
С какими ИБ-системами интегрируется: есть интеграция с корпоративными DLP-системами и SIEM.
Как защищает данные в облаке: есть сертификат от ФСТЭК.
Отдельный контур для внешних пользователей: есть гостевой доступ и расширенные настройки, чтобы управлять разрешениями для участников.
Конфиденциальность информации: eXpress предлагает стандартные настройки конфиденциальности, позволяющие ограничить доступ к информации.
Если устройство теряется: если устройства потеряли или сотрудника уволили, можно все удалить по команде с сервера.
Безопасные push-уведомления: есть дополнительная защита — содержание уведомлений можно скрывать.
Дополнительно: есть трехступенчатая аутентификация, согласно информации с сайта.

Zulip — 9

Open-source платформа с возможностью общаться и управлять проектами — есть чаты по темам и каналы.

А общение точно защищенное? Топ-10 безопасных корпоративных мессенджеров

Как защищает данные

On-premise: можно разворачивать на своем сервере.
Шифрование, когда данные передаются: TLS-шифрование.
Как хранятся и шифруются данные на сервере: шифрует, но не говорит, как.
Как шифруются данные на устройстве: есть шифрование HTTPS.
С какими ИБ-системами интегрируется: с LDAP, SAML и OAuth.
Как защищает данные в облаке: нет сертификата ФСТЭК и не входит в реестр российского ПО, но есть американские сертификаты.
Отдельный контур для внешних пользователей: можно создавать отдельные пространства и ограничивать настройки доступа.
Конфиденциальность информации: можно настраивать права пользователей во времени — ставить ограничение на период, в течение которого у нового участника будут только конкретные права.
Если устройство теряется: можно деактивировать любого пользователя по запросу с сервера.
Безопасные push-уведомления: есть безопасные пуши.
Дополнительно: есть SSO и синхро с Active Directory.

Mattermost — 8

Mattermost — open-source платформа для корпоративного общения с каналами, плейбуками (можно автоматизировать рутину и превратить в шаблоны внутри мессенджера) и интеграциями.

А общение точно защищенное? Топ-10 безопасных корпоративных мессенджеров

Как защищает данные

On-premise: можно разворачивать на собственном сервере.
Шифрование, когда данные передаются: использует TLS.
Как хранятся и шифруются данные на сервере: изолирует данные компании от серверов других компании — случайных утечек быть не может.
Как шифруются данные на устройстве: защищают данные с ЕММ.
С какими ИБ-системами интегрируется: с LDAP, SAML и OAuth.
Как защищает данные в облаке: нет сертификата ФСТЭК и не входит в реестр российского ПО.
Отдельный контур для внешних пользователей: можно создавать отдельные рабочие пространства с гибкими правами доступа.
Конфиденциальность информации: гибкие настройки приватности — можно ограничивать доступ к информации и управлять правами пользователей.
Если устройство теряется: можно удалить данные с устройства пользователя при потере.
Безопасные push-уведомления: нет безопасных push-уведомлений.

VK Teams — 7.5

VK Teams — облачный мессенджер на базе VK с интеграциями внутри экосистемы. Привычный интерфейс платформы, групповые чаты и видеоконференции.

А общение точно защищенное? Топ-10 безопасных корпоративных мессенджеров

Как защищает данные

On-premise: можно развернуть на своем сервере.
Шифрование, когда данные передаются: использует TLS 1.3, чтобы передавать данные.
Как хранятся и шифруются данные на сервере: нет информации о шифровании данных в хранилище.
Как шифруются данные на устройстве: аналогично — в официальной документации информации нет.
С какими ИБ-системами интегрируется: интеграция с DLP, SIEM-системами, антиспамом и антивирусами.
Как защищает данные в облаке: все данные лежат в специальных дата-центрах.
Отдельный контур для внешних пользователей: можно создавать отдельные рабочие пространства и ограничивать доступ для внешних пользователей, например, для партнеров. Но работает только на одном тарифе.
Конфиденциальность информации: здесь стандартные настройки приватности — можно ограничить доступ к информации.
Если устройство теряется: можно удалить данные с потерянного устройства по запросу от сервера.
Безопасные push-уведомления: есть скрытые пуши, чтобы никто не увидел содержимое.
Дополнительно: есть синхронизация с Active Directory, но только для одного тарифа, а еще — SSO.

Пачка — 6.5

Пачка — мессенджер для команд со встроенными списками дел и файловым хранилищем. Есть открытые и закрытые чаты, новостные каналы, сквозные треды и видеозвонки до 100 человек.

А общение точно защищенное? Топ-10 безопасных корпоративных мессенджеров

Как защищает данные

On-premise: сервис облачный, поэтому развернуть на собственном сервере невозможно.
Шифрование, когда данные передаются: использует TLS.
Как хранятся и шифруются данные на сервере: нет в документации.
Как шифруются данные на устройстве: нет в документации.
С какими ИБ-системами интегрируется: есть возможность интегрировать с DLP, но только индивидуально через API.
Как защищает данные в облаке: безопасность оборудования подтверждают международными стандартами ISO и ФСТЭК.
Отдельный контур для внешних пользователей: можно управлять доступами, добавлять админов, гостей и сотрудников.
Конфиденциальность информации: только стандартные настройки безопасности, без гибкого управления.
Если устройство теряется: если сотрудник потерял устройство или уволился, можно сразу же ограничить ему доступ.
Безопасные push-уведомления: стандартные механизмы push-уведомлений без дополнительной защиты.
Дополнительно: для on-premise есть синхро с Active Directory.

Tada.Team — 6.5

Tada.Team — платформа для командной работы, где можно управлять проектами, общаться, планировать и вести документооборот. Есть встроенный календарь, который можно синхронуть с существующими, списки дел и видео/аудио звонки до 25 человек.

А общение точно защищенное? Топ-10 безопасных корпоративных мессенджеров

Как защищает данные

On-premise: можно развернуть на своем сервере, но только для компаний от 1000 человек.
Шифрование, когда данные передаются: использует протокол TLS 1.3.
Как хранятся и шифруются данные на сервере: не публикует инфу о шифровании данных в хранилище.
Как шифруются данные на устройстве: можно настроить срок или отключить хранение данных на пользовательских устройствах.
С какими ИБ-системами интегрируется: пишут, что через API можно настроить интеграцию с чем угодно, но про встроенную интеграцию с ИБ ничего нет.
Как защищает данные в облаке: есть лицензия ФСТЭК.
Отдельный контур для внешних пользователей: можно создавать отдельные рабочие пространства с гостевым доступом.
Конфиденциальность информации: есть гибкие настройки приватности.
Если устройство теряется: аккаунты можно удалять только через поддержку.
Безопасные push-уведомления: можно контролировать видимость содержания пушей.

Яндекс.Мессенджер — 5.5

Вписывается в экосистему Яндекса с почтой, диском и всем прилежащим. Функции стандартны: есть каналы, чаты, видеозвонки, безопасный обмен файлами. Можно ставить статус профиля и отмечать важность сообщений, чтобы тегнуть всех.

А общение точно защищенное? Топ-10 безопасных корпоративных мессенджеров

Как защищает данные

On-premise: развернуть на своем сервере не получится, но можно обратиться в службу поддержки, чтобы настроить интеграцию и общаться с клиентами.
Шифрование, когда данные передаются: использует TLS.
Как хранятся и шифруются данные на сервере: есть сертификат от ФСТЭК — безопасность подтвердили.
Как шифруются данные на устройстве: информации в документации нет.
С какими ИБ-системами интегрируется: есть интеграция с DLP-системами, но только на Расширенном и Оптимальном тарифах.
Как защищает данные в облаке: зависит от мер безопасности, реализованных на стороне Яндекса.
Отдельный контур для внешних пользователей: можно создать локальные чаты и сохранить закрытый контур для компании.
Конфиденциальность информации: стандартные настройки конфиденциальности.
Если устройство теряется: есть — админы смогут выйти из всех акков сотрудника в случае чего.
Безопасные push-уведомления: Яндекс.Мессенджер использует стандартные механизмы push-уведомлений, которые не гарантируют дополнительную защиту.
Дополнительно: есть двухступенчатая авторизация, Active Directory и функция SSO.

Amo мессенджер — 4

Amo мессенджер — корпоративный мессенджер встроенный в систему AmoCRM. Можно общаться с клиентами и командой, создавать групповые чаты, вести переписку и отправлять файлы.

А общение точно защищенное? Топ-10 безопасных корпоративных мессенджеров

Как защищает данные

On-premise: сервис облачный, развернуть на своем сервере не получится.
Шифрование, когда данные передаются: использует SSL шифрование при передаче данных.
Как хранятся и шифруются данные на сервере: не публикует информацию.
Как шифруются данные на устройстве: нет инфы.
С какими ИБ-системами интегрируется: с системой AmoCRM, с которой можно настроить права доступа и мониторить деятельность пользователей.
Как защищает данные в облаке: сертификата от ФСТЭК нет, но входит в реестр российского ПО.
Отдельный контур для внешних пользователей: нет отдельных контуров для внешних пользователей.
Конфиденциальность информации: стандартные настройки конфиденциальности.
Если устройство теряется: пишут, что уволенные сотрудники потеряют доступ к спискам, а данные останутся внутри компании.
Безопасные push-уведомления: есть безопасные пуши, пишут, что текст сообщений виден только в приложении.
Важно: у Amo нет даже двухфакторной аутентификации, поэтому сняли за это 0.5 балла.

Итоговые оценки сервисов

  • Compass: 10.5.
  • Rocket.Chat: 10.
  • eXpress: 9.5.
  • Zulip: 9.
  • Mattermost: 8.
  • VK Teams: 7.5.
  • Пачка: 6.5.
  • Tada.Team: 6.5.
  • Яндекс: 5.5.
  • Amo мессенджер: 4.
Вообще мессенджер — не только про безопасность, но и кучу других фич, поэтому если вы дружите с каким-то и он закрывает бизнес-задачи — срочно переезжать никуда не стоит.


 
  • Теги
    compass express rocket.chat zulip безопасный корпоративный мессенджер
  • Сверху Снизу