Tekhnonacional

За последние пару лет осведомленность о технологии VPN  среди обычных людей выросла в разы. Внимание к подобным сервисам выросло и со стороны органов государственной власти, которые начали настоящую борьбу с ними.  Это, разумеется, усложнило работу для малого и среднего бизнеса, для которого VPN не средства обхода блокировок тех или иных сайтов, а вполне стандартный инструмент защиты.

Недавно, вышла новость о том, что компании, столкнувшиеся с проблемами блокировки их VPN сервисов должны обращаться в Роскомнадзор и Минцифры.  Бизнесу также необходимо присутствовать в списках Роскомнадзора. Списки формируются через профильные ведомства.

О таких списках, в частности,  рассказал  заместитель председателя комитета Госдумы по информационной политике, информационным технологиям и связи Олег Матвейчев. По его словам:

«Сейчас действует некий список, который есть у Роскомнадзора. Это VPN, которые выполняют наше законодательство. Когда мы ограничиваем доступ к определенному контенту <…>, то есть VPN, которые, грубо говоря, согласны с этим, которые тоже ограничивают доступ».

То есть, словам политика, подобные VPN находятся в списке разрешенных и их работу Роскомнадзор ограничивать не будет.

Чем же  отличается «хороший» VPN для бизнеса от «плохого» VPN, который так  раздражает Роскомнадзор и Минцифры?

Что такое VPN?

VPN, или виртуальная частная сеть, представляет собой технологию, которая обеспечивает скрытность вашего онлайн-присутствия и обеспечивает безопасность передачи данных путем шифрования всего сетевого трафика. Этот метод гарантирует, что ваши данные остаются защищенными и недоступными для несанкционированного доступа.

При использовании VPN вы подключаетесь к выбранному вами VPN-серверу, который предоставляет вам новый IP-адрес и скрывает ваше физическое местоположение. Это помогает  обеспечить приватность и безопасность в сети.

Что же такое бизнес-VPN?

Это та же технология VPN, но применяемая на корпоративном уровне. Бизнес-VPN скрывает и шифрует внутренний сетевой трафик компании, защищая его от общедоступного интернета. Сотрудники, которым необходим доступ к корпоративным ресурсам, могут использовать VPN для создания частных туннелей, обеспечивающих безопасное соединение с этими ресурсами.

Итак, бизнес-VPN обеспечивает безопасность рабочего процесса, а также защиту корпоративных ресурсов от потенциальных угроз. Главное, что шлюзы VPN играют важную роль в аутентификации пользователей, обращающихся к корпоративным ресурсам, обеспечивая дополнительный уровень безопасности.

Более половины кибератак приходится на малый и средний бизнес. 60% этих предприятий выходят из бизнеса  в течение шести месяцев из-за утечки данных и кражи конфиденциальных данных. Поэтому инвестирование в VPN для бизнеса это острая необходимость. В условиях непрозрачных критериев блокировок VPN сервисов информационная безопасность в малом и среднем бизнесе может значительно снизится.

Предлагаемое решение – отечественный VPN

Импортозамещение в информационной безопасности неоднородно по своей структуре. По мнению  заместителя председателя комитета Госдумы по информационной политике, информационным технологиям и связи Антона Горелкина, российским компаниям придется переходить на отечественные корпоративные VPN. Депутат также отмечает, что затраты в «миллиарды рублей» на импортозамещение корпоративного VPN этого стоят.

На данный момент, рынок российских VPN-решений, хоть и является динамично развивающимся, остается нестабильным. Например, в ноябре прошлого года, «Лаборатория Касперского» закрыла свое VPN-приложение Kaspersky Secure Connection без официальных объяснений причин. Однако, в тот же день был запущен новый сервис от «Ростелеком» под названием «ГОСТ VPN»,предоставляющий сертифицированные средства криптографической защиты информации, удовлетворяющие требованиям ФСБ. Этот сервис предназначен для создания и обслуживания безопасных сетей. Согласно отчету Ростелекома за первое полугодие 2023 года, число юридических лиц, использующих услуги высокоскоростного интернета по оптоволоконной сети с применением VPN, увеличилось на 6% и достигло 1,1 миллиона абонентов. Это свидетельствует о растущем интересе к безопасным сетевым решениям в корпоративном секторе и о сдвигах, которые происходят в данном направлении.

Недавний пост об утечках  показал высокий интерес подписчиков к теме. Наша редакция решила рассказать более подробно об одном из самых распространенных каналов утечек – электронной почте, взлом которой до сих пор является прибыльным киберпреступлением. Через взлом персональной или служебной электронной почты можно похитеть не только данные, секретную внутреннюю информацию компании, но даже и финансовые средства.

В этой статье  расскажем про различные почтовые сервисы и уровень их безопасности.  Отметим, что вы всегда можете дополнительно защитить любую электронную почту аппаратным токеном.

Начнем с главного: Google не безопаснее, чем  Rambler или MailRu

Администраторы почтовых сервисов имеют возможность доступа к вашим сообщениям, но обязуются не передавать эти данные другим лицам. Однако это не обязательно гарантирует конфиденциальность. Например, может возникнуть сценарий, при котором почтовый сервис получает запрос от правоохранительных органов. И информация вашего почтового адреса быстро оказывается в «папочке». Кроме того, существует автоматизированная обработка информации, извлеченной из сообщений пользователей. Поэтому глобально, ни Gmail,  ни Yahoo никак не отличаются от Rambler. Почтовая служба может быть помечена как конфиденциальная, если ни одно лицо, включая владельцев и рекламных ботов, не имеет возможности получить доступ к переписке пользователей.

Тут, внезапно,  стоит обратить внимание на рекламу внутри ваших почтовых ящиков. Как показывает практика,  реклама как таковая в личном почтовом ящике никого не настораживает. На самом же деле, наличие «подборочек» и актуальных товаров означает лишь одно – рекламные боты имеют доступ к вашей персональной информации и переписке. Для снижения проникновения к вашей персональной информации необходимо потратить 20-30 минут и вручную кропотливо отключить всех ботов в почте mail[.]ru. Автоматического отключения всех 50+ различных рекламных ботов нет.

Надежные почтовые сервисы

Критериев оценок защищенности почтовых сервисов много, поэтому рейтинг мы делать не будем. Ниже мы просто перечислим почтовые сервисы, которые доказали свою надежность на международном уровне по различным показателям. Следует помнить, что выбирая любой из нижеследующих почтовиков, нужно быть уверенными, что они принимают дополнительные средства ИБ-защиты, аппаратные токены, для 2FA.

Protonmail (Австрия)

Плюсы Protonmail:  отсутствие логов (электронных журналов записи данных); зашифрованные сообщения можно отправлять кому угодно; передовой механизм сквозного шифрования; надежная страна для размещения серверов; открытый исходный код; импорт контактов в формате CSV; самоуничтожающиеся электронные письма; услуги VPN включены в тарифный план.

Минусы Protonmail:  не поддерживается протокол POP; может регистрировать IP  пользователя, если его подозревают в совершении преступления; метаданные и тема письма не шифруются.

Tutanota (Германия)

Плюсы Tutanota: отсутствие электронных журналов; шифрование метаданных и темы письма; отсутствие IP-адреса и email отправителя в метаданных; эффективный спам-фильтр; открытый исходный код; есть приложение для ПК; возможность синхронизации десктопных и мобильных приложений; дешевые тарифы.

Минусы Tutanota:  серверы расположены в Германии (входит в разведывательные альянсы); не поддерживается шифрование PGP; нет поддержки протокола IMAP.

Mailfence (Бельгия)

Плюсы Mailfence:  поддержка PGP и других алгоритмов шифрования; встроенные цифровые подписи; поддержка всех основных почтовых протоколов: SMTP, POP3, IMAP; наличие двухфакторной аутентификации; поддержка WKD для поиска ключей на внешних доменах; техническая поддержка даже для бесплатных аккаунтов; возможность интеграции с почтовыми клиентами (например, Thunderbird); удаление IP-адресов из метаданных.

Минусы Mailfence: ведение логов с минимальным сбором технической информации,

код недоступен, что затрудняет проверку конфиденциальности;  серверы расположены в Бельгии (входит в разведывательные альянсы).

Как защитить электронную почту?

1. Сложный пароль

Самой важной практикой защиты учетной записи электронной почты является защита учетных данных для входа в систему. Для этого необходимо выбрать надежный пароль. Лучше всего для этого подойдут генераторы паролей, которые быстро «придумают» длинную уникальную комбинацию. Пароль – самое уязвимое звено в цепочке защиты электронной почты.

2.Используйте двухфакторную аутентификацию (2FA)

После того как вы выбрали надежный пароль, включите 2FA, чтобы максимально защитить свой вход в систему. Это одна из самых важных передовых практик, которой часто пренебрегают, так как считают, что это занимает слишком много времени.

Данные для входа в систему можно хранить и на самом устройстве, если вы уверены, что никто их не похитит. Наиболее важной частью добавления двухфакторной аутентификации является защита учетной записи электронной почты от удаленных вредоносных атак, таких как фишинговые атаки.

Выбирайте почтовые сервисы, которые поддерживают 2FA через использование аппаратных токенов, а не через SMS.

3. Отсутствие сброса пароля по электронной почте

Сброс пароля по электронной почте - одна из самых больших угроз для вашей онлайн-безопасности. Функция сброса пароля по электронной почте позволяет легко завладеть вашими учетными записями с помощью целенаправленной атаки, например, грамотно составленного фишингового письма. Злоумышленник может обмануть вас, заставив поверить, что вы просто сбрасываете пароль, нажав на ссылку в фишинговом письме, которое выдает себя за письмо со сбросом пароля.

Совет федерации предлагает Минцифры создать за счет бюджета государственную платформу развития искусственного интеллекта (ИИ), чтобы предоставлять разработчикам доступ к вычислительной инфраструктуре и данным для развития программ на базе нейросетей.

Совет по развитию цифровой экономики при Совете федерации принял решение, согласно которому Минцифры в рамках обновления Национальной стратегии развития искусственного интеллекта до 2030 года рекомендовано создать государственную платформу развития ИИ. Рекомендации в адрес главы Минцифры 17 октября направил зампред совета по развитию цифровой экономики при Совете федерации Артем Шейкин.

Участники рынка признают, что в условиях санкций серверы стоят дорого и их сложно получить, поэтому идею, в целом, поддерживают, но опасаются лоббизма, неравных условий и ряда технических сложностей.

Между тем в четырех профильных ведомствах: В Минпромторге, Минздраве, Минстрое и Минтрансе должны появиться экспертные группы, которые займутся проработкой вопросов внедрения алгоритмов искусственного интеллекта.  Об этом говорится в протоколе по итогам заседания штаба по контролю за реализацией поручений президента и правительства по развитию технологий ИИ.

Эти экспертные группы должны быть сформированы до 15 ноября 2023 г.

Россия активно занимается развитием проектов, помогающих облегчить и ускорить бизнес-процессы со странами постсоветского пространства. Одним из приоритетных направления является Казахстан. Российскому бизнесу необходима инфраструктура безопасного обмена данными и документооборота с этой республикой. Законодательство России и Казахстана предусматривает возможность получения ЭП в Казахстане

Поправки в Федеральный закон Российской Федерации № 63-ФЗ «Об электронной подписи», вступившие в силу с 1 января 2021 года, полностью легализовали процедуры признания иностранной электронной подписи с использованием механизма доверенной третьей стороны (ДТС). А в сентябре этого года вступил в пилотную эксплуатацию сервис «Трансграничная электронная цифровая подпись (электронная подпись)»  электронного документооборота между Россией и Казахстаном.

Сервис «Трансграничная электронная цифровая подпись (электронная подпись)» запускается на начальном этапе в пилотную эксплуатацию и будет доступен в течение 6 месяцев всем желающим юридическим лицам - резидентам России и Казахстана, на бесплатной основе. Несмотря на то, что сейчас проект работает только между Казахстаном и Россией, подразумевается его масштабирование на все страны ЕАЭС.

Следуя дорожной карте углубления интеграции стран постсоветского пространства, Совет Евразийской экономической комиссии утвердил план развития Интегрированной информационной системы Евразийского экономического союза (ИИС ЕАЭС) на 2024 год.

ИИС ЕАЭС является ключевым инструментом для обеспечения эффективного функционирования Союза. Система позволяет автоматизировать и упростить процессы обмена информацией между государствами-членами и упростить бизнес-взаимодействия. Стандартизация документооборота, а также общая инфраструктура ИБ, сделают взаимодействие более прозрачным и безопасным. Среди основных задач по развитию Интегрированной информационной системы Евразийского экономического союза можно выделить

- запуск юридически значимого межгосударственного взаимодействия с применением электронного цифровой подписи. Которая уже работает в тестовом режиме между Казахстаном и Россией.

- переход к цифровой платформе путем создания подсистемы интеграции цифровых платформ и сервисов;

- расширение сферы применения ИИС ЕАЭС, включая создание новых сервисов для бизнеса и государственных органов.

Как помогает россиянам возможность получить ЭП в Казахстане?

Получение ЭП в Казахстане позволяет дистанционно продавать недвижимость, участвовать в судебных процессах, оформлять кредиты и так далее. Во многих случаях такая практика позволит избежать излишней бумажной волокиты, считают эксперты. В перспективе получать российские подписи смогут и иностранные граждане, не исключают представители ведомства и участники рынка.