Почему директору по информационной безопасности не стоит пользоваться Clubhouse?

 

Обсуждения и обеспокоенность вокруг безопасности нашумевшей социальной сети Clubhouse не утихают. Для компаний по всему миру актуальным стал вопрос запрета использования этого приложения для своих сотрудников.

 

Вместе с BlackBerry компания BAKOTECH разобрала вопросы информационной безопасности популярного приложения. В чем основные угрозы для бизнеса, как защитить данные и есть ли уже готовые решения для проблемы?

 

О «клубной» социальной сети

 

Clubhouse — cоциальная сеть, которая представляет собой комнаты для общения участников в виде общего голосового чата, и до недавнего времени оставалась незамеченной. Почему изначально социальная сеть не набрала дикой популярности?

 

Во-первых, приложение использует формат закрытого клуба, когда новеньких могут пригласить только уже зарегистрированные участники. Во-вторых, сейчас приложение пока доступно только для iOS, что ограничивает его распространение (хотя уже можно найти неофициальные пути обхода этого ограничения).

 

О приложении заговорили во всем мире, когда в начале года к нему присоединились лидеры мнений и известные персоны, как Илон Маск и Марк Цукерберг.

 

Вопросы информационной безопасности

 

Помимо теперь закрытой уязвимости, которая позволила сделать аудиоданные пользователей из Clubhouse общедоступными, есть ряд других проблем с приложением, которые могут быть использованы.

 

Например, создание учетной записи в социальной сети «уговаривает» пользователя загрузить контакты своего устройства. Это означает что, если кто-то из ваших знакомых присоединился к Clubhouse, служба, вероятно, скопировала данные без вашего согласия, чтобы дать дальнейшие рекомендации и стимулировать новые связи и подписки.

 

Еще одной проблемой для многих было расположение серверов приложения, которые принадлежат компании под названием Agora. Почему это проблема? Исследование, проведенное ранее в феврале Интернет-обсерваторией Стэнфордского университета (SIO) дает ответ. Agora, несмотря на заметный адрес Кремниевой долины, отображаемый на ее веб-сайте, является стартапом, основанным в Шанхае. В ходе расследования команда Стэнфорда обнаружила, что у нее, вероятно, есть доступ к необработанному аудио от всех пользователей Clubhouse.

 

В SIO выявили, что метаданные комнат ретранслируются на серверы, которые размещены в Китае, а аудиоданные — на серверы, управляемые китайскими организациями.

 

Кроме того, в SIO не нашли сквозного шифрования в Clubhouse, а это означает, что аудиоданные могут быть перехвачены, расшифрованы и сохранены компанией Agora, которая из-за своего местоположения подчиняется китайским законам.

 

 

Угроза для бизнеса

 

Clubhouse особенно стал популярным среди бизнесменов, руководителей и других людей, которые располагают доступом к важной, иногда критической, информации. Весьма вероятно, что приложение уже присутствует на их устройствах и, следовательно, в сетях многих организаций.

 

Многие считают очевидным, что бурный рост Clubhouse обнажил ошибки безопасности, которые были допущены при его разработке. Джереми Тернер, глава отдела разведки угроз Coalition, среди тех, кто придерживался этой точки зрения. «Когда разработчики передают новую технологию в руки первых пользователей, легко игнорировать риски или думать о них как о проблеме завтрашнего дня, когда на самом деле они должны разрабатывать меры безопасности данных так же тщательно, как и новые возможности для пользователей».

 

Если нельзя запретить, то как обезопасить?

 

Рамки, которые большинство организаций создали в отношении конфиденциальности, регулируются трудовым договором и политикой компаний. Проблема нарушения этих договорённостей возникает, если записи сотрудника, который использует Clubhouse, передаются без разрешения. Это может привести к нарушению конфиденциальности — случайному или преднамеренному.

 

Намного легче контролировать подобные утечки, когда дело касается всех приложений для обмена сообщениями на корпоративных устройствах. По опыту разных компаний, значительно меньшее количество сотрудников использует корпоративные устройства для работы, если идет речь про мобильные телефоны.

 

В нашей стране сотрудники почти всегда используют свой личный телефон в рабочих целях, а с приходом вынужденной удалённой работы, домашние ноутбуки стали рабочими с доступом к корпоративным ресурсам.

 

Если запретить устанавливать подобные приложения на устройства сотрудников нельзя, то по крайней мере можно разграничить личные данные и корпоративную информацию.

 

Для подобного разделения специалисты могут использовать решения класса (mobile device management) или UEM (unified endpoint management). Эти решения помогают защитить корпоративные данные. Внутри девайса создается изолированный криптоконтейнер, который защищает данные. Таким образом, можно и менять устройства (не теряя при этом свободы личного пространства), и полностью контролировать уровень защиты.

 

Это далеко не теоретическое размышление о технологии, а вполне реальный пример от BlackBerry, который много лет использует такую функциональность в своих решениях.

 

Статья подготовлена специалистами компаний BAKOTECH и BlackBerry