Если вы уже привыкли экономить на звонках с помощью Skype, любая новость об ограничениях в использовании этого средства связи вас наверняка расстроит. Вас также, скорее всего, огорчит, если вам придется тратиться на обеспечение дополнительной безопасности Skype-коммуникаций.
Есть ли вариант, при котором «и волки сыты, и овцы целы»?
Skype стал таким же незаменимым инструментом ведения бизнеса, как и мобильный телефон. В свете экономического кризиса это решение стало еще более актуальным благодаря экономии средств на совершении междугородних и международных звонков.
Тем не менее, предложение российских операторов мобильной связи о законодательном регулировании IP-телефонии и, в частности, Skype, равно как и закон о защите персональных данных, дают повод для беспокойства компаниям, активно использующим его в своей деятельности.
Кому мешает Skype?
Напомним, не так давно Российский союз промышленников и предпринимателей (РСПП) выступил с предложением внести поправки в законодательство, регулирующее общение россиян с помощью интернет-телефонии. Союз действует в интересах операторов сотовой связи, работающих в России.
Вполне очевидно, что сотовая связь испытывает конкуренцию со стороны IP-телефонии, и сотовые компании совсем не намерены мириться с тем, что Skype и подобные ему решения лишают их прибыли. РСПП, конечно, напрямую об этом не говорит, а апеллирует к тому, что защищенность Skype-трафика от прослушивания усложняет жизнь спецслужбам, и взывает к патриотизму, говоря, что «большинство оперирующих на территории РФ брендов, таких как Skype и ICQ, — иностранного происхождения, и поэтому необходимо обеспечить защиту отечественного производителя в этой области».
После публикации этой новости в прессе появились сообщения с заголовками в стиле «В России хотят запретить Skype», и союзу пришлось разъяснять, что Skype никто не предлагает запрещать, просто «необходимо так или иначе «оформить отношения» и российского бизнеса, и, тем более, государства с этим явлением».
Тем не менее, как известно, чиновничья мысль славится своими непредсказуемыми поворотами, а потому сложно сказать, к чему именно приведет предложение РСПП, многократно обдуманное множеством чиновников самых разных рангов. Между тем, отказ от Skype со стороны бизнеса может быть связан не только с его законодательным запретом, но и с вышедшим недавно законом о защите персональных данных.
Для того чтобы понять, как связаны Skype и этот закон и какова вероятность того, что Skype все-таки запретят, давайте попробуем посмотреть на него с двух различных позиций.
Skypeс точки зрения государства
Государственные организации Skype используют мало. А даже если и используют, то вполне могут обойтись и без него: те из них, которым нужны международные звонки, вполне в состоянии их оплатить, а остальным вполне достаточно и служебного телефона.
Количество вопросов, которые требуют немедленного регулирования по телефону, также меньше, чем у бизнеса, – поэтому вместо Skype вполне можно переписываться по электронной почте или наносить личные визиты. Таким образом, Skype может вызывать интерес у государственных структур только с экономической или политической точки зрения.
Экономическая точка зрения такова: Skype уменьшает прибыль сотовых операторов. Меньше прибыль – меньше налогов они заплатят.
Плата за использование Skype приводит к оттоку денег за океан, что также становится негативным, с государственной точки зрения, моментом в его использовании. Что касается российских компаний, работающих в области IP-телефонии, то они, конечно, зарабатывают меньше, чем сотовые операторы, и налогов тоже платят меньше, но все-таки какая-то польза от них госбюджету есть, потому вряд ли они всерьез пострадают в случае радикального «регулирования» использования Skype в России.
Теперь о политической точке зрения. Она четко выражена в обращении РСПП намеком на защищенность Skype-переговоров и словами «поэтому необходимо обеспечить защиту отечественного производителя».
Нужно отметить, что защищенность Skype от обычного любителя, вооруженного программой для перехвата трафика (сниффером), еще не означает его защищенности от специалистов спецслужб. Еще год назад европейское издание Heise Security сообщило об успешном перехвате Skype-трафика правоохранительными службами Австрии.
Кроме того, спецслужбы всегда могут воспользоваться для прослушивания уязвимостями в операционной системе, что технически более просто.
Законодательное лоббирование интересов отечественных компаний в ущерб интересам компаний иностранным вряд ли встретит понимание со стороны Всемирной торговой организации, и это весьма существенный момент. Если чиновникам удастся придумать, как ограничить использование Skype в пользу российских сотовых операторов и операторов IP-телефонии, не слишком обидев ВТО, то, вероятно, такое «регулирование» будет осуществлено.
Skypeс точки зрения бизнеса
Основную причину популярности Skype в бизнес-среде, несомненно, следует искать в выгодах, получаемых от его использования. Компания существенно экономит не только на международных звонках, но и на переговорах между различными офисами и филиалами даже в рамках одного города.
Сами компании с охотой говорят о выгодах, получаемых ими от использования Skype. Тем не менее, Skype будет популярен в бизнес-среде ровно до тех пор, пока он будет выгоден.
И российские компании, занимающиеся IP-телефонией и способные предложить что-то еще более выгодное, не менее востребованы, чем заокеанский продукт.
Все Skype-коммуникации можно разделить на два вида: Skype-to-Skype и Skype-to-Phone. Первый вид – это переговоры между двумя пользователями компьютеров, на которых установлен Skype.
Второй – звонки с компьютеров, на которых установлен Skype, на телефоны, в том числе, и мобильные. Skype-to-Skype успешно заменяется разговорами по ICQ, качественную и недорогую замену для Skype-to-Phone могут предложить российские VoIP-операторы.
Поэтому в том случае, если от Skype придется отказаться, у российского бизнеса есть запасные варианты. «Безусловно, Skype – важное средство коммуникации для нашего бизнеса, позволяющее оптимизировать затраты на звонки в другие регионы и страны. Тем не менее, в том случае, если от использования Skype для звонков на мобильные и стационарные телефоны придется по каким-либо причинам отказаться, это частично можно будет компенсировать звонками со Skype на Skype,» – говорит Андрей Рубашенко, руководитель службы безопасности калининградской компании «Бауцентр Рус».
Skype Laughter Chain
У Skype, как и у любого другого средства коммуникации, есть ряд особенностей, которые могут привести не только к извлечению выгоды, но и к существенным убыткам. Речь идет о пресловутом законе, защищающем жителей от утечек их персональных данных, – ведь Skype может быть одним из потенциальных каналов таких утечек.
Безусловно, в списке каналов коммуникаций, по которым может происходить утечка информации, Skype находится далеко не в полном одиночестве. Электронная почта, ICQ, социальные сети, форумы, блоги, наконец, даже просто распечатанные на бумаге данные – все это может использоваться для передачи за пределы вашей организации не только конфиденциальных сведений, защищаемых законом о персональных данных, но и другой информации, разглашение которой может быть нежелательным или даже опасным для вашего бизнеса.
Утечка может быть как умышленной, так и совершенно случайной, однако какой бы она ни была, от ответственности за нее, равно как и от убытков и упущенных возможностей, вас никто не освободит.
Устранение рисков использования Skype
Тем не менее, несмотря на обилие информационных каналов, потенциально могущих служить путем для покидающей фирму информации, Skype все-таки стоит среди них особняком. Если другие средства коммуникации (электронная почта, ICQ и тому подобные) используются российскими компаниями достаточно давно, и для мониторинга утечек информации по этим каналам есть множество различных решений, то со Skype все обстоит несколько иначе.
IP-телефония и, в частности, Skype начала активно использоваться для деловых коммуникаций значительно позже, чем электронная почта и ICQ, по причине чего и количество систем предотвращения утечек информации, поддерживающих Skype, значительно ниже.
Здесь необходимо прояснить одну техническую деталь. Существует распространенное заблуждение, что мониторинг информации, передаваемой по Skype, невозможен либо, по крайней мере, неоправданно дорог в связи с высокой степенью защищенности этого канала коммуникаций от прослушивания.
Действительно, если перехватывать Skype-трафик в глобальной сети, то его перехват и последующая расшифровка будут весьма непростым делом. Если же воспользоваться перехватом не трафика, а голосовой и текстовой информации, вводимой пользователем Skype на своем компьютере, тогда возможно отслеживать передачу информации по этому протоколу.
К сожалению, подключение автоматизированных систем защиты информации, в том числе, с применением системы распознавания речи, в таком случае затруднено. Подобные системы тщательно подстраиваются под особенности темпа речи, тембра голоса и дикции каждого человека, а потому использовать их в организации, где подстройку придется вести, как минимум, под несколько десятков голосов, довольно сложно.
Кроме того, в случае неправильного распознавания есть как риск допустить утечку информации, так и риск ложного срабатывания. По этой причине голосовые сообщения, переданные по Skype и своевременно перехваченные, придется вручную обрабатывать сотрудникам компании, ответственным за обеспечение ее информационной безопасности.
Давайте посмотрим, что могут предложить компании, желающей обезопасить себя от рисков, связанных с использованием Skype, ведущие поставщики средств от утечек данных, работающие на российском рынке. Основные игроки российского рынка систем информационной безопасности – «СофтИнформ», InfoWatch, Perimetrix, «Инфосистемы Джет» и WebSense.
Для получения адекватной картины предложений комплексов, предотвращающих утечки информации через Skype, были изучены официальные сайты этих компаний и заданы вопросы их представителям.
Специалисты Perimetrix пояснили, что их решение способно предупредить утечку через Skype, однако не позволяет делать это выборочно. То есть, с его помощью можно либо полностью разрешать весь Skype-трафик, либо полностью его блокировать, что, как отметили в Perimetrix, позволяет офицеру безопасности самому решать, принимает ли компания риск утечки через Skype или нет.
Фактически, в отношении Skype решение от Perimetrix работает как файрвол. В будущем полноценная поддержка Skype, по словам представителей компании, может быть реализована, если это будет востребовано рынком.
«Не факт, что Skype стоит запрещать, ? отмечает Илья Шабанов, руководитель аналитического центра компании InfoWatch. – Чаще стоит задача не запретить использование мессенждеров и средств VoIP, к каковым относится Skype, а производить мониторинг или снимать копию передаваемого трафика. Это позволяет проводить постанализ переданного трафика в случае каких-либо подозрений или инцидента, что, например, можно использовать в качестве доказательной базы.
Трафик у Skype зашифрован, поэтому его прослушивание требует установки ПО непосредственно на рабочие станции пользователей, что по целому ряду технологических причин не может быть хорошим шагом, поэтому в решениях InfoWatch это в настоящее время не используется».
В российском представительстве WebSense отметили, что среди офисных работников Skype высокой популярностью не пользуется, так как эта программа ориентирована больше на домашних пользователей. Тем не менее, перехват голосовых сообщений поддерживается, однако автоматическое распознавание передаваемой конфиденциальной информации отсутствует.
В компании «Инфосистемы Джет» затруднились сказать, поддерживает ли их программный продукт предотвращение утечек через Skype, и попросили неделю (!) на обдумывание ответа. По прошествии некоторого времени «Инфосистемы Джет» пояснили, что их сотрудники регулярно проверяют, не найден ли способ перехватывать и анализировать информацию, передаваемую по протоколам Skype.
Заместитель директора Центра информационной безопасности компании «Инфосистемы Джет» Евгений Акимов отметил, что «пока нет информации о средствах, которые позволяли бы на уровне сети (прокси-сервера, шлюза) контролировать информацию, передаваемую при помощи Skype, в том числе его чата, передачи файлов, звука, видео, а также его средств удаленного управления компьютером». По его словам, «известные «перехватчики», которые можно применить для Skype (например, SearchInform SkypeSniffer, Spectorsoft Spector 360), требуют установки агента на компьютер пользователя.
Этот агент выступает в роли кейлоггера, встраивается в драйвера звуковой карты и веб-камеры. В некоторых случаях агент также отслеживает открытые Skype файлы пользователя, регулярно делает и отправляет на сервер снимки экрана пользовательской рабочей станции.
Быстрого и надежного распознавания голоса и видео такие «перехватчики» не предусматривают». Впрочем, как считает эксперт, «решения, основанные на пользовательских агентах, вряд ли можно применить в масштабах страны. «Инфосистемы Джет» внедряет решения, включающие BlueCoat Proxy SG, с помощью которого можно запретить Skype для всех, а затем «открыть» для некоторых пользователей.
Вероятно, с помощью кластерных решений на базе BlueCoat можно было бы блокировать работу Skype в российском сегменте Интернета – но даже если удастся решить организационные и законодательные проблемы (что будет сложно, так как российское законодательство значительно отличается от китайского), в рамках страны это обойдется очень и очень дорого. К тому же, останется проблема с доступом к Интернету в обход «официальных» провайдеров (например, двусторонний спутниковый интернет, GPRS/EDGE/Wi-Fi/WiMAX в приграничных областях)».
У компании «СофтИнформ», в отличие от большинства конкурентов, поддержка Skype присутствует в виде программы SkypeSniffer. Здесь есть возможность перехвата голосовых (также без распознавания) и текстовых сообщений, а также передаваемых через Skype файлов.
SkypeSniffer, как пояснили в компании, является одной из составляющих разработанного ею «Контура информационной безопасности», позволяющего предотвращать утечки через множество популярных каналов коммуникаций.
Как видите, на российском рынке существуют решения для предотвращения утечек информации через Skype, и эти решения в свете закона о персональных данных стоит использовать компаниям, работающим с персональными данными. Остальные также могут извлечь выгоду из использования подобных решений.
Если же Skype запретят и компаниям придется переходить на какие-то другие продукты, соответственно, появится потребность в новых решениях для обеспечения информационной безопасности. Очевидно, в таком случае производителям средств обеспечения информационной безопасности придется предлагать клиентам продукты, соответствующие их потребностям.
Резюме
Каким бы ни было будущее Skype в России, вполне ясно, что в самое ближайшее время его запрета на законодательном уровне ждать не следует. Запрещать его использование в целях информационной безопасности также нет никакой необходимости, если воспользоваться соответствующими средствами защиты от утечек информации.
Тем не менее, для того чтобы быть готовым к возможным «сюжетным поворотам» в головах чиновников, стоит уже сегодня присмотреться к альтернативным решениям в области IP-телефонии.
Вадим Станкевич, специально для E-xecutive
