А общение точно защищенное? Топ-10 безопасных корпоративных мессенджеров

Сравнили корпоративные мессенджеры по десяти критериям безопасности, на которые надо смотреть, когда выбираете свой. Каждому присвоили оценку от 1 до 10. Рейтинг — в конце статьи.

Всем привет! Это команда корпоративного мессенджера Compass.

Compass за 10 минут устанавливается на ваш сервер. А если хотите начать безопасно общаться прямо сейчас, попробуйте облачную версию.

В этой статье разбираемся с безопасностью корпоративных мессенджеров.

Какие сервисы сравнивали: Compass, VK Teams, eXpress, Пачка, Яндекс, Tada.Team, Amo мессенджер, Mattermost, Rocket.Chat, Zulip.

По каким фичам сравнивали: есть ли on-premise, как шифруются данные при передаче, хранении на сервере и на устройстве, интегрируется ли с ИБ-системами, как защищают данные в облаке, делают ли отдельный контур для внешних пользователей, что с конфиденциальностью информации, как защищают данные при потере устройства и есть ли безопасные push-уведомления.

Ниже — подробно о каждом.

Корпоративный мессенджер с открытым исходным кодом и фокусом на безопасность, где есть все привычное для работы, бизнеса и клиентов: видеоконференции на 1000+ участников, чаты, треды, реакции. Есть две версии сервиса: on-premise и облачная, если хотите начать коммуникацию сразу.

On-premise: можно развернуть у себя, все данные находятся под контролем на вашем сервере.

Шифрование, когда данные передаются: информация защищена надежными протоколами TLS 1.3, SRTP и DTLS.

Как хранятся и шифруются данные на сервере: информация на сервере хранится в криптоконтейнере.

Как шифруются данные на устройстве: есть дополнительное шифрование данных на устройствах.

С какими ИБ-системами интегрируется: интегрируется с DLP системами, SIEM и антивирусами.

Как защищает данные в облаке: информация в облаке хранится в дата-центрах в зашифрованном виде, безопасность оборудования подтверждена международными стандартами ISO и ФСТЭК.

Отдельный контур для внешних пользователей: можно ограничивать видимость, права и доступы для гостей рабочего пространства — подрядчиков, партнеров и внештатных сотрудников.

Конфиденциальность информации: гибкие настройки приватности: можно запрещать загружать файлы, записывать голосовые, и отправлять личные сообщения.

Если устройство теряется: можно дистанционно разлогинить и удалить информацию приложения на устройстве сотрудника по команде с сервера.

Безопасные push-уведомления: можно настроить так, чтобы контент в push-уведомлениях не отражался, — перехватить или подсмотреть важную информацию не получится.

Дополнительно:

Open-source платформа для корпоративного общения, где можно управлять проектами и общаться с командой.

On-premise: можно развернуть на собственном сервере.

Шифрование, когда данные передаются: используется TLS/WSS и SSL.

Как хранятся и шифруются данные на сервере: данные на сервере хранятся в зашифрованном виде.

Как шифруются данные на устройстве: использует сквозное шифрование (E2EE).

С какими ИБ-системами интегрируется: интегрируется с LDAP, SAML и OAuth.

Как защищает данные в облаке: нет сертификата ФСТЭК и не входит в реестр российского ПО, но есть сертификаты ISO и американских учреждений: GDPR, HIPAA, FINRA, FedRAMP (так что, если открываете бизнес в России, лучше посмотреть на аналоги, сервис без галочки от росреестра сейчас — зона риска).

Отдельный контур для внешних пользователей: можно настраивать больше 180 разрешений и контролировать настройки для внешних пользователей.

Конфиденциальность информации: есть гибкие настройки.

Если устройство теряется: можно заблокировать пользователя по сигналу с сервера.

Безопасные push-уведомления: есть безопасные пуши.

Дополнительно:

eXpress — корпоративный мессенджер с конференциями на 250+ участников, личным кабинетом сотрудника и стандартными фичами — можно создавать групповые чаты, отправлять почту и создавать треды.

On-premise: корпоративные заказчики могут развернуть на сервере.

Шифрование, когда данные передаются: использует транспортное шифрование TLS 1.3 и DTLS, а еще есть возможность шифрования данных Е2ЕЕ.

Как хранятся и шифруются данные на сервере: пишут, что серверы on premise защищены внутри компании.

Как шифруются данные на устройстве: данные хранятся в криптоконтейнере — нельзя будет так просто скачать их вовне, а еще можно запретить делать скрины и запись экрана.

С какими ИБ-системами интегрируется: есть интеграция с корпоративными DLP-системами и SIEM.

Как защищает данные в облаке: есть сертификат от ФСТЭК.

Отдельный контур для внешних пользователей: есть гостевой доступ и расширенные настройки, чтобы управлять разрешениями для участников.

Конфиденциальность информации: eXpress предлагает стандартные настройки конфиденциальности, позволяющие ограничить доступ к информации.

Если устройство теряется: если устройства потеряли или сотрудника уволили, можно все удалить по команде с сервера.

Безопасные push-уведомления: есть дополнительная защита — содержание уведомлений можно скрывать.

Дополнительно: есть трехступенчатая аутентификация, согласно информации с сайта.

Open-source платформа с возможностью общаться и управлять проектами — есть чаты по темам и каналы.

On-premise: можно разворачивать на своем сервере.

Шифрование, когда данные передаются: TLS-шифрование.

Как хранятся и шифруются данные на сервере: шифрует, но не говорит, как.

Как шифруются данные на устройстве: есть шифрование HTTPS.

С какими ИБ-системами интегрируется: с LDAP, SAML и OAuth.

Как защищает данные в облаке: нет сертификата ФСТЭК и не входит в реестр российского ПО, но есть американские сертификаты.

Отдельный контур для внешних пользователей: можно создавать отдельные пространства и ограничивать настройки доступа.

Конфиденциальность информации: можно настраивать права пользователей во времени — ставить ограничение на период, в течение которого у нового участника будут только конкретные права.

Если устройство теряется: можно деактивировать любого пользователя по запросу с сервера.

Безопасные push-уведомления: есть безопасные пуши.

Дополнительно: есть SSO и синхро с Active Directory.

Mattermost — open-source платформа для корпоративного общения с каналами, плейбуками (можно автоматизировать рутину и превратить в шаблоны внутри мессенджера) и интеграциями.

On-premise: можно разворачивать на собственном сервере.

Шифрование, когда данные передаются: использует TLS.

Как хранятся и шифруются данные на сервере: изолирует данные компании от серверов других компании — случайных утечек быть не может.

Как шифруются данные на устройстве: защищают данные с ЕММ.

С какими ИБ-системами интегрируется: с LDAP, SAML и OAuth.

Как защищает данные в облаке: нет сертификата ФСТЭК и не входит в реестр российского ПО.

Отдельный контур для внешних пользователей: можно создавать отдельные рабочие пространства с гибкими правами доступа.

Конфиденциальность информации: гибкие настройки приватности — можно ограничивать доступ к информации и управлять правами пользователей.

Если устройство теряется: можно удалить данные с устройства пользователя при потере.

Безопасные push-уведомления: нет безопасных push-уведомлений.

VK Teams — облачный мессенджер на базе VK с интеграциями внутри экосистемы. Привычный интерфейс платформы, групповые чаты и видеоконференции.

On-premise: можно развернуть на своем сервере.

Шифрование, когда данные передаются: использует TLS 1.3, чтобы передавать данные.

Как хранятся и шифруются данные на сервере: нет информации о шифровании данных в хранилище.

Как шифруются данные на устройстве: аналогично — в официальной документации информации нет.

С какими ИБ-системами интегрируется: интеграция с DLP, SIEM-системами, антиспамом и антивирусами.

Как защищает данные в облаке: все данные лежат в специальных дата-центрах.

Отдельный контур для внешних пользователей: можно создавать отдельные рабочие пространства и ограничивать доступ для внешних пользователей, например, для партнеров. Но работает только на одном тарифе.

Конфиденциальность информации: здесь стандартные настройки приватности — можно ограничить доступ к информации.

Если устройство теряется: можно удалить данные с потерянного устройства по запросу от сервера.

Безопасные push-уведомления: есть скрытые пуши, чтобы никто не увидел содержимое.

Дополнительно: есть синхронизация с Active Directory, но только для одного тарифа, а еще — SSO.

Пачка — мессенджер для команд со встроенными списками дел и файловым хранилищем. Есть открытые и закрытые чаты, новостные каналы, сквозные треды и видеозвонки до 100 человек.

On-premise: сервис облачный, поэтому развернуть на собственном сервере невозможно.

Шифрование, когда данные передаются: использует TLS.

Как хранятся и шифруются данные на сервере: нет в документации.

Как шифруются данные на устройстве: нет в документации.

С какими ИБ-системами интегрируется: есть возможность интегрировать с DLP, но только индивидуально через API.

Как защищает данные в облаке: безопасность оборудования подтверждают международными стандартами ISO и ФСТЭК.

Отдельный контур для внешних пользователей: можно управлять доступами, добавлять админов, гостей и сотрудников.

Конфиденциальность информации: только стандартные настройки безопасности, без гибкого управления.

Если устройство теряется: если сотрудник потерял устройство или уволился, можно сразу же ограничить ему доступ.

Безопасные push-уведомления: стандартные механизмы push-уведомлений без дополнительной защиты.

Дополнительно: для on-premise есть синхро с Active Directory.

Tada.Team — платформа для командной работы, где можно управлять проектами, общаться, планировать и вести документооборот. Есть встроенный календарь, который можно синхронуть с существующими, списки дел и видео/аудио звонки до 25 человек.

On-premise: можно развернуть на своем сервере, но только для компаний от 1000 человек.

Шифрование, когда данные передаются: использует протокол TLS 1.3.

Как хранятся и шифруются данные на сервере: не публикует инфу о шифровании данных в хранилище.

Как шифруются данные на устройстве: можно настроить срок или отключить хранение данных на пользовательских устройствах.

С какими ИБ-системами интегрируется: пишут, что через API можно настроить интеграцию с чем угодно, но про встроенную интеграцию с ИБ ничего нет.

Как защищает данные в облаке: есть лицензия ФСТЭК.

Отдельный контур для внешних пользователей: можно создавать отдельные рабочие пространства с гостевым доступом.

Конфиденциальность информации: есть гибкие настройки приватности.

Если устройство теряется: аккаунты можно удалять только через поддержку.

Безопасные push-уведомления: можно контролировать видимость содержания пушей.

Вписывается в экосистему Яндекса с почтой, диском и всем прилежащим. Функции стандартны: есть каналы, чаты, видеозвонки, безопасный обмен файлами. Можно ставить статус профиля и отмечать важность сообщений, чтобы тегнуть всех.

On-premise: развернуть на своем сервере не получится, но можно обратиться в службу поддержки, чтобы настроить интеграцию и общаться с клиентами.

Шифрование, когда данные передаются: использует TLS.

Как хранятся и шифруются данные на сервере: есть сертификат от ФСТЭК — безопасность подтвердили.

Как шифруются данные на устройстве: информации в документации нет.

С какими ИБ-системами интегрируется: есть интеграция с DLP-системами, но только на Расширенном и Оптимальном тарифах.

Как защищает данные в облаке: зависит от мер безопасности, реализованных на стороне Яндекса.

Отдельный контур для внешних пользователей: можно создать локальные чаты и сохранить закрытый контур для компании.

Конфиденциальность информации: стандартные настройки конфиденциальности.

Если устройство теряется: есть — админы смогут выйти из всех акков сотрудника в случае чего.

Безопасные push-уведомления: Яндекс.Мессенджер использует стандартные механизмы push-уведомлений, которые не гарантируют дополнительную защиту.

Дополнительно: есть двухступенчатая авторизация, Active Directory и функция SSO.

Amo мессенджер — корпоративный мессенджер встроенный в систему AmoCRM. Можно общаться с клиентами и командой, создавать групповые чаты, вести переписку и отправлять файлы.

On-premise: сервис облачный, развернуть на своем сервере не получится.

Шифрование, когда данные передаются: использует SSL шифрование при передаче данных.

Как хранятся и шифруются данные на сервере: не публикует информацию.

Как шифруются данные на устройстве: нет инфы.

С какими ИБ-системами интегрируется: с системой AmoCRM, с которой можно настроить права доступа и мониторить деятельность пользователей.

Как защищает данные в облаке: сертификата от ФСТЭК нет, но входит в реестр российского ПО.

Отдельный контур для внешних пользователей: нет отдельных контуров для внешних пользователей.

Конфиденциальность информации: стандартные настройки конфиденциальности.

Если устройство теряется: пишут, что уволенные сотрудники потеряют доступ к спискам, а данные останутся внутри компании.

Безопасные push-уведомления: есть безопасные пуши, пишут, что текст сообщений виден только в приложении.

Важно: у Amo нет даже двухфакторной аутентификации, поэтому сняли за это 0.5 балла.

Вообще мессенджер — не только про безопасность, но и кучу других фич, поэтому если вы дружите с каким-то и он закрывает бизнес-задачи — срочно переезжать никуда не стоит. Ну, только если в Compass. Шутка! (или нет).

Признавайтесь в комментариях: чем пользовались, а чем — нет — из чисто корпоративных мессенджеров и что там не понравилось?

Про безопасность в мессенджере Compass уже рассказали.Чтобы внедрить ее в компанию, создавайте там пространство, где команда и менеджеры не беспокоятся о данных.

Если вас не больше 10 человек в команде — работайте там бесплатно. Если больше — тестируйте все фичи в бесплатный пробный период на 30 дней. Не важно не сервере разворачиваете или используете в облаке — мы следим за безопасностью всех данных и никаким не даем поблажек:)