2023/08/22 12:28:11

Евгений Лобанков, «МФТ Платформа»: Как организовать безопасный обмен файлами в компании

Евгений Лобанков, директор по развитию компании «МФТ Платформа», в интервью TAdviser рассказал, почему бизнесу стоит внедрять защищенные решения для корпоративного файлового обмена. На примере программного комплекса «Ромашка», первого отечественного решения класса Managed File Transfer, рассказал, как управлять передачей данных в компаниях с повышенными требованиями к надежности и производительности.

Евгений
Лобанков
Одна из наших приоритетных задач — популяризация инструментов для автоматизации файлового обмена, как внутреннего, так и внешнего.

Зачем вообще нужно защищать данные при передаче?

Евгений Лобанков: По данным исследования Infowatch, количество утечек персональных данных и коммерческой тайны в России за первое полугодие 2022 года составило 305, это на 45,9% больше по сравнению с первым полугодием 2021 года. И это только те инциденты, о которых публично заявили компании.

Как считаете, что привело к интенсификации кибератак и утечек данных?

Евгений Лобанков: Во-первых, во время пандемии в компаниях произошло ослабление контроля над защитой информационных активов. Это привело к тому, что внешние нарушители стали объединяться с персоналом и склонять последних к участию в хищении данных.

Во-вторых, выросла доля скрытых внутренних нарушений. Утечки данных связаны не с нарушением правил безопасной передачи данных со стороны сотрудников, а с тем, что изначально система передачи данных была выстроена неверно: использование публичных облаков, флеш-накопителей, отсутствие централизованного контроля и т.д.Бизнес уходит в облако: стратегии и подходы

В-третьих, резкий всплеск активности хакеров произошел еще в начале 2022 года, а после февраля во всем мире выросло количество хакеров, появилось множество инструментов для участия в кибератаках так называемых «диванных кибервойск».

Расскажите о различиях между понятиями «корпоративный файлообменник» и «корпоративный файловый обмен»?

Евгений Лобанков: Зачастую под файловым обменом понимают только передачу файлов между сотрудниками или внешними контрагентами. В этом случае задействован «корпоративный файлообменник» — облачное хранилище, находящееся в периметре компании. Сотрудники и внешние контрагенты получают доступ к этому облаку через веб-браузер. Это действительно необходимое решение для компании, которая должна держать все чувствительные файлы во внутреннем периметре. На сегодня рынок насыщен решениями-файлообменниками.

Но корпоративный обмен файлами не ограничивается только облачным хранилищем для файлов. Есть и второй тип обмена — между корпоративными системами или бизнес-юнитами. Такой вид обмена условно можно назвать «регламентированным», поскольку его правила регламентируют передачу файлов по срокам, времени, частоте, зонам ответственности и т.д. Это отдельный вид передачи электронных данных между структурными подразделениями организации или информационными системами, он обеспечивает поддержание существующих производственных и бизнес-процессов.

Какие требования предъявляются к файловому обмену между корпоративными системами и подсистемами?

Евгений Лобанков: Этот тип обмена файлов более сложный, связанный с корпоративными системами, имеет несколько ключевых требований со стороны компаний.

Во-первых, это возможность работать с различными файловыми хранилищами организации, а не только с центральным хранилищем, как это реализовано в случае с «облаками» для передачи файлов.

Во-вторых, корпоративный файлообмен должен учитывать возможность передачи файлов не только через веб-браузер, а всеми современными способами: LAN (доступ по SMB-протоколу), стандартные протоколы SFTP, FTPS, HTTPS.

В-третьих, обязательна возможность автоматизации: запуск файлового обмена по событию, исполнение сценариев с множеством действий и т.п.

Какие компании заказывают решения для корпоративного файлового обмена между внешними системами?

Евгений Лобанков: Программные комплексы для корпоративного файлового обмена заказывают компании, у которых есть сложный файлообменный процесс внутри компании. Такие компании предъявляют повышенные требования к надежности и производительности.

Например, компании-разработчику ПО в рамках оказания технической поддержки нужна возможность для клиентов передавать лог-файлы большого размера в компанию для дальнейшего анализа. Без использования специальных утилит и без промежуточных облачных решений типа Google Drive. Тут как раз подходит решение «Ромашка», которое и даст возможность файлообмена между разными внешними системами.

Компании-экспортеру необходима возможность пересылки документации большого размера удаленными сотрудниками и внешними контрагентами без использования VPN.

Или у компании важный бизнес-процесс основан на требовании как можно более быстрой передачи определенных файлов (обновления ПО) партнерам. В случае сетевых сбоев требовалась оповестить администратора для решения данной проблемы.

Примеров привести можно еще много и из разных отраслей. Просто в один момент, когда компания уже выросла из малого предприятия и планирует масштабироваться дальше, вопрос сохранения коммерческой тайны и персональных данных клиентов становится остро. И нужно решать вопрос по защите ценной информации при ее передаче между сотрудниками, филиалами и контрагентами.

Большинство представленных на рынке решений представляют из себя ограниченные по функционалу файлообменники-облачные хранилища, но бизнес нуждается в многофункциональных решениях, которые учитывают взаимодействие между системами. Увидев спрос на такие продукты, мы создали централизованное решение для корпоративного файлового обмена между сотрудниками, структурными подразделениями и партнерами.

А за счет чего обеспечивается безопасность передачи файлов на платформе ПК «Ромашка»?

Евгений Лобанков: Мы поддерживаем различные варианты уже сложившихся «де-факто» индустриальных протоколов данных — HTTPS, FTPS, SFTP. Безопасность передачи файлов обеспечивается использованием надежных и современных алгоритмов криптозащиты для этих протоколов.

Для особо чувствительных направлений есть поддержка отечественной ГОСТ-криптографии, реализованная посредством сертифицированных компонент «КриптоПро» для непосредственной передачи данных через сеть интернет. Для обеспечения дополнительной безопасности есть возможность шифрования хранимых файлов при помощи встроенных средств ПК «Ромашка». Распознать такие файлы можно только в том случае, если пользователь получил их посредством ПК «Ромашка».

Можете привести несколько реальных кейсов использования вашей платформы у заказчиков?

Евгений Лобанков: Приведу в пример случай, когда заказчику необходимо было организовать доступ к разрозненным файловым ресурсам компании, с обязательным выставлением прав доступа, в соответствии со штатным расписанием. Также необходимо было организовать безопасную передачу файлов как внутри компании, так и за ее пределами. Еще одной важной задачей была автоматизация некоторых файлообменных процессов в филиале, с лимитированием занимаемого канала передачи данных из-за его плохой пропускной способности, но при наличии необходимости передавать файлы большого объема в центральный офис.

Файлообменники в классическом варианте исполнения в данном случае не подходили, так как размещать дополнительное файловое хранилище и переносить туда всю необходимую информацию заказчик не планировал. Что касается работы с удаленными филиалами и автоматическим перемещением объемных файлов в головной офис, то подобную возможность на сегодня мало кто, кроме нас, может предложить.

Мы провели интеграцию с корпоративным каталогом, прописали каждому сотруднику необходимый уровень доступа к ресурсам, объединили в единое пространство разрозненные файловые ресурсы, включая различные NAS, облака S3 Compatible, файловые хранилища на различных ОС.

В удаленных филиалах были созданы папки, мониторинг которых был поручен ПК «Ромашка». При появлении в этих папках файлов наша система в автоматическом режиме перенаправляет их в головную компанию, по предварительно заданным адресам. При этом была использована минимально возможная ширина канала для передачи данных, что также предусматривалось настройками ПК «Ромашка».

Есть еще не менее интересный кейс. Два раза в месяц компании требовалось передавать файлы из филиалов в центр. Для выполнения этой задачи был задействован сотрудник, который каждый раз получал дюжину флеш-накопителей и отправлялся в «турне» по всем филиалам компании. Это занимало много времени и несло риски утечки данных.

Решение перечисленных проблем было классической задачей для защищенного обмена файлами между людьми и системами. Для доступа сотрудников это реализовано через веб-браузер, который можно развернуть на любом компьютере или мобильном устройстве. Учитывая то, что некоторые контрагенты, особенно в случаях передачи файлов между системами подразделениями, предпочитают использовать SFTPFTPS-протоколы, мы предусмотрели возможность максимальной автоматизации и полного исключения человека из процесса. В результате процесс сбора критически важной информации у заказчика был оптимизирован, стал значительно быстрее, безопаснее и дешевле.

Каковы перспективы развития продукта: что нового появится в ближайшие год-два?

Евгений Лобанков: Мы внимательно следим за тенденциями на рынке корпоративного файлового обмена, учитывая то, что что фокус подобных решений будет все больше смещаться на автоматизацию процессов: систем становится слишком много, и они должны работать без участия человека (иначе возрастают риски ошибок). Мы планируем сделать особый акцент на оптимизации возможностей для внутреннего файлового обмена компании. Например, будут реализованы интеграции с другими продуктами, которые используются для работы с файлами.

Наша команда разработки старается больше ориентироваться на особенности инфраструктуры компаний-заказчиков, то есть мы работаем с реальными запросами и ситуациями. Одна из наших приоритетных задач — популяризация инструментов для автоматизации файлового обмена, как внутреннего, так и внешнего.

Давайте теперь поговорим про технические подробности. Какие возможности предоставляет программный комплекс «Ромашка»?

Евгений Лобанков: Перечислю основные функциональные преимущества комплекса:

  • Гибкая настройка прав доступа для каждого пользователя.
  • Поддержка работы с корпоративными серверами каталогов по протоколам LDAP, Windows AD, SAML SSO.
  • Двухфакторная авторизация (email или SMS)
  • Все транзакции и действия с файлами, а также изменения в администрировании ПК «Ромашка» записываются в журнал событий. Эта информация в любое время может быть проанализирована.
  • По желанию заказчика — отдельный уровень защиты от несанкционированного доступа. Через Шлюз ДМЗ будут идти все запросы из внешней сети к ПК Ромашка.
  • Возможность интеграции с DLP-системами через ICAP-протокол для инспекции трафика с целью предотвращения утечек данных.
  • Установка в виде кластера для масштабирования нагрузки и отказоустойчивых сценариев.
  • Возможность управления через интерфейсы COM, REST — дает широкие перспективы для интеграции с другими приложениями.
  • Квотирование трафика и дискового пространства.
  • Возможность использования ГОСТовской криптографии (через интеграцию с КриптоПро).

Программный комплекс интегрируется с антивирусными системами и DLP-системами по протоколу ICAP. Также есть широкий выбор REST-протоколов для управления комплексом, что дает большие возможности для интеграции с любыми другими системами, которые поддерживают REST, а также со службами каталогов. Среди наших заказчиков есть примеры интеграции комплекса «Ромашка» с системами .

Обычные файлообменники работают с универсальным хранилищем. Почему ваша компаний ушла от этого принципа?

Евгений Лобанков: В случае со стандартным «корпоративным файлообменником» все файлы находятся в едином файловом хранилище. Но если в организации необходимо получить данные из того или иного NAS-сервера, то для передачи файлов через «файлообменник» вначале необходимо переместить эти файлы в центральное хранилище. Это влечет дополнительные издержки, требует расширенных дисковых ресурсов и ведет к изменению процессов.

ПК «Ромашка» не имеет единого файлового хранилища и может работать с любыми файловыми ресурсами, принятыми в организации. Это всегда удобно, потому что «Ромашка» может безболезненно встроиться в ИТ-ландшафт с множеством NAS-серверов – комплекс связан с подобными сетевыми хранилищами напрямую и может оперативно скопировать необходимый файл с того сервера, где хранится этот документ.

Таким образом, интеграция ПК «Ромашка» в корпоративную инфраструктуру происходит максимально гибко — не нужно менять существующие процессы ради комплекса по файлообмену.

Часто можно слышать предложение, что FTP(S) и SFTP-серверы устарели, и вместо них надо внедрить некое унифицированное решение. Как вы к этому относитесь?

Евгений Лобанков: Действительно, такие предложения звучат довольно часто, в том числе со стороны специалистов по информационной безопасности. Объясняется эта идея тем, что наличие разнородных независимых серверов для передачи файлов — это потенциальная угроза безопасности. Как правило, взамен различных FTP и SFTP-серверов предлагают полную унификацию, то есть весь файловый обмен должен проводиться только через один интерфейс — веб-браузер.

На первый взгляд, идея здравая. Но ее авторы почему-то умалчивают о «цене» унификации файловых хранилищ — ведь для этого придется не просто отказаться от FTP и SFTP-серверов, а дополнительно изменить все существующие процессы и правила, в которых были использованы эти сервера.

В программном комплексе «Ромашка» мы реализовали другой подход. Он, с одной стороны, позволит сохранить все текущие процессы, не ломая людей, а с другой стороны, получить все озвученные выше преимущества от централизации.

В своем составе программный комплекс «Ромашка» имеет встроенные FTP и SFTP-сервера, с унифицированной системой управления и общей структурой безопасности. Благодаря этому интеграция комплекса в инфраструктуру компании позволяет сохранить все существующие формы передачи файлов, если компания-заказчик в них заинтересована. Все сотрудники и контрагенты компании продолжат работать так, как привыкли, и для них замена старых FTP и SFTP-серверов на ПК «Ромашка» пройдет незаметно.

Какие еще преимущества имеет ваше решение в сравнении с другими отечественными продуктами для файлового обмена?

Евгений Лобанков: ПК «Ромашка» отличается тем, что предоставляет не только общепринятый функционал для передачи файлов между сотрудниками, а также обеспечивает возможности для файлового обмена между системами (под словом «система» здесь понимается любая организация, подразделение, филиал, отдел — то есть та или иная организационная структура).

Когда речь заходит о жестко регламентированных процессах, которые должны выполняться регулярно и не зависеть от человека, то первым делом мы вспоминаем об автоматизации. Именно автоматизация процесса и исключение из него человеческого фактора является одним из основных факторов бесперебойной работы.

Исходя из этой цели, мы включили в ПК «Ромашка» инструментарий по автоматизации регулярных действий с файлами — их можно отправлять, исходя из различных параметров: по заданному расписанию, сразу после появления в определенной папке и т.д.

Например, если у сотрудника была задача «каждый вечер забирать файлы с одного сетевого диска, класть их на другой сетевой диск и отправлять письмо «шефу», то теперь эту задачу в автоматическом режиме может выполнять комплекс «Ромашка».

Резюмируя беседу, можно отметить, что для бизнеса ПК «Ромашка» — это современная альтернатива множеству узкоспециализированных инструментов, централизованное корпоративное решение для обмена данными между компаниями, работниками, клиентами и партнерами. Также ПК «Ромашка» комплексно решает задачи внутреннего файлообмена в логистически сложных сценариях использования внутри организации.