В предлагаемой статье описывается метод мгновенного обмена сообщениями, исследуются сопряженные с этим процессом риски, в частности, проблемы, связанные с безопасностью, конфиденциальностью и архивированием мгновенных сообщений,...
В предлагаемой статье описывается метод мгновенного обмена сообщениями, исследуются сопряженные с этим процессом риски, в частности, проблемы, связанные с безопасностью, конфиденциальностью и архивированием мгновенных сообщений, предлагаются стратегии минимизации упомянутых рисков.
Технология мгновенного обмена сообщениями (Instant Messaging, IM) переживает пору расцвета. Куда ни глянь — почти наверняка увидишь склонившуюся над клавиатурой фигуру, лихорадочно отстукивающую послания друзьям и коллегам. Эти послания — не электронные письма, а короткие сообщения, которые передаются непосредственно с одного компьютера на другой.
Ожидается, что общий объем продаж на глобальном рынке средств мгновенного обмена сообщениями к концу 2008 года, по некоторым оценкам, составит 413 млн. долл.
Что такое Instant Messaging
Мгновенный обмен сообщениями — это технология, позволяющая пользователю направлять электронные послания одному или нескольким адресатам
без задержек с момента отправки до момента получения сообщений. Мгновенный обмен подобен разговору — в том смысле, что его участники обмениваются репликами в реальном времени, и отличается от разговора только письменной формой. Для электронной почты характерно то, что письмо поступает в папку «Входящие» и остается непрочитанным до тех пор, пока получатель не откроет его, при этом получатель может не находиться в сети в момент передачи сообщения. Системы мгновенного обмена сообщениями функционируют иначе. Они извещают пользователя о том, когда другие пользователи подключаются к сети, становясь доступными для диалога.
Доставка сообщений IM-средствами может осуществляться с помощью одного из методов.
1. Централизованная сеть, обеспечивающая связь пользователей с несколькими серверами. Эти серверы направляют движение сообщения по сети до тех пор, пока оно не попадает к получателю. Системы IM такого типа обеспечивают хранение информации о пользователях, включая имена пользователей, пароли и «списки приятелей» (buddy lists).
2. Одноранговая сеть, в которой установлен один сервер с функцией отслеживания находящихся в сети пользователей. После того как система определяет пользователей, зарегистрированных в сети, сообщения направляются непосредственно получателям без какого-либо участия сервера. В этой схеме пользователи могут быстро обмениваться сообщениями, содержащими графики и объемные файлы.
3. Комбинация двух вышеописанных методов.
В каждом случае система IM сохраняет информацию о соединении находящегося в сети пользователя и список его контактов. Затем система определяет других зарегистрированных в сети пользователей и извещает этого пользователя о том, доступны ли они для диалога.
Некоторые проблемы, связанные с IM-технологией
Безопасность
В большинстве случаев метод мгновенного обмена сообщениями не обеспечивает того уровня защиты, который достигается при использовании корпоративной электронной почты, особенно когда речь идет об IM-системе от коммерческого производителя. Угрозу безопасности представляют серверы, находящиеся вне зоны контроля компании, эксплуатирующей систему. С помощью таких серверов хакеры могут вторгаться в IM-системы. Теоретически эти вторжения могут принимать такие формы, когда посторонние лица выдают себя за полноправных пользователей или пытаются каким-то иным образом нарушить нормальный режим работы IM-системы.
Более того, поскольку IM-системы могут выявлять адреса компьютеров участников обменов (IP-адреса), администраторы выражают обеспокоенность тем, что вся схема сетевых адресов, используемых в корпорации, может стать достоянием посторонних лиц.
Подобную же опасность представляют и вирусы. Для того чтобы развернуть в компании общедоступную IM-систему, администраторы должны открыть в средствах защиты компьютерных систем от угроз внешнего мира, известных как сетевые экраны, некую лазейку или «порт» для передачи данных. Чем больше открытых портов имеет сетевой экран, тем реальнее опасность того, что хакеры или вирусы смогут преодолеть защитные барьеры и нанести ущерб корпоративным компьютерам. Некоторые компании вообще запрещают использование IM-средств, опасаясь того, что вирусы сумеют «обмануть» установленные антивирусные программы.
Не приходится сомневаться, что в дальнейшем средства защиты будут совершенствоваться. Тем не менее компаниям следует не уповать на грядущие достижения, а обеспечивать защиту от возможных ошибок в сфере безопасности уже сегодня — настаивая на включении соответствующих статей в контракты с поставщиками IM-систем.
Конфиденциальность
Как может компания оградить себя от опасности предоставления поставщиками IM-средств конфиденциальных сведений об этой компании, ее клиентах и сотрудниках третьим лицам в целях проведения маркетинговых исследований и рекламных мероприятий? Такая опасность может возникать в тех случаях, когда доступ к информации имеет сам поставщик IM-средств. В качестве примера можно привести такую ситуацию, когда система мгновенного обмена сообщениями пропускает файлы клиента через аппаратные средства, контролируемые ее поставщиком. Чтобы меньше переживать за судьбу сведений о компании, ее представители должны как минимум потребовать от поставщика согласия на включение в контракт положений, обеспечивающих конфиденциальность такого рода информации.
Вопросы архивирования
Мгновенный обмен сообщениями — изначально неофициальный канал обмена данными. Вот почему, общаясь по нему со своими коллегами, пользователи порой не задумываются над тем, в какие слова облекаются их мысли, и даже затрагивают при этом свои личные проблемы. Возможно, они не знают, что их диалоги могут быть записаны и попасть в руки посторонних. Как и сообщения электронной почты, мгновенные сообщения могут сохраняться в течение длительного времени после их создания. Для этого достаточно просто вырезать текст сообщения и вставить его в отдельный документ, а позднее этот текст можно будет извлечь и распечатать или создать электронный журнал регистрации диалогов. Пока что IM-службы практически не оснащаются средствами шифрования, которые могли бы исключить возможность прочтения этих сообщений посторонними лицами.
Некоторые методы снижения уровня рисков
Решения об использовании IM-систем должны приниматься коммерческими организациями с учетом всех вышеупомянутых обстоятельств. Фирмы должны добиваться от поставщиков включения в контракты пунктов о защите конфиденциальности своих данных, а также принимать внутренние меры предосторожности, которые сводят риски к минимуму.
- Тщательно продумайте вопрос о том, следует ли разрешать сотрудникам использовать IM-средства. Если же им все-таки дается такое разрешение, рассмотрите вопрос об использовании системы мгновенного обмена сообщениями, разработанной специалистами вашей фирмы, и настоятельно посоветуйте сотрудникам использовать на работе именно эту, а не их персональные системы.
- Настаивайте на том, чтобы поставщик четко определил в контракте, какие меры он предпримет для того, чтобы сохранить безопасность и конфиденциальность информации компании. К примеру, получите от него серьезные гарантии обеспечения защиты от вирусов.
- Разъясните сотрудникам, какими опасностями чревата работа с IM-системами. В частности, предупредите их о недопустимости использования паролей внутрикорпоративного пользования и посоветуйте не открывать подозрительные присоединенные файлы.
- Блокируйте мгновенные сообщения, поступающие от адресатов, ведущих рассылку спама, и устанавливайте на настольных компьютерах пользователей антивирусные программы.
John A. Gliedman. A Strategy for Corporate Instant Messaging in 2005. Darwin. September 1, 2004