Зачем бизнесу защищенный мессенджер и какие уязвимости закрывает Time

Открытые коммуникационные платформы упрощают злоумышленникам первоначальный доступ к корпоративной инфраструктуре. После взлома одного сотрудника хакеры могут развивать атаку: внедрять на сервера вредоносное или шпионское ПО, подделывать финансовые документы или намеренно нарушать бизнес-процессы.

Хакерская атака может полностью остановить бизнес. Например, в 2024–2025 годах вирусами-шифровальщиками были заражены сервера нескольких крупных компаний в сфере ретейла, логистики и авиаперевозок. Недополученную выручку жертв взлома эксперты оценивали в диапазоне от 120 млн до 1 млрд рублей.

Если в результате взлома фирма скомпрометирует данные пользователей или клиентов, она может получить штраф, а руководители — столкнуться с уголовным преследованием в России. Федеральные законы № 420-ФЗ и № 421-ФЗ от 30 ноября 2024 года устанавливают максимальную ответственность для юридических лиц до 500 000 000 ₽ за утечку и до 10 лет лишения свободы за незаконную передачу или хранение персональной информации.

Сам факт использования открытых платформ тоже создает риски для переписки. Например, федеральный закон № 41-ФЗ с 1 июня 2025 года запрещает применять иностранные мессенджеры для коммуникаций между бизнесом и клиентами в ряде отраслей.

1. Атака типа «человек посередине». Злоумышленник внедряется между участниками сеанса связи и может слушать звонки, читать чаты и менять сообщения. Один из способов реализации атаки — перехват трафика при подключении сотрудника к незащищенным Wi-Fi-сетям: например, в кафе рядом с офисом. Снизить риск атаки может сквозное шифрование сообщений.

   Среди публичных мессенджеров сквозное шифрование по умолчанию доступно в Signal, но он заблокирован в России с 2024 года. Остальные приложения либо не поддерживают функцию в группах, либо требуют дополнительной настройки в профиле и общения через одинаковые операционные системы: iOS или Android.

2. Взлом аккаунта методом «грубой силы». В публичных мессенджерах компания не может проверить, что на устройствах работников стоит двухфакторная аутентификация, дополнительные ключи доступа или облачные пароли. Если цифровая грамотность коллег не очень высокая, мошенники могут получить доступ к аккаунту методом перебора паролей — это и есть атака «грубой силой».
3. Социальная инженерия, в том числе фишинг. Так называют ситуации, когда сотруднику присылают сообщения с вредоносными файлами и побуждают открыть их для последующей кражи паролей или документов. Мотивацией может быть страх, как в случае новой атаки на ИТ-разработчиков: сотрудникам присылали архив с якобы официальными документами об увольнении. Учитывая, что в публичных мессенджерах бизнес не контролирует, кто пишет пользователям, мошенники могут выдавать себя за коллег — например, из юридического отдела.
4. Атаки с подменой сим-карты. Если злоумышленники перевыпустят в салоне связи сим-карту с номером жертвы, они смогут читать уведомления и одноразовые коды из СМС и проходить авторизацию в приложениях пользователя, включая сервисы обмена сообщениями. Мошенники получают сим-карту с помощью сообщника в салоне связи или поддельных документов. Единственный способ защититься от такой атаки — отказаться от использования номера телефона для авторизации. Но в большинстве публичных мессенджеров такой опции нет.
5. Перехват сессии в Телеграме. Этот локальный тип атаки на популярный сервис обращается к уязвимости веб-версии или приложения для ПК на Windows. Хакеры могут получить доступ к аккаунту жертвы, если скачают с ее компьютера каталог tdata. Вводить пароль и проходить аутентификацию будет не нужно: пользователь даже не узнает, что кто-то использует его учетную запись на другом устройстве. Чтобы скачать каталог tdata, где хранятся ключи сессии Телеграма, мошенникам достаточно заразить вирусом ноутбук сотрудника: например, через пиратские файлы с торрентов.

В отличие от публичных, корпоративные мессенджеры предназначены только для деловой переписки и звонков. Они разработаны с учетом основных рисков, с которыми сталкивается бизнес. Среди преимуществ таких решений:

• Усиленная защита внутренних коммуникаций. Реализуется за счет обязательного шифрования трафика, многофакторной аутентификации и подключения мессенджера к системам информационной безопасности компании.
• Централизованное управление доступами. Администраторы могут присваивать разные уровни доступа пользователям, отключать аккаунты или активировать гостевые режимы для подрядчиков, чтобы предотвратить утечку коммерческой тайны.
• Юридическая защита. Российские корпоративные мессенджеры должны соответствовать нормативам по информационной безопасности от ФСТЭК, Роскомнадзора, Банка России и других регуляторов. Во избежание штрафов выполнять нормативы должны компании из сферы ретейла, финансов, медицины, транспорта, энергетики, промышленности, нефтегазового и госсектора.
• Защита репутации. Применение безопасных мессенджеров создает у клиентов и партнеров организации уверенность в надежности бизнеса.
• Интеграция с бизнес-инструментами. Благодаря открытому API и вебхукам защищенные мессенджеры можно связать с CRM-системами, ИИ-агентами, таск-менеджерами и другими корпоративными системами.

Российский мессенджер Time прошел аудит Т-Банка на соответствие нормативам для финсектора. Это одни из самых строгих нормативов по хранению и обработке данных в РФ, поэтому мессенджер подойдет даже требовательным компаниям. Вот как мы обеспечиваем высокую степень защиты:

1. Храним данные, включая файлы и сообщения, в надежной инфраструктуре. SaaS-версия мессенджера размещается в дата-центрах с сертификатами ISO/IEC 27001, 27017 и 27018, а также соответствует требованиям федерального закона № 152-ФЗ. Это подтверждает, что провайдер защищает облачную инфраструктуру на уровне международных и российских корпоративных стандартов.
2. Применяем протокол TLS, Transport Layer Security, который шифрует соединение между устройством пользователя и сервером, где находится мессенджер. Для безопасного веб-доступа используем протокол HTTPS.
3. Даем возможность настроить двухфакторную аутентификацию, 2FA. В качестве первого фактора администратор может установить связку почты и пароля или вход через корпоративные системы SSO, Single Sign-On. Второй фактор — одноразовые коды в Google Authenticator или Яндекс Ключ.
4. Поддерживаем подключение к корпоративным системам DLP, Data Loss Prevention. Они в реальном времени анализируют сообщения и фиксируют попытки передачи конфиденциальной информации.
5. Реализуем управление доступом на основе ролей — RBAC, Role-Based Access Control. Каждому типу пользователей присваиваются определенные права доступа.
6. Ограничиваем аутентификацию по доменам электронной почты, чтобы войти в систему могли только сотрудники с имейл-адресами доверенных организаций.
7. Регулярно проверяем образы контейнеров мессенджера на наличие уязвимостей на всех этапах сборки (from scratch) и доставки приложения (CI/CD). Это снижает риск наличия уязвимого кода в инфраструктуре. Дополнительно запустили программу поиска уязвимостей за вознаграждение, в которой может участвовать любой желающий, а не только разработчики Т-Банка.

В своих отчетах специалисты ИБ-компаний Positive Technologies, RED Security и BI.ZONE приводят несколько факторов, которые будут влиять на уязвимость бизнеса в 2026 году и способствовать развитию внутренних систем противодействия угрозам. Рассмотрим три ключевых.

В РФ продолжается стремительная цифровизация. Компании внедряют онлайн-сервисы, но не успевают с той же скоростью обновлять системы защиты и тем самым расширяют возможности для атак. Внедрение цифровых решений делает бизнес привлекательнее для мошенников, потому что компания увеличивает объемы хранимых данных.

Технологии кражи информации развиваются. Например, все чаще хакеры используют искусственный интеллект для написания вредоносного кода или поиска уязвимостей. Набирает популярность и мошенничество с применением дипфейков: хакеры обучают нейросеть генерировать внешность и голос коллеги жертвы, а затем через видеозвонки или голосовые сообщения убеждают открыть доступ к финансовой или ценной информации.

Регуляторные требования к компаниям ужесточаются. В первую очередь они затрагивают бизнес из критических отраслей, но возможны новые инициативы по развитию цифрового суверенитета, в том числе в рамках нацпроекта «Экономика данных».

Переход на корпоративные мессенджеры с безопасными чатами помогает компаниям сохранять конкурентоспособность в условиях цифровой трансформации. Но, чтобы ИТ-инфраструктура оставалась под защитой, сервис должен отвечать ряду требований:

• Хранить данные в РФ, желательно на выделенных корпоративных серверах.
• Выполнять нормативы Федеральной службы по техническому и экспортному контролю в рамках защиты систем. Например, среди обязательных мер: антивирусное ПО на серверах вендора, криптографическая защита, использование межсетевых экранов.
• Соответствовать требованиям Роскомнадзора по защите пользовательских данных — в первую очередь положениям федерального закона № 152-ФЗ.
• Предлагать централизованное управление пользователями, расширенные инструменты администрирования и установку ограничений по ролям.
• Уделять повышенное внимание корпоративным функциям. Создание групп и каналов, интеграция с системами CRM, почтовыми доменами, ИИ-агентами и другими сервисами не должны создавать бреши в защите бизнеса.