Вопрос информационной безопасности для нас и наших клиентов — серьезный. Неудивительно, ведь за последние годы в HR Tech отмечают резкий рост атак, особенно на системы, связанные с персональными данными сотрудников. Предлагаем вместе разобраться: что такое информационная безопасность сегодня, почему она стала критически важной для HR и IT-команд — и как адаптироваться к новым цифровым реалиям?
Немного о бэкграунде и опыте DaOffice. Мы давно поняли: платформа для внутренних коммуникаций работает с данными сотрудников, поэтому легко может стать объектом интереса для злоумышленников. Такие сервисы содержат персональные данные, чувствительную информацию и элементы коммерческой тайны — все это делает их потенциальной мишенью.
Поэтому наша команда часто работает не только с HR-отделами, но и с коллегами из подразделений информационной безопасности. Особенно это необходимо, если речь идет о крупном бизнесе, банках или энтерпрайз, где риски — реальные, а требования к безопасности корпоративных платформ и порталов наиболее строгие и конкретные.
За плечами DaOffice — несколько успешно реализованных проектов, которые были одобрены и согласованы ИБ-отделами и запущены с учетом всех требований. Конечно, согласование происходит не сразу: этот процесс требует не только терпения, но и профессиональных, технологически зрелых решений.
Многие думают, что кибербезопасность — это про хакеров и сложные системы защиты. Но все начинается с осознанности каждого сотрудника. HR-отделы работают с самыми уязвимыми данными: паспортами, номерами банковских карт, зарплатами, больничными, отпусками. Утечка такой информации может ударить не только по репутации компании, но и по конкретным людям. А в некоторых случаях даже подвергнуть их реальной опасности.
Плюс, не стоит забывать и про финансовые риски: утечка данных может обернуться оборотным штрафом — до 500 миллионов рублей.
Сегодня в компаниях все чаще появляются сотрудники, которые в своей ежедневной работе не пользуются компьютером. У них есть только смартфон. Но они также вовлечены в бизнес-процессы и работают с чувствительной информацией. DaOffice работает не только для офисного персонала, и защита корпоративной сети должна охватывать всех.
Информационная безопасность — это не только защита данных, но и уверенность в стабильной работе сервисов и надежная техническая поддержка. Если решение вдруг перестанет работать, то ломаются внутренние бизнес-процессы, теряется информация, сотрудники испытывают стресс.
Не стоит забывать и о такой угрозе безопасности компании как фальшивые HR-сервисы, которые могут выглядеть вполне обычно. Но через такие сайты легко украсть пароли и личные данные, а потом использовать их для взлома.
152-ФЗ «О персональных данных» — основной закон, регулирующий сбор, хранение, обработку и передачу персональных данных граждан России. При выборе корпоративной платформы важно убедиться, что она соответствует требованиям этого закона, особенно если сервис обрабатывает данные сотрудников.
В 2024 году платформа DaOffice выпустила глобальное обновление, в рамках которого переписала большую часть продукта. Команда разработчиков использовала последние версии компонентов, фреймворков, библиотек и собственных разработок. DaOffice стал импортонезависимым, перешел на более зрелые инженерные процессы. И главное — компания сделала ставку на безопасность. Решение DaOffice вошло в Реестр российского ПО, что подтвердило клиентам надежность разработки: компаниям необходимы отечественные решения для обеспечения безопасности корпоративных сетей.
Что было:
1️⃣ Автоматический контроль доступа сотрудников — интеграция с кадровыми системами (1С, Босс Кадровик и др.)
2️⃣ Интеграция с корпоративными SIEM и DLP системами
3️⃣ Единый вход (SSO)
4️⃣ Двухфакторная аутентификация
5️⃣ Гибкая настройка под ИБ-ландшафт клиента
6️⃣ Двойные бекапы
7️⃣ Разные дата-центры для хранения
8️⃣ Премодерация постов
Что доработали:
✅ Разработка с учетом всех трендов ИБ
✅ Защита от DDoS атак
✅ Запись и анализ действий пользователей
✅ Проверка на несанкционированный доступ PEN-тестами
✅ Интеграция с антивирусом
✅ Интеграция с системами предотвращения утечек
✅ Возможность подключения нейросети для автоматического контроля
Если кто-то случайно загрузит зараженный файл или выложит конфиденциальную информацию на платформе DaOffice — система защиты корпоративной сети сработает, а безопасники успеют все предотвратить. Если подведет сервер, информация будет сохранена. Если в контур компании попробует попасть нелегальный пользователь — система аутентификации не позволит ему это сделать.
Команда разработчиков старается предусмотреть любую из угроз, с которой можно столкнуться в современной цифровой реальности. Поэтому продолжает искать уязвимости и защищать своих пользователей и клиентов.
Коротко и простым языком про то, как защищен DaOffice:
● WAF (Web Application Firewall) — фильтрует трафик, не пускает ботов и злоумышленников. Иногда может «перестараться» и блокировать пользователя за 50 лайков подряд, но это лечится.
● Антивирусы — проверяют файлы на входе, особенно важно для «полевых» сотрудников, которые загружают документы со смартфона.
● DLP, SIEM, xDR — следят за действиями, выявляют странное поведение, не дают секретным файлам уйти в публичный доступ.
● VPN и MFA — шифруют доступ, требуют подтверждение личности. Особенно важно для удаленной работы.
● Обучение и коммуникация — простые уведомления, которые не раздражают, а помогают помнить о рисках.
● Отечественное ПО — дает устойчивость к санкциям и защищает от вредоносных действий по политическим мотивам.
Платформа DaOffice может поставляться не только в облаке, но и в коробочной версии — с установкой внутри инфраструктуры клиента, что особенно важно для компаний, которые заботятся о защите корпоративной сети на всех уровнях. А если нужно, возможен и промежуточный вариант — подбирается индивидуально, в зависимости от потребностей и уровня риска.
1️⃣ Используется ли сквозное шифрование при передаче сообщений и файлов?
2️⃣ Есть ли механизмы контроля доступа (многофакторная аутентификация, ролевые модели, SSO)?
3️⃣ Как обеспечивается аудит действий пользователей (логирование, отчёты о входах и изменениях)?
4️⃣ Поддерживается ли разделение прав доступа для разных уровней сотрудников?
5️⃣ Есть ли у платформы валидный SSL/TLS-сертификат?
6️⃣ Какова политика резервного копирования и восстановления данных после сбоев?
7️⃣ Поддерживает ли решение интеграцию с SIEM, DLP, IAM или другими корпоративными системами безопасности?
8️⃣ Есть ли API для безопасного обмена данными с другими внутренними системами?
9️⃣ Есть ли открытая политика конфиденциальности и условия обработки данных?
1️⃣0️⃣ Есть ли возможность локального развертывания (on-premise) — для компаний с повышенными требованиями?
Небольшой бонус от нас, который пригодится каждому. Простой список важных правил: распечатайте, разошлите или сделайте пост в DaOffice:
❌ Не используйте один и тот же пароль для всех сервисов
❌ Не отправляйте персональные данные по почте без шифрования
❌ Не храните сканы паспортов в открытых облаках
❌ Не заходите в HR-системы с чужих устройств
📞 Если пришло подозрительное письмо — звоните в IT
✔️ И будьте осознанны 🙂
Если вы хотите посмотреть, что «под капотом» у Daoffice в части безопасности — жмите кнопку и оставляйте свои контакты. Будем рады все рассказать и найти для вас самый безопасный вариант.
