23 октября состоялся третий в году бизнес-завтрак ЭДО «Культура», организованный Ассоциацией «РОСЭУ» и МТС, прошедший на площадке компании ELMA, посвященный тематике информационной безопасности в ЭДО. Среди обсуждаемых тем — актуальные риски для электронного документооборота, необходимость пересмотра подхода к СЭД, суть термина «перевнедрение», и почему переход от управления исключительно документами к управлению смыслами не тренд, а необходимость?
Открыл мероприятие модератор Юрий Малинин, президент Ассоциации «РОСЭУ», представивший результаты опроса среди читалей канала «Всё Про ЭДО». По его данным лишь у малой части компаний существует полноценная стратегия защиты контента и учтены все риски, связанные с кибератаками на ЭДО. Значительная доля представителей рынка отмечает, что их основная стратегия информационной безопасности слабо защищает электронный документооборот, а некоторые только задумываются о возможных и возникающих угрозах. Среди конкретных рисков выделяются неконтролируемые утечки информации через мессенджеры и почту, частые нарушения регламентов сотрудниками, а также существенные пробелы киберзащиты при использовании гибридных сред. О переходе компаний от фрагментированных и устаревших структур к современной, управляемой цифровой платформе CSP с высокой степенью интеграции и защитой данных рассказал Денис Мочалов, эксперт Ассоциации «РОСЭУ», product lead ELMA365 СSP. В докладе спикер отметил важность автоматизации процессов, внедрение современных AI-инструментов и повышение безопасности бизнеса за счёт консолидации корпоративного контента и инструментов взаимодействия рабочих групп в единой информационной системе. Была представлена дорожная карта цифровой трансформации на ближайшие пять лет, акцентирующая преимущества инновационного подхода для повышения эффективности и устойчивого роста организаций. О современных методах защиты цифровых подписей и аутентификации в ИТ-инфраструктуре, уделив особое внимание аппаратным токенам с поддержкой NFC и USB для двухфакторной аутентификации, рассказал Кирилл Мещеряков, эксперт Ассоциации «РОСЭУ», эксперт по электронной подписи и аутентификации, Компания «Актив». Он рассказал о примерах использования защищенных носителей с поддержкой NFC в юридически значимом документообороте, отметил высокую актуальность таких устройств в корпоративном секторе. Возможности новых моделей токенов (NFC и USB Type-C), а также их интеграции через SDK в существующие бизнес-процессы позволяют обеспечить высокий уровень информационной безопасности одновременно значительно улучшив и упростив пользовательский опыт при работе с электронной подписью.
Современные практики защиты информационных систем ЭДО и EDI и актуальном комплексном подходе с использованием различных прикладных решений раскрыл Иван Дмитриев, эксперт Ассоциации «РОСЭУ», заместитель генерального директора по информационной безопасности, СберКорус. Спикером была представлена методология измерения безопасности в организации, включающая мнение CISO, проведение аудита, управление рисками или использование метрик. Сочетание объективности, реалистичности и доверия всех сторон, по словам эксперта, позволяет достичь необходимого и достаточного уровня защиты. Был также описан опыт компаний, где строгие меры по обеспечению защиты, в том числе двухфакторная аутентификация (2FA) и соответствие стандарту ISO 27001, существенно снизили количество инцидентов.
Риски для индустрии ЭДО, начиная с коммерческих нарушителей и атак шифровальщиков, вплоть до активности военизированных организаций с фокусом на DDoS вайперы, зафиксировал Лев Плинер, эксперт Ассоциации «РОСЭУ», технический директор направления ЭДО, СКБ Контур. Основная цель злоумышленников по его словам — нарушить непрерывность бизнеса, что иллюстрировалось примерами инцидентов. В качестве мер противодействия отмечена важность обратной связи от пользователей и согласованной работы всех операторов ЭДО, а также быстрая реакция удостоверяющих центров на инциденты.
В заключении Владимир Колесник, руководитель направления команды конструирования и архивного хранения документов МТС, разобрал практические аспекты перехода с бумажного документооборота на электронный. Он отметил,что соответствующие изменения требуют не только технических решений, но и соответствия нормативной базе РФ: ФЗ-152 «О персональных данных», ФЗ-63 «Об электронной подписи» и других. Среди ключевых вызовов — защита персональных данных, построение ролевых моделей доступа при интеграции, корректное использование простой электронной подписи и организация резервного копирования с учетом больших объёмов небольших файлов и невозможность остановки системы при бэкапе. Отдельно спикер остановился на юридических тонкостях применения простой электронной подписи и контроле контейнеров электронных документов через регистрацию действий в информационной системе.
Презентации спикеров доступны по ссылке. Запись бизнес-завтрака можно увидеть здесь.
Продолжение обсуждения вопросов, посвященных электронному документообороту, пройдёт на площадке Международного Форума ЭДО.