Ит Проекти

Viber поверява своята сигурност на български експерти

Computer World

Viber е безплатно приложение за съобщения и разговори, което чрез интернет (през Wi-Fi или през мобилен пакет с данни) позволява на потребителите да комуникират независимо от това къде по света се намират. Освен това Viber дава възможност да се споделят стикери, емотикони, снимки и видео клипове. Всички чатове и обаждания в приложението са защитени с вградено цялостно криптиране, а използващите услугата вече са над един милиард.

 

Визитка на ИТ проекта

Име на проекта: Анализ на сигурността на Viber

Възложител: Viber

Изпълнител: HeleCloud

Локация: София

Дата на стартиране и приключване на проекта: Работата по проекта започва през април 2018 и продължава в рамките на шест седмици

Категория: ИТ проект в чужбина

Основни предизвикателства
Още от самото си създаване през 2010 израелската компания работи с Amazon Web Services (AWS) и е един от най-старите клиенти на облачната платформа. Но на фона на все по-големите потребителски критерии за сигурност и на новите регулаторни изисквания като регламента за защита на личните данни на Европейския съюз (GDPR) в Rakuten Viber осъзнават необходимостта от допълнително подобряване на своите защити. Затова през април тази година те стартират проект в тази насока и избират да поверят отговорната задача на българско-британската консултантска компания за облачни услуги HeleCloud.

Viber се стреми да спазва най-високи стандарти за сигурност за своите потребители, така че защитата на данните е основно изискване за платформата на приложението. От компанията изтъкват, че екипът на HeleCloud им е предоставил ясна и добре структурирана методология за оценяване на състоянието на системите от гледна точка на сигурност и съответствие, както и практическа информация в контекста на AWS платформата.

ИТ решение

Viber оперира в една доста мащабна среда и това носи своите предизвикателства. От една страна, организацията трябва да защити данните на над един милиард свои потребители, от друга страна, трябва да спази и различните регулаторни изисквания в отделните държави по света. Влизането в сила на GDPR през май се оказва във фокуса на настоящия проект за подобряване на сигурността, тъй като регламентът е изключително всеобхватен и промените имат задължителен характер.

Партньорството между екипите на HeleCloud и Viber продължава шест седмици, през които се извършват оценка и оптимизация на състоянието на системите от гледна точка изискванията за съответствие. След това двете компании заедно разглеждат и анализират платформата спрямо най-добрите практики за сигурност на AWS, AWS Well-architected Framework и AWS Cloud Adoption Framework. Също така те извършват оптимизация на GDPR средата; на контролите, използвани от Viber в AWS платформата, както и на тяхната ефективност.

В тази връзка от Viber искат да бъдат оценени контролите, които са установили в организацията, от три различни ъгъла – хора, процеси и технологии, с конкретния фокус върху AWS. След това е бил изготвен анализ на обхватността (gap analysis) и е била установена колко голяма е разликата между текущата реализация и изискванията на европейския регламент.

При повечето организации информационните системи се изграждат изцяло на база на техническия подход. Това важи в особено голяма степен за платформата AWS, където се набляга на инструменти като Security Groups, Identity and Access Management и Virtual Private Cloud. Съответно повечето компании не се справят добре, когато става дума за сигурност, свързана с процесите и служителите, отговорни за поддръжката и управлението на системите. Там обикновено се наблюдават доста по-големи празнини не само при дизайна, но и при реализацията. Такава се оказва и ситуацията при Viber.

Именно и затова от HeleCloud са приложили холистичен подход. От компанията обясняват, че независимо дали става дума за предпазване на личните данни или за по-генералната тема за съответствие в света на информационната сигурност, защитата на една система е толкова слаба, колкото е нейното най-слабо звено. Затова и нито една област не бива да се пропуска или пренебрегва, тъй като тя би могла да се експлоатира от служители с недобри намерения към организацията, от външни страни, от хакери, от мотивирани активисти. Експертите препоръчват винаги подходът да бъде всеобхватен, да няма фокус само върху технологиите, а да има и такъв по отношение на процесите и хората. Това ще даде възможност на една организация да създаде структура, която да улесни внедряването на информационна система от висок стандарт.

Viber поверява своята сигурност на български експерти

Ефект от ИТ решението
Работата и постиженията на целия екип се оценяват изключително високо от Viber. Платформата определя HeleCloud като компетентен, гъвкав и надежден партньор и препоръчва техните услуги на други организации, които искат да повишат своята сигурност в облачните си системи.

Всъщност екипът, работил по сигурността на Viber, е мултидисциплинарен и включва четирима консултанти с разнообразна експертиза – от защитата на личните данни и GDPR до задълбочени технически познания и умения за AWS платформата. В проекта участва и изпълнителният директор на HeleCloud Добромир Тодоров. Неговите основни отговорности са били да насочва проекта в желаната посока и да дава препоръки от високо ниво по отношение на това как платформата да подобри сигурността на своите системи и какви са празнините, които трябва да се отстранят.

Също така в екипа особено важна е била ролята на мениджъра по клиентското ангажиране, който през целия период на съвместна работа е осъществявал комуникацията с Viber и е проследявал отчетните резултати. Той е изготвил комуникационната структура на проекта, което включва ежедневните срещи за обмяна на информация, проверките за постигнатия напредък и предоставянето на доклади към различните отдели в Rakuten Viber.

В допълнение от страна на HeleCloud участват и двама инженери, които са създали скриптове за събиране, откриване и анализ на информацията. Това е един съществен аспект от работата с глобални компании като Viber, които разполагат обикновено с десетки терабайти данни, за чиято обработка е необходимо високо ниво на автоматизация. Чрез подобни скриптове могат да се изпращат милиони заявки за един ден, да се получава и събира на едно място информацията, след което тя да бъде разчитана правилно и предоставяна на клиента в разбираем вид.

Потенциал за развитие

При подобни проекти голямо значение има броят на пазарите, на които компанията функционира. Viber работи в повече от един регион и затова тя трябва винаги да бъде в съответствие с непрекъснато променящите се регулаторни, бизнес и  вътрешни стандарти. Ако GDPR се прилага в Европа, в други юрисдикции действат други закони. И когато една организация трябва да оперира в такъв глобален мащаб, тя трябва да се намери най-малкото общо кратно при тези изисквания, така че  системите да се реализират по начин, който не противоречи на стандартите в различните части на света. От HeleCloud са категорични, че това се постига, като се въвеждат набор от контроли за съответствие. В допълнение, за да се покрият изискванията на конкретното законодателство, се добавят и компенсаторни контроли за всяка една от отделните юрисдикции.

© Ай Си Ти Медиа ЕООД 1997-2020 съгласно Общи условия за ползване

X