Nástroje jako Slack mají nesporně celou řadu svých výhod, které dobře znáte a byly už mnohokrát jinde popisovány, nicméně však trpí jednou, poměrně zásadní a z našeho pohledu často přehlíženou nevýhodou – využívají model Software as a Service (SaaS). To …
Naším cílem je především upozornit a poučit uživatele a společnosti, které této služby využívají na bezpečnostní rizika s tím spojená. Většinou jsou tato rizika ignorována dobrovolně a pod heslem "funguje to, tak proč to řešit". Současně s tím jsou také přehlíženy veškeré možné ekonomické a bezpečnostní dopady a ignorovány veškeré hrozby pro právo na soukromí a svobodu jednotlivců.
V čem tedy spočívá hlavní nebezpečí pro společnosti využívající podobných služeb? V tom, že veškerá vaše firemní komunikace leží na serverech provozovatele. Provozovatel má tedy neomezený přístup k informacím o vaší společnosti, o jejich aktivitách, plánech, atd. A to ne pouze z hlediska obsahu ale také z hlediska hodnoty, kterou tyto informace představují pro společnost samotnou. Často se jedná o obchodní tajemství, inovativní interní procesy, procesy výroby, díky kterým si společnosti udržují náskok před konkurencí. V tomto případě je pro uživatele asi nejmenší hrozbou právě provozovatel této služby – větší zájem na těchto datech bude mít konkurence, hackeři a další subjekty, které jsou aktivní v průmyslové špionáži.
Pro tyto subjekty je zisk autorizovaného přístupu k vašemu účtu na Slacku lákavý především kvůli jedné zásadní funkci (kromě toho, že ví, že tam je uložena veškerá vaše firemní komunikace, pochopitelně) – vyhledávání v celém archivu. S přístupem k této funkci lze prohledávat a zkoumat celou historii komunikace, včetně prohledávání zasílaných dokumentů mezi odděleními, protože vše je ukládáno a hlavně indexováno.
Je také dobré zmínit, že Slack je americká společnost, která využívá služeb a produktů dalších amerických společností typu Amazon Web services nebo Cloudfront, což v případě, kdy se zajímáme o soukromí a privátnost naší firemní komunikace, znamená, že jimi provozované služby podléhají zákonům platným ve Spojených státech, tedy i známému Patriot Act, na základě kterého musí dané společnosti v případě žádosti předat data úřadům v USA.
Chcete podstupovat risk s důvěrou v třetí stranu, tedy v provozovatele infrastruktury, na které běží a ukládá se vaše firemní komunikace? Nebo byste nad tím měli rádi kontrolu jen vy, vaše IT a bezpečnostní oddělení? Neberte tyto věci na lehkou váhu a posuňte se od důvěry ve třetí stranu k provozu vlastního bezpečného firemního kanálu pro důvěrnou komunikaci.