Nije WhatsApp: Koje aplikacije stvarno štite poslovne tajne

Ako se u vašoj firmi i dalje službeno, kako glavno sredstvo komunikacije koristi mail, a neslužbeno sve prolazi kroz aplikacije poput WhatsAppa ili Vibera, onda imate problem, sigurnosti ali i regulatorni. Naime, većina popularnih chat-aplikacija nastala je kao igračka za potrošače, a ne kao alat za zaštitu poslovnih tajni, pregovora, due diligence materijala ili internih kriza.

Neprofitni projekt Privacy Guides, koji se bavi isključivo zaštitom privatnosti i nema komercijalne interese, objavio je ažurirani pregled 'najboljih privatnih instant messengera'. Fokus ovih aplikacija je jasan, zaštita od pasivnih napada, masovnog nadzora i surveillance kapitalizma, tj. modela u kojem kompanije žive od analize vaših komunikacijskih tragova.

Za poslovne korisnike poruka je jednostavna, vrijeme je za strategiju sigurnog dopisivanja, ne za nasumični izbor aplikacije 'koju svi koriste'. Prema analizi Privacy Guides, svjedočimo tihoj, ali masovnoj migraciji profesionalaca s komercijalnih platformi na alate koji nude 'Zero-Trust' arhitekturu jer više nije pitanje 'imate li što skrivati', već 'imate li što štititi'.

Alati koji redefiniraju sigurnost

Privacy Guides ne radi još jedan 'top 10' klikabilni popis. Oni postavljaju stroge, unaprijed definirane kriterije i zatim provjeravaju tko ih zaista ispunjava. Da bi neka aplikacija ušla u ovaj popis morala je zadovoljiti određene standarde. To znači da svaka aplikacija mora imati open- open-source klijente (kod je javan, može se provjeriti), end-to-end enkripciju (E2EE) koja mora biti uključena po defaultu za privatne poruke, moraju podržavati forward secrecy, česta rotacija ključeva kako bi kompromitacija jednog ključa ne otključala staru arhivu poruka te moraju imati neovisnu sigurnosnu reviziju treće strane. Uz to, aplikacija ne smije zahtijevati dijeljenje identifikatora poput telefonskog broja ili e-maila s kontaktima, osim ako korisnik to sam želi.

Za biznis to praktično znači da ako koristite alat koji ne zadovoljava ove kriterije, de facto ste odlučili da osjetljiva interna komunikacija nije u potpunosti zaštićena.

Signal: zlatni standard za većinu korisnika

Prva preporuka na listi je očekivana, a radi se o aplikaciji Signal koja je i najpoznatija aplikacija s ovog popisa. To je besplatna aplikacija koju razvija neprofitna organizacija Signal Messenger LLC i koja koristi Signal protokol, danas praktički industrijski standard za sigurno dopisivanje. Signal je od aplikacije za zviždače postao de facto standard za ozbiljnu poslovnu komunikaciju. Zašto? Zbog ravnoteže između upotrebljivosti i Signal protokola, koji se smatra najsigurnijim na tržištu.

Za menadžere je ključna funkcija Forward Secrecy. To znači da čak i da napadač danas ukrade ključ za dekripciju, neće moći pročitati vaše jučerašnje poruke. Ključevi se rotiraju konstantno, a novost koja mijenja igru je skrivanje telefonskih brojeva. Signal sada omogućuje korištenje korisničkih imena, što znači da zaposlenici mogu komunicirati s klijentima bez dijeljenja privatnog broja mobitela, čime se stvara jasna granica između privatnog i poslovnog identiteta.

Važna stavka za poslovne korisnike je i minimalizacija metapodataka. Naime, u pozadini, Signal skriva metapodatke koliko god je moguće. Grupe su dizajnirane tako da server ne zna tko je u kojoj grupi ni kako se zove, a dijelom se skriva i identitet pošiljatelja (sealed sender). Drugim riječima, davatelj usluge vidi minimalno. Za uprave i IT-odjele, Signal je danas najbolji kompromis između upotrebljivosti i sigurnosti: dovoljno 'pitom' da ga prihvati prosječan zaposlenik, dovoljno robustan da prođe ozbiljnu sigurnosnu i compliance analizu.

Molly: Tvrđava za Android korisnike

Ako je Signal standard, Molly je njegova oklopljena verzija namijenjena sektorima visokog rizika poput financija, prava ili istraživačkog novinarstva. Riječ je o forku (izvedenici) Signala za Android koji donosi sigurnosne značajke razine military-grade. Molly rješava problem fizičke krađe uređaja jer je baza podataka na mobitelu kriptirana, a podaci se mogu automatski brisati iz RAM memorije. Za menadžere koji putuju u regije s visokim rizikom od industrijske špijunaže ili zaplijene uređaja na granicama, Molly nudi opciju usmjeravanja prometa kroz Tor mrežu, čineći lokaciju korisnika nevidljivom. Za tipičnu korporaciju Signal je sasvim dovoljan dok Molly ima smisla za usko definirane skupine, primjerice, sigurnosne timove, istraživačke novinare u tvrtki, odvjetničke urede i sve koji se profesionalno bave visoko osjetljivom komunikacijom.

SimpleX i Briar: alati za 'crvene zone'

Treća i četvrta preporuka više su specijalizirani alati, ali za određene industrije i situacije mogu biti presudni. Kada su u pitanju osjetljive akvizicije ili povjerljivi pregovori, metapodaci su vaš najveći neprijatelj. Tu na scenu stupa SimpleX. Naime, SimpleX nudi komunikaciju bez identiteta. To znači da je ovo prvi messenger koji nema nikakve identifikatore, nema brojeva mobitela, nema emailova, nema čak ni fiksnih korisničkih imena. Radi na decentraliziranoj mreži, a kontakti se ostvaruju skeniranjem QR koda uživo, što eliminira Man-in-the-Middle napade.

Za poslovni svijet, SimpleX nudi otpornost na kvantna računala (quantum resistance) i 'unidirectional queues arhitekturu' koja sprječava profiliranje korisnika. Ako ne želite da itko zna da vaša tvrtka pregovara s konkurentom, SimpleX je alat izbora. Ovaj alat najčešće koriste  organizacije koje rade u autoritarnih režimima, istraživački novinari, odvjetnici i kompanije koje žele odvojiti određen dio komunikacije od bilo kakve klasične identitetske infrastrukture.

Briar: bez interneta, bez problema

Briar je dizajniran za scenarije gdje je internet nestabilan, cenzuriran ili potpuno blokiran. Po defaultu klijenti komuniciraju preko Tor mreže, što otežava cenzuru i nadzor. Ako interneta nema, Briar se prebacuje na lokalnu mrežu preko Wi-Fi-ja ili Bluetootha, stvarajući svojevrsnu mesh mrežu, pa  poruke putuju od uređaja do uređaja dok ne dođu do primatelja. Dodavanje kontakata nije trivijalno jer se obje strane moraju ručno dodati, putem briar:// linka ili skeniranjem QR koda. 

Briar nije alat za svakodnevnu internu chat-kulturu u korporaciji, ali može biti dio kriznog plana,  primjerice, za krizne timove, terenske ekipe u područjima katastrofa ili za organizacije koje moraju imati plan komunikacije u slučaju ciljanih blokada.

Sigurnost je investicija, ne trošak

Privacy Guides postavlja jasne kriterije za moderne alate. Oni moraju biti  Open-source (kod mora biti provjerljiv), imati E2EE (end-to-end enkripcija kao zadana postavka) i biti neovisne revizije. Za moderne kompanije, prelazak na ove alate nije paranoja, već strateška higijena. U doba kada podaci cure na sve strane, korištenje alata koji ne prikuplja podatke jedini je način da budete sigurni da oni neće biti kompromitirani.

Sjena 'Chat Controla' i budućnost poslovne tajne

Komunikacijske aplikacije postale su kritična poslovna infrastruktura. Chat više nije 'usputni kanal' za dogovor o kavi, već digitalni prostor gdje se odvijaju stvarni pregovori, donose odluke i razmjenjuju dokumenti. Upravo zato, oslanjanje na SMS (koji nije kriptiran) ili komercijalne aplikacije čiji poslovni model ovisi o monetizaciji vaših metapodataka, postaju neobranjiv rizik.

Za većinu kompanija, Signal će biti sasvim dovoljan 'radni konj'. No, za osjetljive pregovore, zaštitu zviždača ili rad u neprijateljskim okruženjima, nužno je definirati posebne kanale (poput SimpleX-a ili Briara) i jasna pravila tko ih i kada koristi.

Međutim, na horizontu se nadvija i regulatorna oluja koja bi mogla redefinirati tržište. Europska unija aktivno raspravlja o uvođenju tzv. 'Chat Control' regulative (prijedlog uredbe o borbi protiv seksualnog zlostavljanja djece). Iako plemenitog cilja, ovaj prijedlog u svojoj tehničkoj izvedbi sugerira uvođenje client-side scanninga, mehanizma koji bi skenirao poruke na uređaju prije nego što se one kriptiraju.

Ovo je u izravnoj suprotnosti s matematičkim principima E2EE enkripcije koju zagovaraju Privacy Guides. Meredith Whittaker, predsjednica Signala, već je javno zaprijetila da će Signal radije napustiti tržište Europske unije nego pristati na ugradnju 'stražnjih vrata' ili mehanizama za nadzor, jer bi to uništilo samu svrhu aplikacije.

Za poslovne korisnike to stvara paradoks. Regulativa koja bi trebala povećati sigurnost, zapravo bi mogla protjerati jedine alate koji garantiraju tehničku sigurnost poslovnih tajni. U tom kontekstu, prelazak na decentralizirane alate i 'Zero-Trust' modele nije samo pitanje trenutne sigurnosti, već i dugoročnog osiguranja da vaši podaci ostanu vaši, bez obzira na to što zakonodavac odluči, jer matematika enkripcije ne podliježe političkim kompromisima. Sigurnost je investicija, a u bližoj budućnosti, privatnost je jedina imovina koju jednom kad izgubite, ne možete kupiti natrag.