Безопасность данных в наши дни у всех на устах, а защита конфиденциальных данных заслуживает особого внимания, особенно в цифровом пространстве. Для SeaTable высокие стандарты защиты и безопасности данных - это не просто пустая фраза, это важный элемент, лежащий в основе идеи компании, можно даже сказать, что это часть ее ДНК. Основатели с самого начала осознали необходимость в этом, поскольку все больше европейских компаний и учреждений ищут европейские альтернативы крупным американским провайдерам. По этой причине все данные в облачном решении хранятся на немецких серверах, принадлежащих сертифицированной швейцарской компании. Дополнительные меры безопасности включают шифрование HTTPS, безопасное управление файлами cookie, проверку ввода и принцип минимальных полномочий, который гарантирует, что каждый пользователь получает только необходимые права доступа.
Простая электронная таблица с возможностями базы данных
SeaTable - это инновационное бескодовое решение для эффективного управления данными с удобным конструктором приложений. Это позволяет любому человеку создавать цифровые решения для своих нужд - даже без знания программирования. С помощью SeaTable компании могут внедрять цифровые инновации и преобразования, обеспечивая при этом высокий уровень защиты и безопасности данных.
Pentest подтверждает хорошую защиту от кибер-атак
В первой половине 2024 года число кибератак на компании в регионе DACH увеличилось на 40 % по сравнению с аналогичным периодом 2023 года. Чтобы не отставать от постоянно растущих цифровых угроз, компании должны всегда быть на шаг впереди потенциальных хакерских атак. По этой причине SeaTable 2024 поручила компании SRC Security Research & Consulting GmbH провести тест на проникновение для выявления и оценки потенциальных уязвимостей. В ходе пентеста, который длился несколько недель, не было выявлено никаких высоких рисков. Уровень безопасности SeaTable был оценен как "хороший".
В качестве следующего шага компания SeaTable GmH намерена получить"Ускоренную сертификацию безопасности" (BSZ) от Федерального ведомства по информационной безопасности Германии (BSI) во второй половине 2025 года. Ральф Диллик-Бренцингер, генеральный директор SeaTable GmbH, в своем интервью рассказывает о достигнутом результате и дальнейших планах компании.
Ральф Диллик-Бренцингер, генеральный директор SeaTable GmbH
Защита данных и ИТ-безопасность - важные темы для SeaTable. Как вы обеспечиваете высокий уровень защиты данных с помощью вашего облачного решения?
RDB: Наши серверы расположены исключительно в Германии. Мы сотрудничаем со швейцарским провайдером Exoscale. Поэтому пользователи нашего облачного решения могут быть уверены, что их данные хранятся и обрабатываются в соответствии с нормами защиты данных. Если вам этого недостаточно, вы можете перейти на локальную версию и разместить SeaTable у себя. Чтобы получить независимое подтверждение безопасности нашего облачного решения, в этом году мы заказали пентест.
SeaTable существует с 2020 года, почему вы провели пентест только сейчас?
RDB: В последние годы наша компания и наше программное обеспечение неуклонно росли, насчитывая более 150 000 пользователей в более чем 50 странах, что, конечно же, повышало требования к нашей среде ИТ-безопасности. Сейчас мы также находимся на важном рубеже. Все больше крупных компаний и правительственных организаций проявляют интерес к нашим предложениям, и мы хотим выйти на международный уровень. Пентест помогает нам активно распознавать и устранять потенциальные слабые места - важное условие для сертификации BSI, к которой мы стремимся, - а также является сигналом для наших существующих и потенциальных клиентов, что их доверие к нам оправдано".
На рынке также есть сканеры безопасности, которые проверяют безопасность программ и иногда являются бесплатными. Почему не было такой возможности?
RDB: Безопасность данных наших клиентов - наш главный приоритет, и мы определенно хотели получить надежную экспертную оценку. Имеющиеся в настоящее время инструменты предлагают определенную поддержку, и мы также используем их. Однако большинство сканеров недостаточно для реальной оценки безопасности. Они основаны на стандартных методиках, но не понимают логику сложных процессов, например, когда для создания учетной записи требуется двухфакторная аутентификация. Человеку-пентестеру еще нужно подумать о том, как с помощью целенаправленных мер можно выполнить другие, фактически защищенные последующие шаги. А когда автоматизированный инструмент выявляет уязвимости, он обычно оценивает, насколько опасна уязвимость для каждого обнаружения в отдельности. С другой стороны, пентестеры могут оценить, не приводят ли различные слабые уязвимости в совокупности к высокому риску безопасности.
Как именно проводилось PenTest?
RDB: Была протестирована версия 5.0 программы SeaTable. Система была установлена нами в соответствии с официальными инструкциями. Настройки безопасности были эквивалентны настройкам нашей облачной системы. Основное внимание было уделено безопасности API и веб-приложения. Мы заранее обсудили цели теста с SRC Security и договорились смоделировать кибератаку с использованием инсайдерской информации, так называемый подход "серого ящика". Злоумышленник обладает ограниченной информацией о системе.
Каков был результат?
РДБ: Результат оказался даже лучше, чем мы ожидали. В прошлом мы постоянно работали над защитой нашей системы от кибератак и достигли высокого уровня защиты, но мы ожидали, что пентестеры все равно обнаружат уязвимости. В результате были выявлены две уязвимости, но ни одна из них не представляет высокого риска. Обе уязвимости будут устранены в одном из следующих обновлений.
Вы упомянули о сертификации BSI. Что происходит сейчас?
RDB: SRC Security основывает свои пентесты на "Концепции реализации тестов на проникновение" Федерального ведомства по информационной безопасности Германии (BSI). Успешно завершив тестирование, мы готовы в следующем году подать заявку на сертификацию BSI и официально подтвердить безопасность нашего программного обеспечения. Государственные учреждения и многие крупные компании придают большое значение такой сертификации или даже ожидают ее. Поэтому она является важным конкурентным преимуществом, в том числе и на международном уровне, поскольку сертификация BSI признается, в частности, во Франции, Великобритании, Канаде, Испании, Израиле и Турции.
SeaTable был разработан китайской компанией, владельцы которой также имеют долю в вашей компании. Сегодня к китайским связям относятся критически, особенно когда речь идет о защите конфиденциальных данных и интеллектуальной собственности. Как вы решаете эту проблему?
RDB: Наше партнерство с компанией Seafile Ltd, которая разрабатывает SeaTable, не является секретом, и об этом можно узнать на нашем сайте. Мы также активно сообщаем об этом при общении с клиентами. Мы знаем наших партнеров уже несколько лет, и у нас сложились доверительные отношения. Но, как я уже сказал, мы очень серьезно относимся к защите данных наших клиентов. Администрирование нашего облачного сервиса осуществляется исключительно нашими европейскими администраторами. Seafile Ltd. и ее сотрудники не имеют доступа к системе. Мы не передаем никаких данных за пределы Европы и уж тем более в Китай. Это не относится к американским сервисам. А если у вас все еще есть сомнения, вы можете легко разместить SeaTable на своих собственных серверах.
Заключение
Имитация кибератаки подтвердила, что SeaTable - это приложение с высоким уровнем безопасности. Конкретные варианты использования практически неограниченны - будь то система отслеживания ошибок, дорожная карта ИТ или система продажи билетов. Просто попробуйте его без обязательств и зарегистрируйтесь бесплатно.
"*" указывает на обязательные поля
