RSI platformos saugumas: IT kontrolinis sąrašas nuotoliniam vertimui

Nuotolinio sinchroninio vertimo (RSI) platformos pasirinkimas jau seniai nebėra vien kalbų įvairovės ar garso kokybės klausimas. Pasaulyje, kur vienas kompromituotas slaptažodis gali virsti pirmuosius žiniasklaidos puslapius pasiekiančiu skandalu, saugumas tampa bet kokio sėkmingo daugiakalbio renginio pamatu. Renginių organizatoriams, įmonių IT komandoms ir valstybinėms institucijoms rizika yra milžiniška. Jūs ne šiaip transliuojate garsą – jūs perduodate konfidencialias diskusijas, intelektinę nuosavybę ir įslaptintą valstybinę informaciją.

Todėl vertimo programinės įrangos saugumo vertinimas negali būti tik formalumas – tai privalo tapti prioritetu. Nuo ko pradėti, kai techninis žargonas dažnai klaidina? Būtent todėl parengėme šį IT specialistams skirtą kontrolinį sąrašą. Jis padės atsiriboti nuo rinkodaros triukšmo, suprasti, kaip veikia RSI platformos, ir užduoti taiklius klausimus renkantis saugų sprendimą.

Kodėl naršyklėje veikiančios RSI platformos yra saugesnės už programėles?

Vienas pirmųjų sprendimų – pasirinkti, ar naudosite platformą, kurią reikia įdiegti kaip programėlę, ar tokią, kuri veikia tiesiog interneto naršyklėje. Nors programėlės gali atrodyti kaip labiau kontroliuojama aplinka, saugumo požiūriu naršyklėje veikiantis sprendimas dažnai yra pranašesnis.

Štai kodėl:

• Mažesnis atakų paviršius: Kiekviena įdiegta programėlė sukuria papildomą pažeidžiamumą vartotojo įrenginyje. Naršyklėje veikiančios platformos šią riziką visiškai pašalina. Dalyviai prisijungia prie renginio nuskenavę QR kodą ar paspaudę nuorodą – nereikia diegti jokios naujos programinės įrangos, o įrenginyje nelieka jokių pašalinių failų.
• Automatiniai saugumo atnaujinimai: Populiariausias naršykles („Chrome“, „Safari“, „Firefox“) prižiūri geriausi pasaulio saugumo inžinieriai. Jie nuolat diegia automatinius saugumo atnaujinimus, todėl jūs ir renginio dalyviai visada naudojatės naujausia ir saugiausia versija. Tuo tarpu programėlių atnaujinimas priklauso nuo paties vartotojo, kuris dažnai šį veiksmą atidėlioja.
• Griežta izoliacija (angl. sandboxing): Šiuolaikinės naršyklės sukurtos veikti griežčiausio saugumo režimu. Jos naudoja griežtai kontroliuojamą aplinką, kuri izoliuoja vertimo platformos kodą nuo vartotojo operacinės sistemos. Dėl to kenkėjiškam kodui tampa kur kas sunkiau pasiekti kitą kompiuteryje esančią informaciją. Skirtingai nei programėlės, interneto svetainės neturi tokios laisvės stebėti jūsų veiklos įrenginyje.

Organizuojant konfidencialius įmonių ar valstybinių institucijų posėdžius, reikalauti, kad šimtai ar tūkstančiai dalyvių įsidiegtų trečiųjų šalių programėlę, dažnai yra tiesiog neįmanoma. Tai – logistinis košmaras ir nereikalinga saugumo rizika. Visiškai naršyklėje veikianti platforma, tokia kaip InterpretWise, supaprastina prieigą neaukodama saugumo ir leidžia per kelias minutes paruošti sistemą tūkstančiams dalyvių.

Ištisinis šifravimas (E2EE) sinchroniniame vertime: į ką atkreipti dėmesį

Žodį „šifruota“ pamatysite visur, tačiau šifravimas šifravimui nelygus. Daugelis platformų naudoja duomenų perdavimo lygmens šifravimą (angl. transport-layer encryption), kuris apsaugo duomenis jiems keliaujant tarp jūsų įrenginio ir platformos serverių. Tačiau serveriuose duomenys dažnai iššifruojami, o tai sukuria potencialią saugumo spragą.

Norėdami užtikrinti visišką duomenų privatumą vertimo metu, reikalaukite ištisinio šifravimo (angl. End-to-End Encryption, E2EE).

Štai koks skirtumas:

• Duomenų perdavimo lygmens šifravimas: Apsaugo jūsų duomenis tik perdavimo metu. Tai tarsi siuntinio gabenimas šarvuotu sunkvežimiu. Sunkvežimis saugus, tačiau siuntinys gali būti atidarytas paskirstymo centre.
• Ištisinis šifravimas (E2EE): Apsaugo jūsų duomenis nuo siuntėjo iki gavėjo visos kelionės metu. Naudojant E2EE, garso ir vaizdo srautai užšifruojami kalbėtojo įrenginyje ir gali būti iššifruoti tik klausytojo įrenginyje. Net pati platforma neturi prieigos prie jūsų pokalbių turinio. Tai tarsi laiško siuntimas užrakintoje seifo dėžutėje, kurios raktą turite tik jūs ir gavėjas.

Vertindami RSI platformos saugumą, paprašykite tiekėjų detaliai paaiškinti jų naudojamą šifravimo modelį. Nesitenkinkite aptakiu atsakymu „mes naudojame šifravimą“. Konkrečiai paklauskite, ar jie siūlo tikrą, dinamišką E2EE visiems garso ir vaizdo srautams, kad jūsų konfidencialūs posėdžiai tikrai liktų uždari.

BDAR, EEE ir duomenų suverenumas: klausimai jūsų RSI tiekėjui

Jei organizuojate renginius ES auditorijai arba esate ES įsikūrusi įmonė, BDAR (Bendrojo duomenų apsaugos reglamento) atitiktis nėra tik pasirinkimas – tai teisinė prievolė. BDAR griežtai reglamentuoja ES gyventojų asmens duomenų tvarkymą ir yra taikomas net ir ne ES įsikūrusioms įmonėms. Žvelgiant į 2025 m. ir vėlesnį laikotarpį, teisinė bazė tik griežtėja, ypač įsigaliojus ES Dirbtinio intelekto aktui. Kaip renginių organizatoriams, labai svarbu suprasti BDAR oficialią santrauką.

Duomenų suverenumas – dar viena kritiškai svarbi dėlionės dalis. Tai principas, nurodantis, kad duomenims taikomi tos valstybės, kurioje jie fiziškai saugomi, įstatymai. Valstybinėms, teisinėms ir verslo organizacijoms jautrių duomenų laikymas konkrečioje jurisdikcijoje (pvz., ES) yra absoliuti būtinybė.

Jūsų BDAR reikalavimus atitinkančios vertimo platformos kontroliniame sąraše turėtų būti šie klausimai:

• Kur saugomi mano duomenys? Ar jie laikomi ES esančiuose serveriuose? Ar galite garantuoti, kad duomenys nebus perduodami už Europos ekonominės erdvės (EEE) ribų?
• Kaip tvarkote duomenis? Platforma turėtų veikti kaip „duomenų tvarkytojas“ pagal BDAR, turėti aiškias duomenų minimizavimo, tikslo apribojimo ir vartotojo sutikimo politikas.
• Ar atitinkate „Schrems II“ reikalavimus? Šis Europos Sąjungos Teisingumo Teismo sprendimas panaikino „Privatumo skydo“ (angl. Privacy Shield) susitarimą tarp ES ir JAV, nustatydamas griežtesnes taisykles duomenų perdavimui į JAV. Jūsų tiekėjas privalo turėti teisiškai pagrįstą mechanizmą bet kokiems būtiniems duomenų perdavimams.
• Ar galite patenkinti duomenų subjektų prašymus? Pagal BDAR asmenys turi teisę susipažinti su savo duomenimis arba reikalauti juos ištrinti. Platforma privalo turėti aiškų procesą, kaip šiuos prašymus įgyvendinti.

Tikrai BDAR reikalavimus atitinkanti vertimo platforma pateiks aiškius ir skaidrius atsakymus į šiuos klausimus. InterpretWise, stipriai orientuota į ES rinką, yra sukurta remiantis griežtais BDAR atitikties ir duomenų suverenumo principais, užtikrinančiais, kad jūsų duomenys būtų tvarkomi nepriekaištingai.

Vartotojų autentifikavimas ir prieigos kontrolė (QR kodai, saugūs prisijungimai)

Kaip užtikrinti, kad renginyje dalyvautų tik kviestiniai asmenys? Saugi RSI platforma privalo turėti patikimą prieigos kontrolę. Šiandien kibernetinės atakos vis dažniau nukreipiamos į tapatybės vagystes, nes vienas kompromituotas prisijungimas gali suteikti užpuolikui plačią prieigą prie sistemos.

Ieškokite platformų, siūlančių lanksčius ir saugius autentifikavimo metodus:

• Prieiga naudojant QR kodą: Dideliems renginiams QR kodai yra idealus sprendimas. Dalyviai tiesiog nuskenuoja kodą ir prisijungia prie garso transliacijos savo kalba. Šis metodas yra greitas, nereikalauja siųstis programėlės, kurti paskyros ar atsiminti slaptažodžio.
• Saugios, unikalios nuorodos: Mažesniems įmonių posėdžiams ar aukšto saugumo lygio instruktažams platforma turėtų gebėti sugeneruoti unikalias, laikinai galiojančias nuorodas kiekvienam dalyviui atskirai.
• Integracija su bendrojo prisijungimo (SSO) sistema: Vidinei įmonės komunikacijai integracija su jūsų esamu SSO teikėju (pvz., „Azure AD“ ar „Okta“) užtikrina, kad vertimą pasiektų tik autentifikuoti darbuotojai.
• Vaidmenimis pagrįsta prieigos kontrolė (RBAC): Platforma turėtų leisti priskirti skirtingus vaidmenis – organizatoriaus, vertėjo, dalyvio – kiekvienam suteikiant tik jam priklausančius leidimus. Tai apsaugo nuo situacijų, kai dalyvis netyčia gauna prieigą prie vertėjų kanalų ar renginio valdymo funkcijų.

Silpna prieigos kontrolė yra atviras kvietimas piktavaliams. Stiprus, daugiaveiksnis autentifikavimas yra nediskutuotinas bet kokios saugios vertimo programinės įrangos reikalavimas.

RSI platformų tinklo ir infrastruktūros saugumas

Platformos saugumas tiesiogiai priklauso nuo jos pamatinės infrastruktūros. Nors jūs neadministruosite platformos serverių, privalote užduoti klausimus, atskleidžiančius tiekėjo požiūrį į infrastruktūros saugumą. Tikslas – įsitikinti, kad jie proaktyviai valdo rizikas, o ne tik reaguoja į jau įvykusius incidentus.

Svarbiausi klausimai jūsų tiekėjui:

• Kaip užtikrinate tinklo saugumą? Tiekėjas turėtų paminėti užkardas, įsibrovimų aptikimo sistemas (IDS) ir reguliarų tinklo pažeidžiamumų skenavimą.
• Koks yra jūsų sistemų atnaujinimo ir pataisų diegimo procesas? Proaktyvus tiekėjas taikys „shift-left“ principą, integruodamas saugumą dar ankstyvoje programinės įrangos kūrimo stadijoje ir operatyviai diegdamas kritinius saugumo atnaujinimus.
• Ar reguliariai atliekate įsiskverbimo testavimą (angl. penetration testing)? Nepriklausomų ekspertų atliekamas įsiskverbimo testavimas yra esminė praktika, kai etiški įsilaužėliai bando rasti platformos pažeidžiamumus anksčiau nei tai padarys piktavaliai. Tai turėtų būti daroma bent kartą per metus.
• Koks jūsų avarinio atkūrimo (angl. disaster recovery) ir veiklos tęstinumo planas? Kas nutiktų, jei pagrindinis duomenų centras nustotų veikti? Tiekėjas privalo turėti aiškų atsarginio centro aktyvavimo planą, kad jūsų renginys vyktų be trikdžių.

Jums nebūtina tapti tinklo inžinieriumi – svarbiausia įsitikinti, kad tiekėjas turi profesionalius, dokumentuotus procesus, skirtus apsaugoti infrastruktūrą, nuo kurios priklauso jūsų renginių sėkmė.

Saugumo sertifikatai: SOC 2, ISO 27001 ir ką jie reiškia

Saugumo sertifikatai – tai nepriklausomas, trečiosios šalies patvirtinimas, kad tiekėjas į saugumą žiūri rimtai. Du svarbiausi standartai programinės įrangos kaip paslaugos (SaaS) įmonėms yra SOC 2 ir ISO 27001.

• ISO 27001: Kaip aprašyta ISO/IEC 27001 informacijos saugumo standarte, tai visame pasaulyje pripažintas informacijos saugumo valdymo sistemos (ISVS, angl. ISMS) standartas. Tai griežta sistema, reikalaujanti, kad įmonė sukurtų ir palaikytų išsamią saugumo programą, pagrįstą rizikų vertinimu ir nuolatiniu tobulinimu. Tai ypač svarbu tiekėjams, dirbantiems Europos ir pasaulinėse rinkose.
• SOC 2: Sukurtas Amerikos atestuotų viešųjų buhalterių instituto (AICPA), SOC 2 standartas patvirtina įmonės kontrolės priemones pagal penkis „pasitikėjimo paslaugų kriterijus“: saugumą, prieinamumą, apdorojimo vientisumą, konfidencialumą ir privatumą. II tipo ataskaita yra pati vertingiausia, nes ji vertina šių kontrolės priemonių veiksmingumą per tam tikrą laikotarpį (paprastai 6–12 mėnesių), o ne vienu konkrečiu momentu. Tai de facto standartas SaaS įmonėms, dirbančioms su JAV klientais.

Nors SOC 2 labiau paplitęs Šiaurės Amerikoje, o ISO 27001 laikomas pasauliniu aukso standartu, brandžios organizacijos dažnai siekia abiejų. Tiekėjas, turintis šiuos sertifikatus, demonstruoja solidžias investicijas į saugumą ir realų įsipareigojimą saugoti jūsų duomenis.

Galutinis saugumo kontrolinis sąrašas renkantis RSI platformą

Kai būsite pasirengę vertinti tiekėją, naudokite šį sąrašą kaip gaires deryboms.

Tiekėjas ir atitiktis

• [ ] Ar turite SOC 2 II tipo ir (arba) ISO 27001 sertifikatus?
• [ ] Ar galite garantuoti duomenų saugojimą konkrečiame regione (pvz., ES)?
• [ ] Ar visiškai atitinkate BDAR reikalavimus, įskaitant duomenų subjektų teisių užtikrinimą?

Platforma ir duomenų saugumas

• [ ] Ar platforma veikia 100 % naršyklėje ir nereikalauja iš dalyvių siųstis programėlių?
• [ ] Ar siūlote tikrą ištisinį šifravimą (E2EE) visiems garso ir vaizdo srautams?
• [ ] Kaip šifruojate saugomus duomenis (angl. data at rest) savo serveriuose?

Prieigos kontrolė

• [ ] Kokius dalyvių autentifikavimo metodus siūlote (QR kodai, unikalios nuorodos, SSO)?
• [ ] Ar jūsų platforma palaiko vaidmenimis pagrįstą prieigos kontrolę (organizatorius, vertėjas, dalyvis)?

Infrastruktūra ir operacijos

• [ ] Ar reguliariai (bent kartą per metus) atliekate nepriklausomą įsiskverbimo testavimą?
• [ ] Kokia jūsų politika dėl saugumo pataisų diegimo kritinėse sistemose?
• [ ] Ar turite dokumentuotą avarinio atkūrimo planą?

Teisingas pasirinkimas apsaugo jūsų organizacijos reputaciją, dalyvių privatumą ir užtikrina renginio sėkmę. Jei norite sužinoti, kaip InterpretWise atitinka šį kontrolinį sąrašą, kviečiame užsisakyti saugumo peržiūrą su mūsų komanda. Esame pasirengę atsakyti į pačius sudėtingiausius jūsų klausimus.

Dažniausiai užduodami klausimai

<details>

<summary>DUK: Kaip užtikrinamas konfidencialumas nuotoliniame sinchroniniame vertime?</summary>

Konfidencialumas nuotoliniame vertime užtikrinamas technologinių ir procesinių priemonių deriniu. Technologiniu požiūriu, saugios RSI platformos naudoja ištisinį šifravimą (E2EE), kad pokalbį galėtų girdėti tik įgalioti dalyviai. Organizaciniu požiūriu, paslaugų teikėjai su visais vertėjais pasirašo griežtas konfidencialumo sutartis (NDA), o prieiga prie renginio duomenų kontroliuojama per vaidmenimis pagrįstus leidimus. Pati platforma taip pat privalo būti talpinama saugioje infrastruktūroje, kurioje reguliariai atliekami saugumo auditai.

</details>

<details>

<summary>DUK: Ar nuotolinis sinchroninis vertimas yra saugus?</summary>

Taip, nuotolinis sinchroninis vertimas gali būti itin saugus, jei pasirinksite tinkamą platformą. Saugi RSI platforma pasižymės ištisiniu šifravimu (E2EE), BDAR atitiktimi, saugia prieigos kontrole (pvz., QR kodais) ir veiks sertifikuotoje infrastruktūroje (pvz., SOC 2 ar ISO 27001). Naršyklėje veikiančios platformos suteikia papildomą saugumo lygmenį, nes dalyviams nereikia siųstis jokių programėlių.

</details>

<details>

<summary>DUK: Kas yra ištisinis šifravimas (E2EE) vaizdo konferencijose?</summary>

Ištisinis šifravimas (E2EE) – tai saugumo metodas, kai komunikacija (vaizdas, garsas, susirašinėjimas) užšifruojama siuntėjo įrenginyje ir iššifruojama tik gavėjo įrenginyje. Tai neleidžia niekam, kas yra tarp siuntėjo ir gavėjo – įskaitant platformos teikėją, interneto paslaugų tiekėjus ar įsilaužėlius – pasiekti pokalbio turinio. Tai laikoma aukščiausiu privatumo standartu tiesioginėje komunikacijoje.

</details>

<details>

<summary>DUK: Kaip BDAR taikomas internetiniams renginiams?</summary>

BDAR taikomas internetiniams renginiams, jei juose tvarkomi ES esančių asmenų duomenys, nepriklausomai nuo to, kur įsikūręs organizatorius. Tai apima dalyvių vardų, el. pašto ir IP adresų rinkimą. Organizatoriai privalo turėti teisinį pagrindą šiems duomenims tvarkyti, užtikrinti jų saugumą, gerbti dalyvių teises (pvz., teisę būti pamirštam) ir naudotis paslaugų teikėjais (pvz., RSI platforma), kurie taip pat atitinka BDAR reikalavimus.

</details>

<details>

<summary>DUK: Kas saugiau: programėlė ar naršyklė?</summary>

Dauguma saugumo ekspertų sutaria, kad naršyklės yra saugesnės retkarčiais naudojamoms arba naujoms paslaugoms. Naršyklių saugumą nuolat užtikrina didžiulės inžinierių komandos tokiose įmonėse kaip „Google“ ir „Apple“, jos turi stiprias izoliacijos (angl. sandboxing) funkcijas, kurios atskiria svetaines nuo įrenginio operacinės sistemos, ir atsinaujina automatiškai. Tuo tarpu programėlės dažnai gali pasiekti daugiau duomenų įrenginyje, o jų saugumo atnaujinimai priklauso nuo to, ar vartotojai juos įdiegs rankiniu būdu.

</details>