Домашний офис под защитой
Как обеспечить информбезопасность при переводе сотрудников на удаленную работу
Несмотря на объявление нерабочих дней в стране до 30 апреля, далеко не все компании могут поставить свои бизнес-процессы на паузу. Перевод сотрудников на удаленную работу – вынужденная мера, на которую пошли многие организации с целью профилактики коронавирусной инфекции. Внезапность и, как следствие, отсутствие достаточного времени на подготовку этих изменений могут привести к повышению рисков информационной безопасности (ИБ), предупреждают опрошенные RSpectr эксперты.
В УСЛОВИЯХ БЫСТРОГО ПЕРЕВОДА
Компания NAUMEN опросила IТ-специалистов российских организаций о готовности перевести сотрудников на работу из дома в период пандемии COVID-19. Более 78% сообщили, что их компании предоставляют персоналу удаленный доступ на период самоизоляции.
Ситуация с переводом сотрудников на работу из дома стала неожиданной и при этом сверхсрочной задачей для большинства компаний. Поэтому у тех организаций, которые ранее не практиковали дистанционную деятельность персонала, не было времени на грамотное проектирование и тестирование сервиса, выстраивание адекватной защиты, настройку мониторинга и т. д., говорит руководитель Центра экспертизы компании R-Vision Всеслав Соленик.
Если для работы используются личные компьютеры пользователей, то они, как правило, менее защищены. При таких условиях велик риск как утечки данных, так и заражения инфраструктуры, отмечает В. Соленик.
Внезапный перевод сотрудников на удаленную работу может привести к повышению рисков безопасности, особенно если в компании отсутствует подразделение ИБ, а решения по организации удаленного доступа принимаются в спешке, без должного анализа возможных проблем, также предупреждает руководитель отдела ИБ ИТ-компании «Рексофт» Андрей Баранников.
Если организация уже имела инфраструктуру для дистанционной работы и ранее уже поднимались вопросы о ее защищенности, конечно, перевод проходит легче.
ИБ-специалисты компании Digital Security отмечают, что
в связи с массовым переводом сотрудников на удаленную работу значительно повысились шансы проведения успешных кибератак на организации
Хакеры пользуются сложившейся ситуацией, поскольку уровень защиты домашнего компьютера сотрудника с большой долей вероятности ниже, чем у корпоративной техники: причиной может быть старое ПО, отсутствие антивируса. Десятки, а то и сотни удаленных устройств сложнее контролировать за пределами офиса. В худшем случае злоумышленник сможет полностью парализовать деятельность компании, атаковав VPN*-сервис.
А. Баранников добавляет, что в зоне риска находятся не только привычный периметр IТ-систем и коммуникации, но и продукты для онлайн-общения, новые для многих компаний.
Например, на днях стало известно, что несколько тысяч записей видеозвонков сервиса Zoom попали в открытый доступ в Сети. В интернет утекли как частные разговоры пользователей, так и рабочие конференции различных компаний. Zoom присваивает видеозвонкам открытые идентификаторы (PMI) и не шифрует подключение, в результате чего записи можно было найти при помощи онлайн-поиска.
В обычных условиях многие компании с недоверием относились к переводу своей IТ-инфраструктуры в облако, а сейчас в опустевших офисных зданиях их собственная инфраструктура оказалась под угрозой, говорит исполнительный директор «Акронис Инфозащита» Елена Бочерова, ведь нет уверенности в том, что арендодатель просто не отключит подачу электроэнергии. Риски можно снизить, позаботившись о резервном копировании и возможности аварийного восстановления данных из облака. Это обязательные меры предосторожности и для защиты от вирусов-шифровальщиков.
КТО В ЗОНЕ РИСКА?
Основные направления умышленных атак не изменятся: государственные учреждения, промышленные предприятия, медицинские организации и финансовая сфера, отмечает директор практики информационной безопасности AT Consulting Тимурбулат Султангалиев. С учетом текущей обстановки дополнительно под угрозой оказываются компании, собирающие большой трафик пользователей: сервисы доставки, онлайн-школы, кинотеатры и другие ресурсы, дающие доступ к медиаконтенту.
В зоне риска также оказываются сайты СМИ – атаки могут быть направлены на остановку работы сервиса, размещение политических или социальных требований или распространение фейков, либо просто ресурс может быть использован в качестве «переносчика» вредоносного ПО для заражения компьютеров пользователей.
Ведущий консультант Центра компетенций по ИБ компании «Техносерв» Елена Савинова также указывает на то, что
наиболее уязвимыми к атакам и возникновению инцидентов ИБ в данный период могут быть финансовый сектор, IТ- и телеком-компании, промышленность
В первых трех отраслях интерес для хакеров может представлять информация конфиденциального характера, а также нарушение доступности предоставляемых сервисов или непрерывности бизнес-процессов. Персонал финансовых организаций может быть заинтересован в хищении данных, поэтому для этих компаний критичен вопрос контроля использования устройств, с которых осуществляется удаленный доступ, в том числе и перемещение информации из корпоративной сети во внешние источники.
Для индустриальных предприятий существует серьезный риск предоставления удаленного доступа к функциям управления/воздействия на технологические процессы, поскольку он несет угрозу непрерывности производства и безопасности промышленных объектов.
Тимурбулат Султангалиев, AT Consulting:
– Как правило, крупные организации обеспечивают сотрудников продвинутыми и комплексными системами защиты или даже корпоративными устройствами, которые входят в сетевой периметр и контролируются департаментом ИБ. Сильнее всего может пострадать малый бизнес из-за традиционно слабой культуры информационной безопасности. Основным источником риска здесь будут сотрудники, так как в основном они подключаются к серверу и другим корпоративным ресурсам с личных устройств, которые используют ежедневно для просмотра сериалов, шопинга, скачивания музыки, чтения личной почты. Часто доступ к таким сервисам защищен одинаковым простейшим паролем, а подключение осуществляется через Wi-Fi. В таком случае риски утечек увеличиваются в разы: может быть получен доступ к устройству через фишинговую ссылку, может быть взломан пароль от почтового клиента.
Елена Савинова, «Техносерв»:
– Переход сотрудников на удаленную работу может отразиться на каждой компании по-разному. Масштаб будет зависеть от сферы деятельности организации, уровня ее информатизации, зрелости процессов информационной безопасности. В компаниях малого и среднего бизнеса, а также в организациях с низким уровнем автоматизации и зрелости процессов ИБ могут отсутствовать инструменты для организации защищенного удаленного доступа с личных устройств сотрудников. В условиях кризиса предприятия заинтересованы в обеспечении выполнения ключевых бизнес-процессов при минимизации операционных издержек, поэтому любые дополнительные расходы на IТ и ИБ фактически невозможны.
В крупных компаниях с высоким и средним уровнем автоматизации и зрелости процессов ИБ ситуация обстоит лучше. Однако и в них также может быть недостаточно техники для удаленной работы. Например, если компания работает на стационарных рабочих станциях, то крайне тяжело и финансово затратно в короткие сроки закупить ноутбуки и перевести людей на удаленную работу. Как правило, в таких случаях персонал отправляют работать на личном оборудовании, что влечет за собой риски.
СОВЕТЫ СПЕЦИАЛИСТОВ
Для того чтобы удаленная работа оставалась безопасной, эксперты «Рексофт» рекомендуют:
- Использовать двухфакторную аутентификацию при подключении VPN и доступе к корпоративной почте – наличие на устройствах пользователей сертификатов не позволит подключаться к сервисам компании третьим лицам.
- Стараться использовать собственные средства удаленного доступа и хранения данных (в том числе разворачивать внутренние облачные сервисы) – в противном случае у компании не будет инструментов для обеспечения и контроля защиты данных.
- Использовать для работы терминальный доступ к рабочим станциям сотрудников внутри VPN-соединения, так как домашние устройства крайне редко отвечают требованиям безопасности. Подключение работников к своим рабочим местам позволит снизить угрозы, а также поможет им эффективнее работать в домашних условиях.
Специалисты Digital Security советуют протестировать IT-системы на устойчивость к DoS-атакам. Это позволит определить максимально допустимые нагрузки, проверить эффективность средств защиты, выявить и скорректировать недостатки в настройках оборудования.
«Внимательно подойдите к выбору решения для дистанционного доступа. Что касается систем конференц-связи, основной вопрос – нет ли путей нарушения конфиденциальности, простыми словами, смогут ли вас прослушать. Что лучше, решать вам: старый добрый “файлообменник” Skype, а может, функциональный, но дырявый Zoom, о котором сейчас не меньше новостей, чем о COVID-19», – отмечают в Digital Security.
Директор по развитию компании Vinteo Борис Попов указывает на то, что системами видео-конференц-связи (ВКС) пользуются правительственные и силовые структуры, и утечка может стать по-настоящему критичной с точки зрения обеспечения национальной безопасности. Эксперт рекомендует выбирать решения ВКС профессионального класса, в которых есть шифрование данных для предотвращения постороннего доступа и сохранения конфиденциальности информации, а также возможность работы в закрытых сетях и интеграции с системами безопасности предприятия.
Эксперты также предупреждают о том, что удаленная работа – это благодатная почва для атак социальной инженерии, уже появились новости о всплеске email-фишинга.
Письма от «бухгалтерии» с сообщением об отмене премий или от «администрации города» о введении режима ЧС охотно открываются
Это тот случай, когда безопасность во многом зависит от пользователя, а не только от построения ИБ-процессов в компании. Поэтому специалисты рекомендуют провести тестовую рассылку в качестве тренировки сотрудников с последующим разбором ошибок.
Нелишним будет разграничить права доступа к конфиденциальной информации и дополнительно позаботиться о безопасности устройств сотрудников, имеющих доступ к финансовой и другой критически важной бизнес-информации, советует Т. Султангалиев. По мнению эксперта,
в идеале удаленный сотрудник должен работать в защищенном цифровом пространстве (так называемом Digital Workspace) со встроенными ИБ-инструментами
Это позволяет унифицировать доступы к корпоративным ресурсам, а также централизованно осуществлять поддержку, администрирование и мониторинг всех устройств в периметре сети.
Всеслав Соленик, R-Vision:
– Удаленный доступ – это культура работы. Нужно провести обучение пользователей, подчеркнуть правила работы с корпоративной информацией, необходимость выполнения требований политик ИБ, в частности – применения паролей, двухфакторной аутентификации, блокировки экрана и правил защиты от распространенных угроз (фишинг, спам, вредоносное ПО).
Тимур Валишев, генеральный директор компании JivoSite:
– Мы работаем удаленно всей командой и, чтобы избежать утечек данных, определили для себя ряд правил, которым следуем сами и рекомендуем другим. У сотрудников должен быть отдельный компьютер или хотя бы рабочая учетная запись; использование домашнего устройства для доступа к рабочим данным, особенно если его эксплуатируют другие члены семьи, небезопасно. Все сотрудники должны пользоваться менеджерами паролей – обязательно обучаем этому коллег. Настройка двухфакторной авторизации – лучший способ избежать кражи данных. Мы в компании используем для этого Google Authenticator. Если пароль украден, то двухфакторная аутентификация не позволит получить к нему доступ. Необходимо следить за длительностью сессии после ввода пароля – она не должна быть дольше рабочего дня. Это обезопасит как от злоумышленников, так и от домочадцев, которые могут из любопытства нажимать на кнопки.
В ЗОНЕ ОСОБОГО ВНИМАНИЯ
Свои рекомендации по обеспечению безопасности объектов критической информационной инфраструктуры (КИИ) при дистанционной работе выпустила Федеральная служба по техническому и экспортному контролю России (ФСТЭК).
В ведомстве подчеркивают, что удаленный доступ работников к объектам КИИ создает дополнительные угрозы безопасности информации, связанные с несанкционированным доступом и воздействием на такие объекты. В целях минимизации рисков ФСТЭК рекомендует принятие ряда мер, с ними можно ознакомиться на сайте ведомства.
Е. Савинова отмечает, что рекомендации ФСТЭК могут быть выполнены не всеми владельцами КИИ, поскольку потребуется приобретение дополнительных средств для двухфакторной аутентификации, внедрение решений по организации отдельного домена для удаленных сотрудников, а также соблюдение ряда организационных процедур. Не все компании готовы оперативно принять необходимые меры из-за особенностей IТ-инфраструктуры или недостатка финансовых ресурсов.
Руководитель направления защиты АСУТП компании «Информзащита» Игорь Рыжов уверен, что в рекомендациях задан правильный курс. Однако, по мнению эксперта, многие предприятия, если не большинство, еще только готовятся к внедрениям систем защиты объектов КИИ и не имеют в наличии требуемых технических средств. Придется добирать организационными мерами и VPN-доступами. И, конечно, на специалистов по ИБ лягут дополнительные обязанности по контролю за запросами на доступ к системам, контролю за исполнением таких запросов администраторами инфраструктурных и прикладных систем.
Рекомендации ФСТЭК не являются обязательными, то есть за их невыполнение компанию не накажут, однако важно понимать, что атаки могут привести к серьезным последствиям – взлому и заражению корпоративной сети, сбоям в основных бизнес-процессах, утечкам конфиденциальных данных и авариям, предупреждает руководитель направления сервиса и аутсорсинга ИБ Центра информационной безопасности компании «Инфосистемы Джет» Екатерина Сюртукова.
«При самом негативном сценарии ответственные лица субъекта КИИ могут понести уголовную ответственность. Так что мерам защиты при организации удаленного доступа стоит уделить повышенное внимание и не игнорировать рекомендации регулятора», — говорит эксперт.
Олег Изумрудов, директор по развитию бизнеса компании «Аэродиск»:
– Мы впервые сталкиваемся с глобальной необходимостью перехода на удаленный режим работы, а потому создать идеальные детально проработанные рекомендации было просто невозможно. Однако, на мой взгляд, разработанные ФСТЭК рекомендации учитывают множество аспектов, с которыми предстоит столкнуться пользователям КИИ, и были опубликованы максимально оперативно, что является их ключевым преимуществом. Можно ожидать, что позже разработают дополнения и поправки к рекомендациям, которые будут созданы исходя из практического опыта их эксплуатации на местах.
_____
* VPN (Virtual Private Network – виртуальная частная сеть) – технология, которая позволяет обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети.
Изображение: RSpectr, Freepik.com
ЕЩЕ ПО ТЕМЕ:
Почему растет ущерб от кибератак и как с этим бороться?
