Скрытая угроза: кому несут опасность работники на удаленке
Международная компания Check Point провела опрос сотен специалистов по информационной безопасности в разных странах мира. Он показал, что переход на удаленный режим работы в финансовом, коммунальном и производственном секторах значительно повышает риски для компаний. Опрошенные «Известиями» эксперты и юристы дали рекомендации, как компаниям защищать конфиденциальную информацию в процессе использования труда на удаленке или при гибридном режиме работы. Подробности — в материале «Известий».
Как защищаются от злоумышленников
Удаленный режим работы продолжает повышать риски для компаний. О наиболее значительном увеличении числа атак сообщили представители финансового (54%), коммунального (52%) и производственного (47%) секторов. Такие данные содержатся в новом опросе 450 специалистов по IT и информационной безопасности со всего мира международной компании Check Point Software Technologies Ltd (есть в распоряжении «Известий»). Результаты опроса подтвердили, что организации стали чаще делать выбор в пользу облачных решений безопасности и пограничных сервисов безопасного доступа (SASE).
— Полностью удаленный или гибридный режим работы — одно из важных последствий продолжающейся пандемии COVID-19, и многие компании используют несколько разрозненных решений, ставя под угрозу производительность и безопасность корпоративной сети в распределенной среде, поскольку IT-специалистам и экспертам по безопасности сложнее ими управлять, они попросту не видят ландшафт угроз целиком, — рассказал «Известиям» руководитель группы системных инженеров по работе с партнерами Check Point Software Technologies Алексей Белоглазов.
По его словам, результаты опроса подтверждают тот факт, что многие организации всё больше чувствуют угрозы и всё чаще выбирают облачные решения безопасности.
— Особенно уязвимы сегодня государственные и муниципальные структуры, а также субъекты критической информационной инфраструктуры (КИИ) или операторы информационных систем персональных данных (ИСПДн) — как правило, именно им сложнее всего адаптироваться под новый формат работы, — говорит директор по информационной безопасности компании-разработчика «МойОфис» Александр Буравцов. — Однако и эти организации меняются, понимая, что удаленная работа с нами надолго.
Так, например ФСТЭК России на днях утвердила требования к средствам удаленной работы, которые направлены на усиление защиты информации и повышение ее уровня в процессе удаленной работы.
В настоящее время, по данным Check Point, существует три наиболее острые проблемы, с которыми сталкиваются IT-специалисты и эксперты по безопасности: это масштабирование производительности (46%), решение проблем конфиденциальности и хранения данных (42%) и поддержка удаленного доступа с личных устройств сотрудников, включая домашние ПК, телефоны и планшеты (40%). Для удовлетворения растущего спроса на переход к удаленному режиму работы 69% специалистов по безопасности увеличивают локальные ресурсы, 66% переходят на облачные сервисы и, что удивительно, 36% делают и то и другое, указывают в Check Point.
Главными рисками для компаний при переводе сотрудников на удаленку стали утечки конфиденциальной информации, заражение корпоративной сети вредоносным ПО и несанкционированный вход в корпоративную сеть, поясняет Александр Буравцов.
— Сотрудник компании, работающий удаленно, представляет серьезную опасность для корпоративных IT-ресурсов и IT-активов компании, потому что отчасти он находится за пределами периметра корпоративной сети, а значит, может оказаться вне контроля со стороны корпоративных средств и политик безопасности, — говорят в Panda Security в России и СНГ. — Причем это не зависит от того, использует ли надомный сотрудник только доступ к облачным корпоративным IT-ресурсам (почта, базы данных, файловые хранилища и т.д.) или удаленно подключается к своему корпоративному компьютеру (через RDP или даже VPN), потому что его компьютер может быть заражен.
Злоумышленники уже активно используют открывающиеся перед ними дополнительные возможности: они осуществляют поиск уязвимых VPN для запуска атак на удаленных работников, отправляют фишинговые письма или SMS, якобы содержащих медицинские рекомендации или соответствующую информацию, проводят атаки на RDP-соединения для подключения к удаленному рабочему ПК и т. д. Любое из этих действий может привести к серьезным последствиям для любой компании и организации: от атаки шифровальщиков до нарушения безопасности в целом.
Чего лучше придерживаться
Сам по себе массовый переход на удаленный формат работы стал, безусловно, серьезным испытанием для бизнеса в самых разных отраслях. Некоторые компании, особенно в сфере IT, обладали достаточным опытом дистанционной работы, поэтому перестраивать процессы и менять подходы к защите данных им не пришлось. Но для других предприятий дистанционка всё же стала настоящим вызовом с поиском подходящих инструментов для командного взаимодействия и передачи информации.
— Главная проблема в том, что бизнес в России сегодня не готов серьезно инвестировать в собственную информационную безопасность, — утверждает исполнительный директор Artezio Павел Адылин.
Безусловно, удаленный формат имеет свои плюсы и минусы, но он определенно станет стандартом для бизнеса в будущем. А это значит, что компаниям имеет смысл задуматься об адаптации своих бизнес-процессов. Один из наиболее разумных вариантов тактики безопасности — концепция Zero Trust, считает руководитель Angara Professional Assistance Оксана Васильева. Zero Trust («нулевое доверие») — концепция безопасности, разработанная бывшим аналитиком Forrester Джоном Киндервагом. При этом наиболее признанная архитектура, которую стоит использовать, — Zero Trust Network Access (ZTNA).
Применение данной архитектуры к построению безопасности сети позволит существенно снизить поверхность атаки, позволяя только авторизованным пользователям, устройствам и приложениям получать доступ к узлам на поверхности защиты, полагает специалист.
— В первую очередь следует защитить периметр организации от злоумышленников, внедрить NGFW-решения, использовать микросегментацию, службы виртуальных рабочих столов и т. д., — говорит Оксана Васильева. — Кроме этого, необходимо применять любые технологии мониторинга, направленные на выявление вредоносной и аномальной активности пользователей, приложений и на уровне сети.
По оценкам директора блока экспертных сервисов BI.ZONE Евгения Волошина, частой проблемой у предприятий остается недостаточно защищенная аутентификация пользователей на внешнем периметре, когда сотруднику компании необходимо зайти на рабочий адрес электронной почты. Другая ситуация — это обеспечение доступа ко внутренним сервисам из внешней сети. Например, во время подключения к серверу базы данных клиентов.
— В таких случаях сотрудникам компании необходимо использовать VPN со вторым фактором аутентификации, — объясняет Евгений Волошин. — Сейчас разработано множество удобных решений, которые позволяют поддерживать постоянно включенный VPN на мобильных устройствах и компьютерах.
Добиваться полного контроля над инструментами, которыми пользуются сотрудники для совместной работы на удаленке призывает директор по развитию TrueConf Дмитрий Одинцов. Этого можно достичь, используя серверные продукты, — например, развернув свою собственную систему видеосвязи вместо применения облачных Skype или Zoom. Помимо прочего, это также решит проблему так называемого зумбомбинга, когда злоумышленник намеренно портит онлайн-встречу или может получить доступ к корпоративным данным.
— Перед выбором продукта стоит заранее определиться с задачами, просчитать риски и посмотреть соответствующие исследования независимых аналитиков, например из Gartner или IDC, — советует Дмитрий Одинцов.
Как выработать юридический иммунитет
Однако кроме технической стороны вопроса есть и юридические нюансы. Заблаговременно предупредить угрозы можно только четким выстраиванием бизнес-процессов и системой контроля над удаленной работой сотрудников, в том числе и безопасностью тех устройств, с которых они работают дома. Если раньше информационный щит ставили в первую очередь от утечек информации из офиса компании, то сейчас главный вопрос в том, как контролировать работника дома.
— Следует сказать, что способы предупреждения угроз индивидуальны и зависят от масштаба компании, ее ресурсов, удаленности сотрудников, — поясняет управляющий партнер адвокатской конторы «Бородин и Партнеры» Сергей Бородин. — Следует задуматься об информационном щите — принятии внутренних локальных актов об уровнях доступа к конфиденциальной информации, режиме коммерческой тайны и регламентов работы сотрудников в условиях удаленного доступа, заключении с сотрудниками соглашений о неразглашении конфиденциальной информации NDA.
По мнению юриста, критически уязвимы те российские компании, которые не спешат обновлять внутренние документы, юридически регулировать бизнес-процессы и уделять внимание информационной гигиене внутри компании.
— Необходимо иметь внутренний регламент, где перечислены лица с доступом и места хранения информации, — говорит управляющий партнер Reasons Law Firm Арам Татоян. — За нарушение внутреннего регламента предусмотрена дисциплинарная ответственность (ст. 192 ТК РФ). Но устанавливать наказания в самом внутреннем распорядке нельзя.
К слову, последнее исследование аналитического центра «АльфаСтрахование» выявило, что лишь треть россиян воздерживается от обсуждения работы в соцсетях и с друзьями — остальные не видят ничего опасного в том, чтобы процитировать рабочую переписку в мессенджерах, выложить скриншот или обсудить рабочие новости со знакомыми. В опросе приняли участие более 3 тыс. респондентов из всех регионов страны. Но это уже другой вопрос — как повысить сознательность работников? Ведь едва ли не главная проблема — работодателям становится очень сложно оценить степень угроз. В офисе контроль обеспечен хотя бы на минимальном уровне, работает общественное давление, замечает руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев. Дома же без программных средств контроля работодатель оказывается без информации.
В настоящее время стандарты в сфере ИБ разработаны так, чтобы создать единый образец защиты информации. Они есть как международные (COBIT, ISO, ITIL), так и национальные (например, ГОСТ Р ИСО/МЭК 18044, ГОСТ Р 57580.1-2017, ГОСТ Р 57580.2-2018). В России режим коммерческой тайны регулируется отдельным федеральным законом. Под режим коммерческой тайны подпадает информация, которая имеет коммерческую ценность в силу ее неизвестности третьим лицам. В случае ее разглашения предусмотрена ответственность, от расторжения трудового договора (ст. 81 ТК РФ) до уголовной (ст. 183 УК РФ): предусмотрены штрафы до 1 млн рублей или лишение свободы до трех лет.