«Да кому мы нужны»: удаленка грозит бизнесу утечками и кибератаками
Почти 70% россиян, которые перешли на удаленную работу из-за пандемии коронавируса, не получали от работодателей инструкции по кибербезопасности. На дистанционке сотрудник без всякого злого умысла может принести компании кучу проблем, чередуя общение по корпоративной почте и серфинг по сторонним сайтам. Чем грозит бизнесу пренебрежение информационной безопасностью и почему он неохотно тратит на это бюджеты, читайте в материале «Известий».
Просто закройся в комнате
68% опрошенных сервисом SuperJob россиян заявили, что работодатели не предъявляли новых требований к защите информации при переводе на удаленку из-за пандемии. Результаты исследования, в котором участвовали представители 1 тыс. компаний и 1,6 тыс. россиян, были опубликованы в четверг, 18 ноября.
Лишь 16% респондентов сообщили, что при переходе на удаленный формат работодатели внедрили новшества, связанные с обеспечением информационной безопасности. Например, кого-то обязали подписать дополнительное соглашение в сфере защиты данных (о таком нововведении сообщили 4% участников опроса), кого-то обязали использовать выделенные VPN-каналы (2%) и программы-антивирусы, а также защищенное соединение и двухфакторную аутентификацию — по 1% опрошенных по всем трем пунктам. Еще 1% респондентов рассказали, что получили установку «при работе с документами находиться одному в комнате» — требование весьма сложно выполнимое, например, в семьях с детьми.
Всего 2% россиян из выборки работодатели предоставили на время удаленной работы технику с предустановленным ПО.
Что касается представителей компаний, опрошенных сервисом SuperJob, то каждый второй из них заявил, что новых правил по информационной безопасности для удаленщиков не вводилось. Еще 38% и вовсе затруднились ответить.
В «Лаборатории Касперского» рассказали «Известиям», что данные их исследования подтверждают картину, которую показывают результаты опроса. «79% россиян, перешедших на удаленку, не получали никаких конкретных рекомендаций по повышению цифровой грамотности и не прошли обучение, призванное защитить сотрудников от киберрисков, — говорят в компании. — В таких условиях компаниям гораздо сложнее обеспечивать корпоративную информационную безопасность».
Ушли в тень между делом
Почти в половине российских компаний сотрудников в том или ином количестве перевели на дистанционку. В целом удаленщики есть в каждой четвертой организации, следует из данных крупнейших сервисов по подбору персонала. Основатель SuperJob Алексей Захаров предполагает, что удаленка — это надолго.
Вместе с вероятностью роста числа удаленщиков растут риски для информационной безопасности. Любой сотрудник, который работает из дома с личного компьютера, может ненамеренно (хотя и намеренно, впрочем, тоже) навредить работодателю.
— В истории есть масса примеров, когда один сотрудник либо по своей невнимательности, либо из-за того, что у него не было средств защиты информации, ставил под угрозу функционирование всей организации, — отмечает ведущий аналитик Infosecurity а Softline Company Александр Вураско в беседе с «Известиями». — На дистанционке человек, в сущности, волен делать всё что угодно: одновременно и пользоваться доступом к инфраструктуре компании, и серфить по сайтам, не имеющим отношения к работе. Если он подхватит, например, троян-шифровальщик на свой компьютер, он ставит под удар и информационную инфраструктуру организации.
По словам руководителя аналитического центра Zecurion Владимира Ульянова, сотрудник, который не обладает компетенциями системного администратора или эксперта по информационной безопасности, конечно, не может отвечать за безопасность домашней рабочей станции. Так, повышаются риски и внешних кибератак, в результате которых могут быть скомпрометированы данные компании и персональная информация сотрудника.
Впрочем, внешние атаки скорее будут инициироваться через самого человека, чем через технику, подчеркивает собеседник «Известий». Например, с помощью фишинговой рассылки. Особенно если злоумышленник располагает хотя бы минимальными сведениями о структуре взаимодействия в компании и обязанностях человека, через которого пытается добраться до информации: «Эти примитивные схемы на удивление хорошо работают».
Незащищенный компьютер удаленного сотрудника может стать для хакера точкой входа во внутреннюю сеть организации, соглашается замдиректора центра противодействия кибератакам Solar JSOC компании «Ростелеком» Алексей Павлов.
— В итоге злоумышленник может, например, запустить вирус в инфраструктуре и похитить ценные корпоративные данные или зашифровать их и требовать выкуп, — объясняет эксперт «Известиям».
Алексей Павлов, замдиректора центра противодействия кибератакам Solar JSOC компании «Ростелеком»
Кроме того, в условиях дистанционки многие компании запустили собственные внутрикорпоративные порталы. Однако большинство таких ресурсов имеет множество уязвимостей, которыми также могут воспользоваться злоумышленники. По нашим оценкам, больше половины подобных веб-приложений имеют ошибки, которые позволяют похищать данные пользователей, проникать в инфраструктуру компании, менять данные на самом портале и т.п.
Помимо прочего удаленные сотрудники могут подставлять под удар бизнес, подключаясь к скомпрометированным точкам Wi-Fi или используя теневые IT-ресурсы.
— Многие российские сотрудники стали больше использовать для работы онлайн-сервисы, которые не были одобрены IT-отделами компаний, — отмечают в «Лаборатории Касперского». — Речь идет о так называемых теневых IT: сервисах для проведения видеоконференций (66%), мессенджерах (55%), сервисах для передачи и совместного использования файлов (51%) и других.
Утекай куда хочешь
Руководитель аналитического центра Zecurion Владимир Ульянов подчеркивает, что значительно выше риски утечек конфиденциальной информации: удаленно технически проще ее своровать. Кроме того, этому способствует человеческий фактор. Во время пандемии многие люди боятся увольнения, ощущают нестабильность, на фоне чего у них закрадываются сомнения, не стоит ли поменять работодателя и присмотреться к другим предложениям.
— Когда только начиналась история с переводом сотрудников на удаленку из-за пандемии, мы оценивали вероятный рост числа утечек в 3–5 раз. Даже если судить только по открытой информации, примерно так и получается, — говорит собеседник «Известий».
По оценкам аналитиков центра продуктов Dozor «Ростелеком-Солар», в 2020 году — первом, проведенном в режиме массовой удаленки, — объем утечек вырос почти на 40% по сравнению с предыдущим годом.
— Причин тому несколько. Так, персонал компаний стал активнее использовать для передачи конфиденциальных данных неконтролируемые каналы коммуникаций — мессенджеры, сервисы видеоконференций, внешние облачные хранилища и т.п. Кроме того, в домашних условиях работники чувствуют себя более расслабленными, грань между рабочим и личным пространством стирается. Всё это повышает риск ошибочных действий и ведет к росту случайных утечек, — поясняет Алексей Павлов.
Жареный петух не клюет
По мнению Владимира Ульянова, в России пока что вопросы информационной безопасности решаются либо по остаточному принципу, либо вовсе игнорируются. Бизнес может минимизировать риски, хотя бы объяснив сотрудникам базовые требования — это фактически ничего не стоящие действия, но даже этого зачастую не делается.
— Предполагается, что сотрудник сам как-то будет до этого доходить. Не будет, — уверен собеседник «Известий». — Сотрудники в массе достаточно халатны. Человек думает о собственном комфорте: если ему удобно на личный компьютер скачать архив рабочих данных, чтобы они всегда были под рукой, он так и сделает. Если не объяснять, чем это чревато, что данные могут потеряться и утечь, что компания потеряет конкурентные имущества, информация как утекала, так и будет утекать.
Владимир Ульянов, руководитель аналитического центра Zecurion
Самое уязвимое звено в корпоративной безопасности — это так или иначе человек. Он и провоцирует утечки, и оказывается уязвимым звеном при атаках извне.
Аналитик исследовательской группы Positive Technologies Яна Юракова также замечает, что дистанционные работники — легкая мишень: «Многие пользователи не устанавливают обновления безопасности, не используют средства защиты, ставят легкие пароли, загружают программное обеспечение из ненадежных источников или используют пиратское ПО».
По мнению ведущего аналитика Infosecurity a Softline Company Александра Вураско, глобально проблема заключается в том, что многие компании, особенно если это средний или малый бизнес, не видят отдачи от затрат на информационную безопасность.
— Это процесс, в который нужно постоянно вкладываться, постоянно совершенствовать его. В то же время деньги туда уходят, а ничего, казалось бы, не происходит. И тогда начинают сокращать финансирование — это очень уязвимая позиция, — подчеркивает эксперт в разговоре с «Известиями».
Взять тот же антивирус: он установлен, но мы его не видим — может создаваться впечатление, что он ничего не делает. В действительности это не так. Во-первых, правильно настроенный антивирус может отражать атаки незаметно для пользователя.
— А во-вторых, он может стоять два года, не сталкиваться ни с кем, а потом, когда будет реальная угроза, отработает все потраченные средства, — добавляет Александр Вураско.
В 2021 году 39% российских компаний (всего было опрошено порядка 300 специалистов по информационной безопасности из разных отраслей) пожаловались на нехватку бюджета на обеспечение ИБ, приводит «Коммерсант» результаты исследования «Код безопасности». Два года назад этот показатель составлял 4%.
— К сожалению, не у всех есть понимание, зачем вообще это нужно. У нас в ходу концепция «да кому мы нужны». Нет, сейчас это уже так не работает, — заявляет аналитик Infosecurity. — Любая компания может представлять интерес для злоумышленников.
При этом это не то чтобы очень дорого. Проблема именно в том, что для некоторых руководителей это траты в никуда, подчеркивает он: «Это из серии — пока жареный петух не клюнет».
По словам замдиректора центра противодействия кибератакам Solar JSOC Алексея Павлова, оценить затраты на обеспечение кибербезопасности удаленных сотрудников крайне сложно — это зависит от количества переведенных на удаленку сотрудников, масштабов компании и рисков, от которых она хочет защититься. Если речь о противодействии фишингу, в первую очередь надо повышать уровень киберграмотности сотрудников: «Как показывает наша практика, эффективность атак с использованием социальной инженерии в компаниях, где проводится регулярное обучение, снижается практически вдвое. Это относительно бюджетный вариант».
— С технической точки зрения основная задача — не допускать незащищенные соединения удаленных работников с инфраструктурой организации. Обеспечить безопасное подключение можно несколькими способами: например, использовать терминальные рабочие станции, виртуальное рабочее место (VDI), VPN, в том числе с отечественным шифрованием, — перечисляет меры по обеспечению ИБ эксперт. — Можно также попытаться закрыть уязвимости и на домашних ноутбуках сотрудников, закупив для них антивирусное ПО и токены для двухфакторной аутентификации. Или же раздать всем работникам корпоративные ноутбуки, на которых уже установлена система противодействия утечкам (DLP), подключен VPN и настроены все необходимые политики безопасности.
Проведение тренингов по повышению цифровой грамотности сотрудников — одна из рекомендаций и «Лаборатории Касперского». Ее эксперты советуют в первую очередь убедиться, что сотрудники знают, к кому обратиться в случае проблем с кибербезопасностью и IT в целом. Для тех, кто работает с личных устройств (в том числе мобильных, на которых тоже нужно проверенное защитное ПО), должны быть разработаны специальные рекомендации.
«Это также позволит гарантировать, что только одобренные онлайн-сервисы используются для рабочих целей, — добавляют там. — Принимайте ключевые меры для защиты корпоративных данных и устройств, включая установку пароля, шифрование рабочих устройств и обеспечение резервного копирования данных. А также убедитесь, что устройства, ПО, приложения и сервисы регулярно обновляются».
