Как бизнесу обеспечить кибербезопасность в условиях удаленной работы

Павел Гуральник

Генеральный директор компании-разработчика платформ для комплексного управления IT-ландшафтами ISPsystem

Большая часть российских компаний в той или иной мере практикуют удаленный формат работы сотрудников, будь то полностью дистанционная работа или «гибрид» с частичным присутствием в офисе — сегодня в этом режиме работают порядка 60% предприятий. Это дает бизнесу определенные преимущества — снижение затрат на содержание офисов, доступ к широкому пулу специалистов, повышение лояльности сотрудников. Однако помимо очевидных плюсов в виде экономии и повышения гибкости, компании получили и новые риски, среди которых особое место занимают угрозы информационной безопасности. О факторах риска и том, как их устранить, для Cyber Media рассказал Павел Гуральник, генеральный директор компании-разработчика платформ для комплексного управления IT-ландшафтами ISPsystem.

Факторы риска удаленной работы

Исторически компании выстраивали защиту данных, исходя из того, что используемые устройства, например, рабочие станции сотрудников, находятся внутри периметра предприятия. Переход на удаленку размыл ранее устойчивые границы этого периметра, из-за чего к уже привычным угрозам ИБ добавились новые, усложнив задачу обеспечения защищенности корпоративных данных.

Использование домашних сетей, личных устройств, публичных облачных сервисов — все это создает новые векторы кибератак. При этом многие предприятия, в частности, из традиционных отраслей экономики, оценившие преимущества удаленного формата, не успели полноценно адаптировать подходы к ИБ, продолжая использовать те, что были актуальны в «офисную» эпоху. Ситуация осложняется и увеличением количества кибератак, направленных против российского бизнеса.

Какие факторы снижают уровень защищенности предприятия?

В первую очередь — это использование сотрудниками личных устройств. Ноутбуки, ПК и смартфоны, как правило, защищены значительно хуже корпоративных гаджетов. Например, удаленный сотрудник может пренебречь установкой специализированных ИБ-решений, своевременным обновлением используемого софта, что приведет к заражению вредоносным ПО. При этом пользователь может об этом даже не подозревать. Если в офисе от последствий такого недосмотра его могут «подстраховать» корпоративные системы защиты, например, EDR-решения, то дома, с высокой долей вероятности, подобной защиты он лишен. Таким образом всего одно устройство может стать для злоумышленника точкой входа в корпоративную инфраструктуру.

Также не стоит забывать о еще одном факторе риска. Работая из дома, сотрудник использует для подключения домашнюю сеть. В отличие от решений корпоративного класса, бытовые роутеры, как правило, защищены слабыми паролями, зачастую имеют устаревшие прошивки, из-за чего нередко становятся мишенями для злоумышленников. Низкий уровень защищенности домашних сетей может обернуться перехватом корпоративных данных или даже получением полного доступа к устройству со стороны злоумышленника.

На удаленке также возрастают риски атак с использованием различных методов социальной инженерии. Фишинговые письма, замаскированные под запросы вышестоящих коллег, партнеров и контрагентов нередко становятся первым звеном в цепочке кибератаки. Несмотря на то, что такой подход в целом теряет свою «популярность» у злоумышленников, они все чаще начинают маскировать рассылки под запросы государственных органов. Согласно исследованию BI.ZONE, их доля от общей массы фишинговых писем составляет уже порядка 8%. Очевидно, что здесь злоумышленники делают ставку на психологическое давление на удаленщика. Сотрудник получает письмо, требующее некого срочного действия, например, отправки конфиденциальных документов, и, не имея возможности лично проверить подлинность письма у коллег, выполняет просьбу злоумышленника. Кроме того, фишинговые кампании могут проводиться в сочетании с BEC-атаками, при которых злоумышленники компрометируют электронную почту, выдавая себя за легитимного отправителя, что существенно повышает успешность мошеннических схем.

И последнее — общее снижение бдительности сотрудника. Работая из дома, пользователь, скорее всего, с помощью одного и того же ПК будет решать как рабочие, так и свои личные задачи. Потенциально это может привести к тому, что сотрудник будет использовать одинаковые и, скорее всего, слабые пароли для корпоративных и личных учетных записей, рабочие данные могут мигрировать в персональные облачные хранилища, а на устройстве появятся непроверенные файлы и приложения. Это создает немалый риск утечек корпоративных данных, компрометации учетных записей и проникновения злоумышленника в инфраструктуру предприятия.

Как защитить инфраструктуру компании

Информационная защита любого предприятия должна стоять на двух столпах — внедрении технических решений для повышения безопасности данных и принятии соответствующих организационных мер для минимизации рисков утечек данных, кибератак и несанкционированного доступа в сеть.

Доступ к корпоративным данным и сервисам должен осуществляться по защищенному каналу связи. Как правило, реализовать это позволяют различные VPN-решения. Использование таких средств помогает защитить корпоративные данные от перехвата даже если сотрудник подключается к инфраструктуре компании с помощью не самых безопасных домашних или даже публичных сетей.

Наиболее оптимальный вариант организации удаленной работы — развертывание полноценной инфраструктуры виртуальных рабочих мест. VDI-решения позволяют обеспечить полностью контролируемый доступ к корпоративным ресурсам. В этом случае сотрудник, используя свое личное устройство, фактически взаимодействует с данными предприятия через виртуальный рабочий стол, также развернутый внутри периметра компании. Это позволяет не только исключить локальное хранение корпоративной информации и снизить соответствующие риски утечки, но и повысить уровень контроля над устройством.

Однако при организации виртуальных рабочих столов критически важно уделять внимание не только функциональности решения VDI, но и безопасности платформы виртуализации, на которой это решение развернуто. В противном случае все преимущества удаленного доступа с точки зрения безопасности хранения данных могут сойти на нет.

Ключевой критерий выбора здесь — подтвержденный уровень защищенности ПО. В российских реалиях оптимальным решением становится использование сертифицированных платформ виртуализации, например, таких, как VMmanager, безопасность которых официально подтверждена ФСТЭК России. Наличие сертификата гарантирует соответствие требованиям регуляторов, высокий уровень защиты данных от несанкционированного доступа и других угроз, а также позволяет использовать платформу в ГИС и на объектах КИИ. Благодаря гарантированному уровню защиты данных и встроенной экосистемной совместимости с Termidesk VMmanager обеспечивает быстрое развертывание инфраструктуры VDI и повышение уровня безопасности данных. Сегодня на российском рынке представлены и другие экосистемы, в состав которых входит как платформа виртуализации, так и решение VDI, — например, Space, РУСТЭК, Роса.

При выборе экосистемы важно учитывать не только функциональные возможности входящих в нее продуктов, но и подтвержденный уровень безопасности этих решений, а также их количество — чем шире интеграционные возможности, тем выше надежность, стабильность и эффективность работы всей инфраструктуры.

Также не стоит забывать о средствах защиты и контроля конечных устройств. В частности, набирает популярность решений класса EDR, которые, осуществляя проактивный поиск угроз и оперативно реагируя на них, позволяют обеспечить защиту любой конечной точки, включая смартфоны, ноутбуки и десктопные ПК.

Контролировать рабочие места за пределами привычного офиса также помогают DLP-системы, которые не только предотвращают утечки данных, но и отслеживают действия сотрудников.

Вместе с этим не стоит пренебрегать уже ставшими традиционными средствами защиты, в частности, средствами многофакторной аутентификации. С развитием средств и методов совершения киберпреступлений использование стандартной связки логин-пароль уже не может обеспечить действительно безопасного доступа к корпоративным ресурсам. Защитить корпоративные данные даже в случае компрометации учетной записи сотрудника позволяют современные MFA-решения.

Не стоит забывать, что слабым звеном в любой линии информационной защиты остается именно человек, поэтому необходимо работать не только над внедрением технических средств, но и над разработкой и совершенствованием организационных мер ИБ.

Компаниям с сотрудниками на удаленке, безусловно, важно вводить четкие регламенты и политики информационной безопасности. Например, запрет на хранение корпоративных данных на локальных устройствах и в личных облачных хранилищах, передачу их через сторонние мессенджеры и средства связи. При этом желательно, чтобы любые регламенты и политики опирались на полноценную культуру кибербезопасности компании. Крайне важно обучать сотрудников основам ИБ так, чтобы каждый из них четко понимал и осознавал свою роль в обеспечении защиты данных бизнеса, а также тестировать их знания на практике — например, проводить фишинг-тесты — уделять должное внимание security awareness, повышая уровень осведомленности о различных аспектах ИБ, угрозах и методах их предотвращения.

Чек-лист: проверяем уровень защищенности удаленки

В завершении поделюсь кратким чек-листом, который поможет в общих чертах оценить уровень защищенности предприятия и понять, какие аспекты требуют внимания.

• Используют ли сотрудники свои личные устройства (компьютеры, смартфоны, планшеты) для доступа к корпоративным данным?
• Хранятся ли корпоративные данные непосредственно на устройстве сотрудника?
• Осуществляется ли доступ к корпоративным сервисам через защищенное соединение?
• Используется ли для доступа к корпоративным сервисам многофакторная аутентификация?
• В компании есть политики и регламенты, определяющие безопасное использование устройств удаленными сотрудниками?
• Регулярно ли обновляются пароли и другие данные, обеспечивающие доступ к корпоративным сервисам?
• Оперативно ли отказываются доступы у бывших сотрудников?
• Внедрены ли специализированные ИБ-решения — средства защиты конечных точек, средства предотвращения утечек информации?
• Проводятся ли регулярные тренинги кибербезопасности?
• Осуществляется ли тестирование знаний сотрудников?