Все компании, бизнес-процессы которых позволяли перейти на удаленную работу, сделали это, хотя еще недавно такая форма работы считалась рискованной и нежелательной. Обеспечивают новый формат взаимодействия в первую очередь IT-специалисты и службы безопасности.
С каждым днем все очевиднее, что даже после отмены режима самоизоляции значительная доля офисных работников продолжит частично трудиться из дома. А многие компании задумаются об оптимизации расходов на аренду и пересмотрят графики присутствия своих сотрудников в офисах. Поэтому вопросы безопасности удаленной работы не станут менее актуальными. При удаленной работе на первый план выходит безопасность конечных устройств, а прежняя концепция периметра, который нужно защищать, устарела. Именно с этой точки зрения следует оценивать способы обеспечения информационной безопасности сейчас. Однако подходы и инструменты, внедренные в кризисном цейтноте, придется пересмотреть. Вот основные слабые места, на которые нужно обратить внимание в первую очередь.
Илья Шаленков
Руководитель группы по оказанию услуг в области кибербезопасности
1. Отсутствие контроля личных устройств сотрудников, обрабатывающих корпоративную информацию. Во многих компаниях применяются стационарные компьютеры, а быстрая закупка, настройка и выдача ноутбуков всем сотрудникам оказалась непосильным делом даже для крупного бизнеса. Поэтому компании были вынуждены выбрать концепцию BYOD (bring your own device), когда сотрудники используют для работы из дома собственные компьютеры и гаджеты, на которых установлен неизвестный набор программ и средств защиты. То есть обрабатываемые данные уязвимы. Для их защиты рекомендуется применять единые системы контроля смартфонов, планшетов и других пользовательских устройств (unified endpoint management, UEM), которые позволяют охватить корпоративными правилами безопасности гаджеты сотрудников. Или же можно выбрать технологию виртуальных рабочих мест (virtual desktop infrastructure, VDI), когда настольная рабочая машина находится на удаленном сервере, а сотрудник пользуется ею с любого гаджета. Эти пакеты программ недешевы, однако инвестиции окажутся оправданными, если компания собирается сохранить практику удаленной работы в будущем. К тому же покупка и настройка корпоративных ноутбуков обойдется компаниям еще дороже.
Что можно сделать сейчас? Рекомендую подключать личные устройства сотрудников с помощью VPN (зашифрованного сетевого соединения между узлами) к их рабочим компьютерам. По сути, пользователь будет работать на своем рабочем компьютере, а его личный гаджет послужит терминалом «клавиатура – монитор» для доступа к нему. Но при любом способе удаленной работы рекомендуется обеспечить пользователю доступ к абсолютному минимуму сервисов, необходимых для работы.
2. Быстрый переход в облака. Переход на сторонние облачные решения может создать проблемы. Такие облака от сторонних провайдеров удобны из-за относительной простоты внедрения, отсутствия необходимости закупать дополнительное оборудование, поддержки поставщика, а также упрощения типовых рабочих процессов. Но, хотя крупные поставщики облачных сервисов принимают меры безопасности, их может оказаться недостаточно.
Поэтому компаниям следует еще раз проверить сформировавшуюся в авральном режиме облачную инфраструктуру. Нужно также обратить внимание на соответствие облачных платформ требованиям закона. Если хранилища находятся не в России, это может привести к нарушению вашей компанией требований закона о защите персональных данных и других законов.
3. Отсутствие контроля утечки данных. При удаленной работе возрастает риск небрежного использования данных, их утечки или кражи. Компаниям стоит внедрить систему предотвращения утечек данных из корпоративной сети (data leakage prevention, DLP), это необходимо для создания безопасной рабочей среды. Если сейчас такой системы нет, а работать все-таки нужно, следует вести мониторинг доступными способами — например, пытаться выявить действия, характерные для некоторых видов утечек (выгрузка информации по большому числу параметров одновременно, передача больших объемов данных и т. п.).
4. Низкая осведомленность сотрудников об информационной безопасности. С точки зрения компании сотрудник, работающий из дома, — это пользователь, который находится в ненадежной и неконтролируемой среде. Чтобы сотрудники осознали необходимость защиты информации, надо регулярно и в максимально доступной форме информировать их, как правильно организовать работу с корпоративной информацией, проводить учебные фишинговые атаки и онлайн-уроки с применением геймификации.
Проще всего начать с памяток для сотрудников по информационной безопасности удаленной работы. Следует включить в них правила о чистом столе (если сотрудник покидает рабочее место, он убирает со стола все носители с корпоративной информацией) и чистом экране (блокировка компьютера, если пользователь прекратил работу). Не помешает еще раз напомнить о правилах формирования паролей и о повышенных рисках утечки корпоративной информации в случае использования мессенджеров, личных почтовых ящиков и файлообменных ресурсов.
5. Отсутствие контроля поставщиков услуг. Доверяя коммерческую информацию сторонним провайдерам услуг, компания должна быть полностью уверена в ее сохранности. Сейчас поставщики работают в тех же условиях, что и предприятия-заказчики, и тоже сталкиваются с перебоями во внутренних процессах. Поэтому необходимо провести полноценный аудит таких поставщиков. Сейчас это можно сделать путем анкетирования, запроса подтверждающих документов, а также анализа процессов и средств безопасности, которые они применяют для защиты информации, которую им доверила ваша компания. В любом случае лучше всего пользоваться услугами известных, уже зарекомендовавших себя поставщиков.
