Как обеспечить безопасность компании при удаленной работе
Об авторе: Мария Павленко, эксперт по защите рабочих мест и основам киберграмотности, «Лаборатория Касперского».
После переломного момента во время пандемии рынок начал круто меняться. Сначала это вызвало определенные трудности, но впоследствии привело к развитию новых трендов работы. Многие компании, примерив на себя гибрид, поняли, что такой формат им подходит больше, или даже полностью отказались от классического офисного формата. Если же посмотреть на рынок, то по данным опроса hh.ru в сентябре 2022 года, 54% предпочитают гибридный формат, 35% ― полностью удаленный и только 11% до сих пор предпочитают офисный формат работы. Какие трудности популярность «удаленки» и «гибрида» несет для работодателя?
Условно «головные боли» можно разделить на две крупные категории: что делать с пользователями и как быть с инфраструктурой. Работодатель уже не может быть абсолютно уверен, что он контролирует, какая информация поступает на устройства его сотрудников. Необходимо в корне менять подходы к внутренней инфраструктуре, ведь уже нет строго ограниченного периметра.
Как сделать безопасной работу удаленных пользователей
Людям свойственно экономить усилия. Если не сделать для них удобно, они будут удобство «костылить» самостоятельно. Так, как могут и умеют, а чаще ― как получится. Для наглядности достаточно вспомнить два примера улиц: с пешеходными переходами и без. Далеко не каждый пользователь (читай «пешеход») будет стараться максимально безопасно передавать конфиденциальный файл (читай «искать ближайшее безопасное место для перехода дороги»). Иногда ему проще будет просто взять и передать его через небезопасные каналы связи (читай «перебежать дорогу»). И если даже многие не задумываются о своей физической безопасности, что говорить о безопасности файла, даже если он конфиденциальный. Получается, основная задача работодателя ― не просто расставить наши условные переходы, но еще и сделать это в правильных (удобных) местах.
Переходя к практике:
- Создать доступ по VPN для всех часто используемых жизнеспособных систем, через которые передается конфиденциальная информация.
- Вынести в DMZ (Demilitarized Zone) как можно больше систем управления, к которым часто нужен оперативный доступ, защитив их двухфакторной аутентификацией.
- Показать необходимость соблюдения правил безопасности каждым сотрудником, используя, например, программы по повышению цифровой грамотности.
- Придумать систему поощрения за своевременное освоение навыков.
- Проводить обучающие игры на тему повышения цифровой грамотности.
- Освещать новости из мира информационной безопасности, например, с помощью сводки еженедельных новостей в рассылках или видеоконференциях. Пусть сотрудники будут в курсе того, что происходит в мире ИБ, так проще будет донести потенциальные убытки компании и объяснить необходимость ответственно относиться к паролям и письмам.
Инфраструктура
И теперь переходим к более прикладному аспекту ― администрированию. Конечно, не стоит забывать о тех правилах кибергигиены, которые нужно соблюдать и в офисе. Снова перейдем к примерам. Представим себе некоторый организм (наша организация), который раньше жил в условном пузыре и его мало интересовало то, что за его пределами находятся микробы и бактерии, способные его заразить. Но теперь резко потребовалось укреплять иммунитет. Придется наконец заняться инвентаризацией всего многочисленного хозяйства, ибо невозможно следить за тем, о чем ты не в курсе. Проанализировать, все ли компоненты программного и аппаратного обеспечения необходимы для функционирования инфраструктуры. Рассмотрим по пунктам:
- Если в вашей организации откладывали в долгий ящик сегментацию сети ― сейчас самое время ею заняться. Для удаленных пользователей необходим выделенный сегмент. В идеальном мире нужно также отделить физических пользователей от апплаенсов (преднастроенные программно-аппаратные комплексы) и сетевых устройств.
- Тщательно выстроить процесс управления уязвимостями и патчами, а также своевременно обновлять программное обеспечение. Теперь это еще более важно, поскольку много пользователей приходят снаружи и рискуют принести с собой данные, нацеленные на уязвимость, которая не была своевременно устранена.
- Ограничить доступ к внутренней инфраструктуре строго для тех пользователей, которым он действительно необходим для работы, перед подключением проверяя наличие свежих антивирусных баз и актуального защитного программного обеспечения и его баз и только по тем портам, которые требуются.
- Заблаговременно обеспокоиться установкой антивирусного решения, на котором будет работать политика Out-Of-Office: настроить более строгие правила по посещению сайтов и разрешенному программному обеспечению (перейти к сценарию «Запрещено все, что не разрешено»).
- Создать политику безопасности для удаленных пользователей, включающую более строгие правила для проверки паролей, разрешенного ПО и программного обеспечения.
- Перейти к современным решениям по типу VDI/DaaS (в зависимости от того, что больше подходит вам) для повышения удобства администрирования и разграничения доступов.
- Выбрать специализированное антивирусное решение для виртуальных рабочих мест, которое не только сможет отразить специфичные для виртуализации угрозы, но и еще и сэкономить ресурсы гипервизора. Для этого подходят решения по защите виртуальных и облачных сред.
- Подобрать подходящее решение для выявления и реагирования на инциденты (благо их сейчас великое множество на любые вкус, бюджет и уровень компетенций ― не стоит забывать, что реагирование не обязательно осуществлять силами вашей команды безопасности, часть деятельности можно отдать на аутсорс), позволяющее обрабатывать инциденты на устройствах удаленных пользователей своевременно, не дожидаясь, пока пользователь сможет присоединиться к локальной сети компании.
Конечно же, даже применение всех перечисленных рекомендаций не сможет обезопасить компанию полностью. А для какой-то организации исполнение всех перечисленных мер может быть избыточным. Важно помнить, что информационная безопасность ― всегда про баланс между удобством и правильностью, нужно уметь оценивать риски конкретно вашей организации, никто не подберет комплекс мер для вашей компании лучше, чем вы сами, если вы хорошо знаете свою инфраструктуру и все ее недостатки.