На время действия периода самоизоляции в России многие компании по возможности перевели своих сотрудников на удалённую работу. При этом к подобному режиму оказались готовы далеко не все, потому что переход на удалёнку проводился в короткие сроки.
Одна из важнейших вещей, которую нужно учитывать при работе в подобном режиме, — безопасность корпоративной информации. Среди данных, за которыми могут охотиться злоумышленники, — базы данных клиентов, транзакции, оферты, контракты и покупки компании. Под угрозой могут оказаться медицинская, личная и юридическая тайна лиц, которые сотрудничают с бизнесом.
Эксперты круглого стола "Кибербезопасность на удалёнке", проведённого "Деловым Петербургом", рассказали, как обеспечить компании кибербезопасность, а также чему стоит обучить сотрудников на время работы в удалённом режиме.
Рабочий ноутбук и антивирус
От организации требуется предпринять ряд мер, чтобы хотя бы на минимальном уровне обеспечить информационную безопасность. При этом у разных компаний и у разных бизнесов различные возможности и исходить нужно из них, считает Алексей Новиков, директор экспертного центра безопасности компании Positive Technologies (PT Expert Security center).
"Для ряда организаций переход на удалёнку был естественным процессом, ряд сотрудников у них уже и так работали в подобном режиме, и им просто нужно было масштабировать этот опыт на всю компанию. В нашей практике мы столкнулись также с компаниями, которые никогда не работали по удалёнке, и им пришлось в срочном порядке всё менять. Вот именно такие компании при переводе рабочих процессов прежде всего думали о вопросах IT и лишь потом о кибербезопасности. Рекомендация по контролю сотрудников, которые работают удалённо, — контролировать трафик, который использует каждый пользователь, проверять его на наличие каких-либо аномалий — вредоносных программ или нестандартного поведения. По возможности нужно контролировать то устройство, с которого работает сотрудник", — отметил эксперт.
По его мнению, оптимальный вариант для сохранения безопасности данных — выдать сотрудникам их рабочие компьютеры на дом. На таких компьютерах обычно уже предустановлено необходимое ПО (корпоративный антивирус, корпоративная программа по сбору логов и т. п.). Если же сотрудники вынуждены работать с личных компьютеров, то имеет смысл предложить им установить корпоративные антивирусы и различные средства безопасности на свои личные устройства.
Помимо этого необходимо обучить сотрудников основам информационной безопасности: проинструктировать не открывать подозрительных ссылок и писем, не посещать подозрительные сайты, не открывать одновременно вкладки с важной корпоративной информацией и посторонние ресурсы.
"Важно объяснить людям, что теперь это не просто их личный компьютер, а устройство, подключенное к корпоративной сети и инфраструктуре. Нужно призвать сотрудников пойти навстречу службе информационной безопасности компании", — добавил Алексей Новиков.
Александр Калита, директор департамента проектирования ООО "Газинформсервис", также советует в первую очередь проинструктировать сотрудников компании о соблюдении цифровой гигиены.
"В период карантина активность злоумышленников значительно возросла. Активировались фишинговые сайты, подозрительные рассылки и распространение вредоносных программ. Нужно сообщить сотрудникам, как с этим не столкнуться. Также важно обеспечить комфортность рабочих процессов для сотрудников. Должна быть качественная техническая поддержка по настройке домашнего оборудования и подключения его к сети. Для технической безопасности нужно ввести двухфакторную идентификацию пользователей, постоянно вести сканирование на предмет уязвимостей. Доступ к внутренним ресурсам компании должен быть обеспечен исключительно через VPN. К конкретным приложениям можно сделать доступ через терминальные сессии", — посоветовал эксперт.
"Массовый перевод сотрудников на удалённую работу — это серьёзный вызов для компаний, потому что нужно не только организовать множество бизнес-процессов без серьёзного ущерба для производительности труда, но и сделать их безопасными. Эти перемены подхлестнули активность злоумышленников: мы видим, как тема пандемии эксплуатируется в виде фишинговых мошеннических схем, как участились целевые атаки на организации. Необходимость защиты от угроз и компенсации возможных рисков стимулирует рынок информационной безопасности — и прежде растущий — развиваться еще более высокими темпами", — полагает Надежда Пчелинцева, директор департамента "Сети и телекоммуникации" компании "Марвел-Дистрибуция".
Личная тайна
Татьяна Ксюнина, руководитель направления по развитию бизнеса ГК InfoWatch в СЗФО, обратила внимание, что к 4-й неделе карантина многие корпорации уже разобрались с техническими вопросами. По её мнению, прежде всего компании, перешедшей на удалённый режим, следует провести исследование — выяснить, в чём больше всего нуждаются удалённые команды, и предложить им авторизованные и безопасные сервисы для построения корпоративной коммуникации.
"Также нужно отслеживать аномалии в поведении и коммуникации сотрудников. Потому что сейчас на удалёнке отключается морально сдерживающий фактор у сотрудников — отсутствие прямого контроля со стороны начальства, наличие стресса от нахождения в изоляции. Поэтому необходимо мониторить и проверять, что делают сотрудники в рабочее время. Во сколько они заступают на работу, во сколько прекращают работать, какие приложения открывали. При этом важно обращать внимание на аномалии в поведении. На удалёнке каналы коммуникации меняются и изменяется маршрутизация информационных потоков, которые не были изначально предусмотрены службой информационной безопасности. Какое-то общение может уйти в тень. Поэтому важно следить за тем, что делают работники. Технические решения для этого есть", — рассказала она.
Она подчеркнула, что есть средства контроля, которые можно установить в том числе и на личные устройства работников, чтобы предотвратить передачу информации с корпоративных сервисов на личные устройства.
Артём Кильдюшев, пресейл-аналитик "Ростелеком-Солар", также согласился с тем, что использование личных домашних устройств в рабочих целях — главный подводный камень, который может навредить кибербезопасности компании. По возможности количество подключений к корпоративной инфраструктуре нужно минимизировать.
"Нужно также исключить подключение через VPN из других стран. Подключение из-за рубежа должно стать тревожным сигналом для систем безопасности. Также стоит посмотреть на подключение к VPN с различных хостов в течение короткого промежутка времени. То есть если под одной учётной записью выходили из разных мест. Важно контролировать объём трафика за одну VPN-сессию. В случае большого отклонения трафика одного сотрудника по сравнению с другими следует засчитывать это явление как инцидент нарушения. Такое может быть, например, если сотрудник пытается скачать всю почтовую переписку с какими-то целями. Важно, помимо этого, контролировать не только внутренний периметр корпоративной сети, но и внешний", — объяснил он.
Иван Кайсаров, старший юрист Eversheds Sutherland, обратил внимание, что для контроля деятельности сотрудников с их личных устройств работодателю необходимо получить письменное согласие сотрудника на установку контролирующего программного обеспечения.
"Потому что работодателю может стать доступна какая-либо личная информация о сотруднике, которая хранится на его устройстве, а права на частную жизнь и личную тайну у нас ещё никто не отменял. Сотрудники должны подтвердить, что осознают все риски утечки личной информации", — добавил он.
При этом при несоблюдении информационной гигиены сотрудниками под ударом могут оказаться другие виды правовых тайн (это может зависеть от специфики компании): государственная, банковская, налоговая, врачебная тайны, инсайдерская информация, тайна переписки, тайна следствия, персональные данные, секреты производства (ноу-хау) и т. п.
При этом, если работодатель хочет, чтобы недобросовестные сотрудники при несоблюдении режима были привлечены к какой-либо ответственности, все виды корпоративной информации и тайн должны быть оформлены юридически. В таком случае работник, нарушивший тайну и распространивший информацию, может быть уволен или привлечён в некоторых случаях к уголовной ответственности.
"Работодатель должен, в свою очередь, сам технически обеспечить информационную безопасность, потому что утечки могут происходить не по вине сотрудников. Помимо этого, работодатель должен в понятной форме донести до сотрудников специфику компании, в которой они работают, чтобы работники понимали, какую информацию в какой форме им запрещается распространять", — объяснил юрист.
Алексей Андрияшин, технический директор Fortinet в России и странах СНГ, напомнил, что не всем сотрудникам нужен одинаково высокий доступ к важной информации.
"Нужно разделить сотрудников, работающих удалённо, на определённые классы доступа. Обычно рядовым сотрудникам доступен необходимый минимум: доступ к корпоративной почте и сайту. Для их работы потребуется только установка какого-нибудь клиента, который обеспечит им удалённый доступ к рабочему компьютеру. Для людей с более продвинутым доступом (таких обычно 8–10% от общего количества работников) можно предложить корпоративное устройство в виде межсетевого экрана. Для топ-менеджмента и руководителей (таких 1–2% от общего количества сотрудников) нужно обеспечить практически полный аналог их рабочего места в офисе. Им можно предоставить и межсетевой экран, и беспроводную точку доступа, и даже средства IP-телефонии для организации голосовых звонков, которые будут защищены корпоративной системой безопасности", — резюмировал эксперт.