«Новые риски новой реальности»
Одна из ключевых характеристик успешного бизнеса — способность адаптироваться к изменениям. Своевременная оценка вновь возникших обстоятельств и умение сделать их точками роста — необходимое условие, чтобы не только остаться на плаву, но и улучшить бизнес-результаты. Пандемия и вызванный ею локдаун стали для всех непрогнозируемой ситуацией. Компаниям удалось срочно перевести сотрудников на удаленку, но не все успели быстро выявить потенциальные риски и запланировать их решение.
До пандемии некоторые компании задумывались и успешно реализовывали проекты по созданию удаленных рабочих мест. Теперь удаленная (как и гибридная) работа становится нормой. Так же, как деловые встречи и совещания в видео-сервисах. Количество ежедневных активных пользователей Microsoft Teams, например, в начале ноября достигло 115 млн человек, увеличившись за полгода на 53%. Во многих случаях оказалось, что работать можно откуда удобно, когда удобно и с любого устройства. Сама концепция офиса меняется: он становится коммуникационным хабом, а не местом пребывания в течение рабочего дня.
Но новые условия создают новые риски. По данным АНО «Цифровая экономика», за семь месяцев 2020 года количество связанных с ИТ преступлений выросло на 77%. Потенциальные риски для бизнеса огромны: это перспектива потери денег, времени, утраты коммерческой и конфиденциальной информации, включая пароли и доступы к интернет-банкингу.
Мы опросили экспертов и выяснили, какие риски появились при удаленной работе и как обезопасить бизнес в новых условиях.
Вне периметра
Грань между личной жизнью и работой, корпоративными устройствами и персональными стала стираться. Домашняя инфраструктура порой используется для доступа к корпоративным данным.
«В таких условиях встает вопрос соответствия не только корпоративным регламентам, но и требованиям регуляторов, отраслевым стандартам, в том числе в части использования сертифицированных средств шифрования и защиты удаленного доступа».
В условиях дистанционной работы сотрудники используют технику за границами периметра корпоративной безопасности, что повышает риск утечки данных. По словам экспертов, в домашней обстановке пользователи стали более подвержены фишинговым атакам: новыми векторами атаки и возможными каналами утечки корпоративной информации стали средства связи.
«В весенней неразберихе многие организации проигнорировали очень важный вопрос — информационную безопасность удаленных рабочих мест. Если в офисе защитные меры осуществлялись централизованно, то теперь руководители и администраторы столкнулись с необходимостью организации защиты данных на географически разбросанных устройствах и в сетях различной конфигурации».
При грамотной организации удаленных рабочих мест риски информационной безопасности можно свести к минимуму, уверен Вячеслав Логушев, директор направления ИТ-сервиса и аутсорсинга компании X-Com:
«Настроенный в соответствии с политиками безопасности домашний компьютер тесно интегрирован в информационную систему организации, на него действуют все установки и ограничения домена. А периодическое обучение сотрудников основам безопасного пользования ИТ-сервисами и правилам реагирования на нетипичные ситуации позволит снизить влияние человеческого фактора».
Решение
Если нет возможности предоставить сотрудникам оборудование компании и они используют личные устройства, то стоит более тщательно продумать механизм защиты данных от киберугроз. Один из самых оптимальных подходов — использование виртуальных рабочих столов (Virtual Desktop Infrastructure), когда компьютеры сотрудников работают в режиме «тонких клиентов», а все данные хранятся на серверах компании. «При этом, рабочий стол можно легко открыть на личном устройстве, куда передается только изображение, а не происходит передача данных», — говорит Андрей Благоразумов, директор управления Microsoft компании Softline. «Важно помнить, что внедрение VDI-решений требует предварительной подготовки и настройки офисной инфраструктуры и сопряжено с определенными затратами. Но выгоды, получаемые в виде стабильности работы, управляемости и безопасности инфраструктуры удаленных рабочих мест, с лихвой их компенсируют», — добавляет Вячеслав Логушев. При предоставлении возможности удаленной работы на личном ПК или ноутбуке стоит убедиться, что на них установлена лицензионная операционная система и ПО, включены антивирус с актуальными сигнатурами и другие средства защиты. Разумно также провести с каждым сотрудником инструктаж по удаленной работе.
«Наиболее актуальная ОС для дома и работы, отвечающая всем требованиям информационной безопасности, — Microsoft Windows 10 версии Pro, разработанная как основа современного рабочего места и укомплектованная всеми необходимыми для работы бизнес-инструментами и бесплатной технической поддержкой, содержащимися в легальной версии программы. Легальное ПО постоянно обновляется производителем: устраняются баги и уязвимости, добавляется новый функционал. Особенно это важно для антивирусов, файрволов и операционных систем», — говорит Алексей Сербиновский. Он напоминает, что, помимо рисков нестабильной работы контрафактного ПО или вшитого вредоносного кода, сам поиск нелицензионных программ и посещение сайтов, распространяющих подобные копии, по степени риска эквивалентны запуску файла, полученного в письме от неизвестного адресата. Это угроза для безопасности как информации на локальном компьютере конкретного пользователя, так и ИТ-инфраструктуры, к которой подключен зараженный ПК. Уязвимости в ПО сомнительного происхождения могут предоставить киберпреступникам доступ к удаленному рабочему месту и стать причиной и утечки корпоративных данных, и других дорогостоящих последствий. Узнать о том, на что стоит обратить внимание при приобретении ПО, можно на сайте
Утечка данных
«Повсеместная удаленная работа — это тот самый случай, когда риски возрастают многократно на фоне неизменного уровня прибыли», — говорит Оскар Гадыльшин из ICL Services.
«Вырос и риск потери данных, связанный с несоблюдением правил информационной безопасности самими сотрудниками: например, вне рабочих мест выше вероятность, что доступ к данным с экранов их компьютеров смогут получить третьи лица. К тому же из дома намного проще отослать «на сторону» конфиденциальную информацию, чем под контролем периметра сети, коллег и руководителей.»
«Компаниям необходимо внедрять в бизнес-практику политики информационной безопасности и неукоснительно им следовать. Причем это должен быть не формальный документ «для галочки», а реально действующий свод правил и стандартов, соблюдение которых контролируется, а нарушение — строго карается. Это позволит кратно снизить риск утраты или повреждения данных на всех этапах их хранения, обработки и передачи», — отмечает Вячеслав Логушев из X-Com.
Решение
Компаниям следует использовать риск-ориентированный подход. Оскар Гадыльшин из ICL Services рекомендует категорировать информацию, к которой получают доступ удаленные сотрудники: коммерческая тайна, персональные данные и т.д. Затем определить технические и организационные меры, достаточные для выполнения работы при доступе к информации соответствующей категории.
Особое внимание стоит уделить повышению грамотности сотрудников в области информационной безопасности: запланировать регулярные мероприятия по обучению и проверке сотрудников. Будет полезно разработать внутреннюю документацию для сотрудников, которые будут работать из дома. В таких документах может содержаться информация о порядке доступа, список программ, рекомендации по кибербезопасности и прочие документы, которые послужат подспорьем в безопасной работе на удалёнке.
Например, важно оговорить и приложения, разрешенные для рабочей переписки. Не секрет, что привычные инструменты личного общения — всем известные мессенджеры — часто используются и для общения «по делу» — переписки с сотрудниками, клиентами и т.д. В таком случае важная коммерческая информация перетекает в сферы, находящиеся вне управления со стороны компании.
Платформа Microsoft Teams может быть полностью интегрирована в корпоративную инфраструктуру. Teams — это не только аудио– и видеозвонки и конференции; на базе одной платформы можно вести все коммуникации и многие рабочие процессы, включая чаты, совместную работу над документами, средства планирования задач, возможность использования сторонних или кастомизированных под задачи компании приложений. Узнать больше
Доступ посторонних
При работе вне офиса риски доступа постороннего человека к компьютеру и его данным повышаются. В том числе риск попадания ноутбука или иного устройства с корпоративными данными в чужие руки.
Решение
В качестве рабочих и наиболее востребованных решений эксперты рекомендуют использовать шифрование — в Windows 10 Pro эта возможность реализована в виде функции Bit Locker, которая позволяет защищать информацию при утере или краже компьютера сотрудника (но поможет и в защите таких внешних носителей, как флешки).
Сергей Дмитриев, руководитель отдела по работе с производителями компьютерной техники Microsoft в России и СНГ, рекомендует также использовать сервис Windows Information Protection, поддерживаемый в Windows 10 Pro. Он помогает в решении одной из самых насущных проблем — преднамеренной или непреднамеренной утечки информации на устройствах сотрудников за счет простого в использовании механизма разделения приложений и файлов на рабочие и личные.
Надежная аутентификация, предотвращение входа в систему посторонних, становится еще более важной тогда, когда компьютер находится вне офиса, а вокруг него не сотрудники самой компании. Традиционные пароли не всегда могут обеспечить нужный уровень защиты, решением может стать платформа аутентификации Windows Hello, поддерживающая вход в том числе и с помощью биометрических данных — распознающая владельца устройства по отпечатку пальца или лицу. Причем использовать Windows Hello можно не только для входа в Windows 10, но и в отдельные приложения или сайты, для которых дополнительная проверка подлинности необходима.
Для компаний, особенно заинтересованных в защите информации, не так давно появился отдельный класс устройств Secured Сore PC — это компьютеры, оснащенные средствами безопасности корпоративного класса, в том числе включающие новые механизмы защиты, работающие до загрузки ОС, на уровне прошивки компьютера.
Системная защита
Все эксперты сходятся во мнении, что любой компании, чьи сотрудники работают удаленно, следует максимально серьезно озадачиться вопросами информационной безопасности. И есть много разных подходов, позволяющих это сделать. «Лучше вести работу сразу по трем фронтам: технические средства защиты, организационные моменты и обучение сотрудников», — говорит Алексей Сербиновский. Любая нестационарная работа предъявляет дополнительные требования к рабочему устройству, связанные с безопасностью, но не только. Если сотруднику нужно работать в пути, вне офиса, дома, если ему приходится перемещаться, становятся важны компактность и вес устройства, его форм-фактор, длительность работы от аккумулятора. Современные устройства с SSD этим критериям соответствуют. А устройства 2-в-1 добавляют к этому возможность совместить преимущества ноутбука и планшета. Интерфейс Windows 10 поддерживает управление как с помощью клавиатуры, тачпада и мыши, так и с помощью сенсорного экрана и, для некоторых задач, цифрового пера.
Современные компьютеры с Windows 10 Pro подходят для работы и в офисе, и вне его. Windows 10 Pro поддерживает возможность централизованного управления как с помощью традиционных, так и с помощью облачных инструментов, таких как Azure Active Directory и Intune. Возрастают и требования к ПО. Для устаревших, оставшихся без поддержки версий ОС или программных продуктов (например,Windows 7 и Office 2010) сейчас недоступны обновления безопасности, что повышает их уязвимость перед появляющимися угрозами. Актуальные версии, такие как Windows 10, Office 2019 и Microsoft 365, получают обновления ежемесячно (или чаще, если необходимо) и поэтому гораздо лучше готовы к встрече с актуальными угрозами, что минимизирует риск компрометации или потери данных компании и сотрудников.
Компании, для которых раньше не была приемлема работа из дома, или уже внедрили, или рассматривают эту возможность: удаленные или гибридные сценарии превращаются в регулярную практику. «Вслед за трендом, как следствие, меняются и политики в области информационной безопасности. Сначала мы помогаем заказчикам просто «переехать на удаленку», потом — адаптироваться к новой реальности, а теперь — перестроить бизнес-процессы в цифровые уже навсегда. ИБ — неотъемлемая часть этой цифровой трансформации», — говорит Андрей Благоразумов из Softline.