07.09.2020

Безопасность удалённой работы: аппетит приходит во время еды

Журнал IT-Manager № 08/2020, сентябрь, 2020
<p>Интервью с Сергеем Петренко, директором продуктового направления "Защищённые носители информации" компании "Аладдин Р.Д."</p>

Пандемия внесла изменения в ИТ-ландшафт предприятий, не осталась в стороне и корпоративная информационная безопасность. Удалённая работа стала привычной схемой. При этом не заставили себя ждать новые риски и угрозы. Соответственно появились новые подходы и продукты. Как обеспечить необходимый уровень защиты информации для удалённых сотрудников? В чём опасность домашних компьютеров? Каковы критерии выбора ИБ-решений? На вопросы журнала IT Manager отвечает Сергей Петренко, директор продуктового направления "Защищённые носители информации" компании "Аладдин Р.Д.".

С какими проблемами обычно сталкиваются организации при переводе своих сотрудников на удалённый режим работы?

Тут следует разделить плановый осознанный перевод части персонала на удалённую работу и экстренный переход на режим самоизоляции всего штата сотрудников, как случилось в нашей стране в марте 2020 года. При плановом переходе можно в штатном порядке продумать комплекс организационно-технических мер обеспечения информационной безопасности, обеспечить сотрудников необходимым комплектом СЗИ и СКЗИ, разработать инструкции и т. д. При вынужденном экстренном переводе персонала на работу из дома таких возможностей, конечно же, не будет.

Очевидно, не каждая российская компания, включая даже крупные государственные корпорации с огромными ИТ-бюджетами, готова оперативно выдать каждому сотруднику корпоративный ноутбук/планшет для удалённой работы из дома. Причём не просто выдать, а предварительно проработать некую модель информационной безопасности при удалённом доступе сотрудников к корпоративной ИТ-инфраструктуре и разработать релевантную систему защиты информации, и, как следствие, предустановить на корпоративный ноутбук необходимый и достаточный набор СЗИ и СКЗИ, настроенных в соответствии с утвержденной политикой безопасности компании и бесконфликтно работающих в составе ОС.

Как вы понимаете, тут вопрос не только собственно стоимости персонального ноутбука для каждого сотрудника, но и предшествующих мероприятий по настройке серверной и пользовательской частей корпоративной системы ИБ.

Как меняется ситуация или подход, когда перевести необходимо бóльшую часть сотрудников, то есть при массовом переводе?

Как я уже сказал, в первую очередь возникает вопрос финансов. Даже при относительно небольшой численности персонала снабдить каждого ноутбуком для удалённой работы из дома представляется весьма затратным. А если добавить к стоимости самого ноутбука расходы на необходимые средства обеспечения информационной безопасности, а также на дооснащение и реконфигурирование серверной составляющей корпоративной ИТ-инфраструктуры, то затраты с большой долей вероятности окажутся неподъёмными для текущих бюджетов компаний. Таким образом, для обеспечения непрерывности бизнес-процессов работодателям приходится идти на компромиссы не только с совестью, но и с корпоративными политиками информационной безопасности.

Почему использовать домашний компьютер небезопасно, даже если он оснащён антивирусами?

Один из самых простых и одновременно сложных вопросов... С одной стороны, компании вынуждены в определённой ситуации (прошедшая пандемия, к примеру) разрешать удалённый доступ сотрудников с домашних компьютеров к корпоративным информационным системам. С другой – эти же компании должны обеспечивать защиту циркулирующей в их ИТ-инфраструктуре коммерческой, служебной и иной тайны, как в собственных интересах, так и в соответствии с внешними обязательствами.

Домашний компьютер сотрудника при этом является не просто чёрным ящиком, а скорее ящиком Пандоры. Стоит "открыть" его (впустить в корпоративную сеть), и последствия могут стать реально катастрофическими для бизнеса компании. И дело, естественно, не в злом умысле пользователя. Среднестатистический сотрудник, как правило, соблюдает корпоративную ИТ-культуру, тем более в условиях кризиса он в еще большей степени верен и предан организации, в которой работает. Однако, с другой стороны, его грамотность в области ИБ в общем случае оставляет желать лучшего. На домашних компьютерах подавляющего большинства пользователей отсутствуют какие-либо средства обеспечения информационной безопасности. Типичный домашний компьютер не "айтишника" это: старенький ноутбук с нелицензионной ОС Windows, которая, естественно, уже давно не обновляется, включая обновления безопасности; отсутствие даже бесплатного антивируса; многопользовательский режим, когда за компом сидят все члены семьи, включая детей; в целом отсутствие у владельца даже элементарных знаний в области ИБ и, как следствие, большой риск подверженности любым видам атак.

В общем случае это не проблема для собственно владельца компьютера, вопрос ведь в отношении вероятности инцидента ИБ и возможных последующих потерь. Для личного СВТ – это одна величина, а когда это же СВТ начинают использовать для корпоративных задач – совсем другая история.

Есть ли дополнительные угрозы, кроме вирусов, троянов и прочего?

Конечно, пул угроз гораздо шире. Антивирус – это наиболее известное и, скажем так, "базовое" средство защиты информации для домашнего компьютера. К слову, есть такое расхожее заблуждение, будто вирусы "пишут" сами производители антивирусных средств... Поверьте, желающих написать вредоносный код для достижения конкретных деструктивных целей, в том числе, например, хищения денежных средств с помощью систем онлайн-банкинга, более чем достаточно. И вендоры (не только антивирусов, но и всего пула СЗИ) постоянно находятся в этом противостоянии с атакующими.

Возвращаясь к вопросу угроз: естественно, их больше. В случае удалённого взаимодействия сотрудника с корпоративной информационной средой актуальны угрозы, связанные с НСД к корпоративным ресурсам из-за пределов контура безопасности, нарушением конфиденциальности информации при её передаче по открытым каналам связи, риски компрометации информации при её отчуждении на съёмные носители и т. д.

Есть ли на рынке решения, которые, на ваш взгляд, отвечают самым последним угрозам?

Пандемия коронавируса, безусловно, изменила весь ландшафт корпоративной информационной безопасности, и, по сути, мы живём сейчас в новой киберреальности. Большинство вендоров в сфере ИБ в меру своих возможностей оперативно отреагировали на новый вызов и представили рынку те или иные продукты/решения для обеспечения безопасного удаленного доступа сотрудников к корпоративной сети. Это и классические средства обеспечения защиты канала связи (программные VPN-клиенты), и "инновационные" защищённые ноутбуки со встроенными аппаратными средствами защиты информации. Вопрос, как всегда, в рисках и средствах, которые компания готова тратить на нивелирование этих рисков. Понятно, что малый и средний бизнес может попробовать выйти из этой ситуации малой кровью, используя бесплатный VPN и простейшую парольную аутентификацию для входа в корпоративную сеть с домашнего компьютера.

Крупный бизнес, а также госкорпорации и федеральные министерства и ведомства, включая силовые, естественно, обязаны реализовать комплексное обеспечение информационной безопасности при удалённом доступе сотрудников в соответствии с требованиями регуляторов в сфере ИБ. А это, как мы понимаем, подразумевает использование только сертифицированных СЗИ и СКЗИ и остальные нюансы российского регулируемого рынка ИБ.

Таким образом, если говорить о некоем оптимальном решении, то его выбор зависит от реальных задач и нормативных ограничений конкретной компании или ведомства. Компания "Аладдин Р.Д." стремится удовлетворить потребности всех своих клиентов и, соответственно, предлагает решения для обеспечения безопасного удалённого доступа на базе собственных уникальных разработок в области доверенной загрузки и защиты информации, усиленных лучшими продуктами компаний-партнеров.

Каковы критерии выбора подходящего продукта для безопасной удалённой работы?

Критерии у каждой компании могут быть достаточно уникальны и представлять собой совокупность желаемого уровня информационной безопасности при организации удалённого доступа, сопоставимого с уровнем ИБ при работе из офиса, и реальных финансовых, а также технических возможностей. В частности, в качестве критериев могут выступать конкретные технические требования к продуктам по нейтрализации тех или иных угроз ИБ в соответствии с принятой в компании политикой безопасности (модель нарушителя и угроз); нормативные ограничения, обусловленные необходимостью соответствовать требованиям федеральных (ФСБ России, ФСТЭК России) или отраслевых (Банк России) регуляторов в сфере ИБ; финансовые ограничения в соответствии с утвержденным бюджетом на ИБ в текущем календарном периоде.

И тут как раз должен проявиться профессионализм производителей средств ЗИ, а также дистрибьюторов и интеграторов в сфере ИБ, что позволит каждой конкретной компании, каждому ведомству предложить решение, максимально соответствующее именно их критериям.

На каком основании организации должны доверять новым продуктам, которые еще не обкатаны на рынке?

Тут ответ будет достаточно тривиальным. Доверие к новым продуктам может основываться только на двух факторах: доверие к самому бренду, к компании – производителю продукта и наличие у продукта соответствующих сертификатов в области защиты информации.

Будут ли предлагаемые во время пандемии продукты востребованы и после неё?

Да, безусловно. Как я уже говорил, ландшафт меняется, при этом не только ИБ/ИТ, но и вообще самого бизнеса. Пандемия закончится, а желание и возможность удалённо работать из дома, сохраняя приемлемый уровень ИБ, останется. Уже сейчас это становится новым трендом в сфере HR. Люди за это сложное время прочувствовали, как это работать "из дома". Кому-то понравилось, другим это не подходит, но выводы сделали всё. То же самое касается и работодателей: также попробовали, тоже прочувствовали. Оценили эффективность, посчитали экономику "удалёнки".

Так что рождающиеся сейчас, зачастую в спешном порядке, решения для безопасного удалённого доступа однозначно будут дорабатываться, совершенствоваться и уверенно входить в портфели продуктов всех игроков рынка ИБ.

Возможно ли расширение функционала предлагаемого решения или это узконаправленный продукт?

Да, и не просто возможно, а необходимо. Как говорится, аппетит приходит во время еды. Так и с удалённым доступом. Решив базовые потребности в безопасности, заказчики захотят, да и уже хотят, получить всю привычную им функциональность, доступную ранее из офиса. Так что жизнеспособные, перспективные решения в области безопасного удалённого доступа обязательно будут дополняться "побочной", не относящейся напрямую к ИБ, функциональностью в области корпоративных коммуникаций, совместной и автономной работы с документами и т. д.