22.04.2020

Организация удалённой работы: советы и опыт партнёров портала iEcp.ru

Единый портал электронной подписи Iecp.ru, апрель, 2020
<p>Экспертный комментарий Максима Чиркова, руководителя направления развития электронных сервисов компании "Аладдин Р.Д."</p>

В статье собраны советы, предостережения и практики перехода на удалённую работу от ведущих разработчиков решений для работы с электронной подписью.

Сложившаяся неблагоприятная санитарно-эпидемиологическая обстановка диктует ускоренные темпы цифровизации. Перевод в онлайн большинства услуг, сервисов и бизнес-процессов стал не просто шагом в сторону комфорта и скорости, теперь это ещё и вопрос сохранности жизни и здоровья пользователей. Один из критически важных сейчас этапов трансформации – это возможность организовать удалённую работу. Избавление от привязки к офису будет полезно и после перехода в штатный режим.

Редакция Единого портала Электронной подписи собрала советы и рекомендации по организации удалённой работы, которые интересны тем, что составлены компаниями, имеющими успешный опыт разработки и вывода на рынок решений по работе с электронной подписью.

Материал будет полезен как профессионалам, связанным со сферами ЭП, ИБ и ИТ (электронной подписи, информационной безопасности и информационных технологий), так и тем, кто далёк от указанных терминов. Ведь спикеры поделятся не только экспертными рекомендациями по технической настройке удалённого рабочего процесса, но и общими советами по организации "дистанционки" и адаптации к ней. Также особое внимание следует уделить перечисленным в статье решениям для работы с электронной подписью. Каждое из них имеет свои отличительные особенности, что позволит подобрать оптимальной вариант для каждой компании, исходя из её нужд.

Темы, предложенные экспертам для подготовки комментария:

  • ТОП-3 причин "Почему важно перейти на удалённый режим работы"
  • ТОП-3 рекомендаций "Как сохранить рабочий настрой"
  • ТОП-3 ошибок "Какие ошибки могут допускать работодатели и сотрудники (и как их избежать)"
  • ТОП-3 продуктов "Какие 3 главных специализированных продукта для организации удалённой работы предлагает ваша компания"
  • Кейс "Каким образом ваша компания перешла на удаленный режим работы?"

Комментарий компании "Аладдин Р.Д."

Автор: Чирков Максим Олегович, руководитель направления развития электронных сервисов компании "Аладдин Р.Д.".

ТОП-3 причин "Почему важно перейти на удалённый режим работы"

  1. Выполнение требований нормативных актов Президента, Правительства и глав субъектов Российской Федерации.
  2. Для нашей компании (как и для многих ИТ- и ИБ-компаний) основной ресурс – это сотрудники. Допущение вспышки любого заболевания в организации чревато серьёзными последствиями и вне кризиса, а при текущем положении дел может быть губительно для любой, даже крепко стоящей на ногах компании.
  3. Сокращение издержек на обслуживание офиса.

ТОП-3 рекомендаций "Как сохранить рабочий настрой"

  1. Чёткое планирование рабочего дня. Кому-то комфортно быть максимально приближенным к обычному расписанию работы, так как за время "жизни" в офисе внутренние часы адаптировались к этому ритму, и "ломать" и "перестраивать" этот механизм в текущей ситуации явно не стоит. Кому-то комфортно изменить график, чтобы оптимально совмещать работу, домашние и личные дела. В любом случае лучше придерживаться чёткого разделения времени работы и прочих дел.
  2. Организация дома (на даче) чётко выделенной рабочей зоны (стол, кресло и т.д.). Некоторым моим друзьям помогает переодевание в одежду, в которой они обычно находятся на работе. И даже рабочие туфли (тапочки) помогают некоторым эмоционально настроиться на рабочий лад.
  3. Договориться с семьей (с тем, с кем проходит самоизоляция). Очень важно, чтобы все проживающие вместе понимали, что в такой-то диапазон времени человек находится на работе, хоть эта работа и расположена вынуждено на кухне, в столовой или спальне. При удалённой работе привычная домашняя обстановка перестаёт быть привычным местом отдыха – становится рабочим пространством. Поэтому важно выделить не только рабочую зону, но и определить время выхода из "рабочей обстановки".

ТОП-3 ошибок "Какие ошибки могут допускать работодатели и сотрудники (и как их избежать)"

  1. Потеря самоорганизации каждого конкретного сотрудника компании. Важно понимать, что "мы – команда, и мы идём к общим результатам вместе", несмотря на то, что каждый у себя дома.
  2. Избыточная эмоциональность в решении тех или иных рабочих вопросов. Длительное пребывание в режиме самоизоляции на сотрудников с разными психотипами влияет по-разному. Домашняя обстановка может размывать психологические барьеры и пробуждать застарелые рабочие и личностные конфликты в коллективе.
  3. Нарушение "живого" рабочего контакта. Важно проводить регулярные аудио- и видео-конференции для сохранения человеческих коммуникаций. Также многие вопросы эффективнее решать именно в таких форматах, а не в "многокилометровых переписках".

ТОП-3 продуктов "Какие продукты для организации удаленной работы, предлагает ваша компания"

1) JaCarta PKI (USB-токены или смарт-карты) – средство строгой двухфакторной аутентификации и безопасного хранения пользовательских данных

Назначение

  • Строгая двухфакторная аутентификация пользователей при загрузке компьютера (служебного ноутбука или домашнего ПК)
  • Установление безопасного удалённого VPN-соединения с корпоративной сетью предприятия, в том числе с использованием протокола RDP
  • Обеспечение юридической значимости электронных документов, формируемых с использованием офисного ПО
  • Безопасное хранение пользовательских данных и объектов (паролей, цифровых сертификатов, ключевых контейнеров популярных программных СКЗИ) в собственной защищённой энергонезависимой памяти
  • Работа с усиленной квалифицированной электронной подписью в режиме хранения контейнеров программных СКЗИ (КриптоПро CSP, VipNet CSP и др.)

Преимущества

  • Обеспечивается надёжная строгая двухфакторная аутентификация удалённых пользователей в корпоративной сети, в том числе на удалённом рабочем столе, с безопасным хранением ключевых пар и сертификатов на USB-токене или смарт-карте JaCarta PKI:
    • Закрытый ключ, используемый для аутентификации и выработки ключей шифрования, безопасно генерируется внутри устройства и никогда его не покидает, т.е. является неизвлекаемым, его невозможно склонировать
  • Обеспечивается надёжная защита от несанкционированного удалённого подключения злоумышленников в корпоративную сеть по VPN:
    • Даже если USB-токен или смарт-карта JaCarta PKI будут украдены, злоумышленник, не зная PIN-кода для JaCarta PKI, не сможет получить удалённый доступ к сети предприятия;
    • Устройства обладают защитой от подбора PIN-кода и будут автоматически заблокированы после нескольких попыток последовательного ввода неправильного PIN-кода;
    • При утрате устройства пользователь может быстро уведомить администратора, и тот, в свою очередь, заблокирует возможность подключения к корпоративной сети с использованием этого USB-токена или смарт-карты (сертификата на устройстве);
  • Обеспечивается надёжная защита от кражи конфиденциальных данных в канале связи от дома до офиса, так как ключи шифрования формируются с использованием неизвлекаемого ключа, хранимого в токене;
  • Обеспечивается возможность удалённой работы с УКЭП (усиленной квалифицированной электронной подписью) в системах дистанционного банковского обслуживания, на порталах гос. услуг, в системах электронного документооборота при работе совместно с программными СКЗИ КриптоПро CSP, VipNet CSP и др.

2) JaCarta Management System (JMS) - корпоративная система управления жизненным циклом средств аутентификации и электронной подписи

Назначение

  • Регистрация, выпуск, синхронизация, блокировка, удаление USB-токенов и смарт карт в системе
  • Автоматический выпуск в соответствии с политиками средств аутентификации и электронной подписи на USB-токены и смарт-карты пользователей
  • Отслеживание времени жизни указанных средств, автоматическое их обновление, временная блокировка или отзыв, восстановление из резервных копий (в зависимости от типа токенов и установленных политик)
  • Взятие под управление USB-токенов и смарт-карт со средствами аутентификации и электронной подписи, выпущенных другими системами
  • Поэкземплярный учёт СКЗИ

Преимущества

  • Возможность оперативного выпуска любого количества USB-токенов и смарт-карт для передачи их сотрудникам, переходящим на режим удалённой работы
  • Возможность автоматизации процессов обслуживания USB-токенов и смарт-карт без необходимости для сотрудников нарушать режим самоизоляции
  • Запись, удаление, приостановка, блокировка, перевыпуск сертификатов и другие операции, назначенные администратором на сервере, происходят в процессе синхронизации USB-токенов и смарт-карт автоматически

Или

JaCarta Authentication Server (JAS) - автономный сервер аутентификации с поддержкой OTP- и U2F-токенов, а также программных токенов и SMS для мобильных устройств

Примечание редакции портала iEcp.ru: OTP (англ. one time password) – пароль действительный для одного сеанса аутентификации. U2F (Universal 2nd Factor) — открытый протокол двухфакторной аутентификации конечных пользователей онлайн-сервисов.

Назначение

  • Усиленная аутентификация по OTP, U2F, программным токенам или SMS

Преимущества

  • Возможность существенного улучшения защищённости целевых систем за счёт добавления второго фактора аутентификации – OTP, U2F или SMS
  • Оперативность и простота встраивания в подавляющее большинство целевых систем за счёт использования стандартных протоколов интеграции
  • Отсутствие необходимости в доставке аппаратных USB-токенов и смарт-карт пользователям, находящимся в режиме самоизоляции
  • Экономия средств на аппаратные USB-токены или смарт-карты (в случае использования программных токенов или SMS)

3) Secret Disk — система защиты информации, обеспечивающая шифрование и надёжную защиту конфиденциальной информации от утечек и компрометации на корпоративных ноутбуках и домашних рабочих станциях

Назначение

  • Прозрачное шифрование дисков/папок/файлов; Двухфакторная аутентификация пользователей
  • Контроль доступа к защищённой информации
  • Контроль подключения USB-носителей к защищённому компьютеру
  • Шифрование файлов/папок на USB-носителях
  • Создание криптоконтейнеров для двухстороннего обмена файлами или файловыми архивами

Преимущества

Используя Secret Disk, организация обеспечит простое, экономичное и эффективное противодействие угрозам утечки служебной и конфиденциальной информации

  • При утере/краже корпоративного ноутбука
  • При работе со служебной/секретной информацией на домашнем компьютере
  • При переносе информации на USB-носителях
  • При обмене файлами/архивами файлов через недоверенные каналы связи, в т.ч. публичные файлообменные сервисы.

Описание основных этапов и "подводных камней" перехода на удаленный режим работы, в том числе для организаций, численность сотрудников которых более 50, от компании "Аладдин Р.Д."

Сложившаяся ситуация с пандемией застала врасплох не только организации, которые и не рассматривали возможность удалённой работы сотрудников, но и тех, у кого подсистемы удалённого доступа используются успешно и достаточно давно. Сложно представить среднюю, а тем более крупную компанию, в которой для высшего менеджмента и разъездных сотрудников отсутствует возможность работать из любой точки планеты. Однако процент таких сотрудников от общего числа работников традиционно был невысок, а организация перевода на дистанционную работу всей компании (или же почти всей) неминуемо влечёт за собой расширение в разы мощностей оборудования для решения данной задачи. Например, некоторые крупные российские холдинги столкнулись с нехваткой производительности серверов доступа при тестировании одновременного подключения даже расчётного числа пользователей. Если проблему с оборудованием можно решить достаточно оперативно, то модернизация бизнес-процессов для "новых удалённых пользователей", их обучение и поддержка требует существенных людских и временных ресурсов.

Самый простой сценарий удалённого доступа – это организация VPN до корпоративной сети и в рамках этого соединения подключение, например, с помощью RDP, к своему рабочему столу (ОС Windows) на своём рабочем месте. Для реализации такой схемы зачастую достаточно только настройки компонент, которые уже входят в состав использующихся в компании клиентских и серверных операционных систем.

Предположим, технически возможность удалённого доступа в организации обеспечена. Далее остро встаёт вопрос информационной безопасности. Если "театр начинается с вешалки", то предоставление доступа (тем более удалённого) – с аутентификации субъекта. Уже даже не специалистам в области ИБ ясно, что парольная аутентификация является очень уязвимой. Простые пароли, сложные пароли, записанные на бумажке, отсутствие строгой парольной политики и "золотые пароли" (использующиеся как в корпоративных системах, так и на общедоступных порталах сети Интернет) – всё это ведёт на практике к росту инцидентов несанкционированного доступа от имени легитимных пользователей при удалённой работе. В то же время есть давно зарекомендовавшие себя механизмы многофакторной аутентификации с использованием криптографических методов. Например, USB-токены и смарт-карты с сертификатом пользователя на доступ к корпоративным системам с использованием, например, VPN или Web (HTTPS). Закрытые ключи в данных устройствах защищены PIN-кодами, и при попытке подобрать эти коды злоумышленником устройство самостоятельно заблокируется без возможности дальнейшего его использования для атаки. Работу с USB-токенами и смарт-картами можно настроить как уже с имеющимся программно-аппаратным ИТ-оснащением организации, так и при помощи специализированных продуктов. Стоит отметить, что многие производители данных продуктов в сложившейся ситуации предлагают выгодные условия на приобретение своих средств (вплоть до предоставления временных бесплатных лицензий). Например, предложение от "Аладдин Р.Д." для организации безопасной удалённой работы сотрудников.

При количестве пользователей более 50 на выпуск средств доступа, поддержание и сопровождение клиентов тратятся существенные людские и временные ресурсы, которые целесообразно оптимизировать и задействовать в других задачах. В этих случаях рекомендуется применять корпоративные системы учёта и управления жизненным циклом средств аутентификации. Функционал их достаточно обширен, но выделить хотелось бы одну очень актуальную функцию. С помощью данных систем можно организовать в кратчайшие сроки выпуск USB-токенов и смарт-карт всем пользователям посредством механизмов самообслуживания. Таким образом, пользователь оперативно получает необходимую аутентификационную информацию в соответствии с политикой, заданной администратором ИБ, без очного привлечения самого администратора ИБ к этой процедуре. При организации единовременного выпуска сотен и тысяч USB-токенов/смарт-карт механизмы самообслуживания экономят колоссальные ресурсы ИТ- и ИБ-подразделений, так необходимые для решения прочих задач.

Также необходимо уделить внимание конфиденциальности обрабатываемых сведений сотрудниками в удалённом режиме работы. Если на корпоративном оборудовании (ноутбуках), использующихся из дома вполне оправданно применение средств защиты информации при хранении (шифрование данных) и средств контроля утечек, то на личном оборудовании работников без должной настройки и администрирования вышеуказанные средства могут показать низкую эффективность. Ситуация усугубляется, если удалённому пользователю по долгу работы необходимо обрабатывать сведения, защищаемые в соответствии с законодательством Российской Федерации, например, персональные данные и т.д.

Несмотря на мобилизацию участников рынка информационной безопасности в части оперативной помощи своим партнёрам и заказчикам в вопросах удалённого доступа, к сожалению, стоит ожидать волну атак и утечек данных, так как с прецедентами перехода на "удалёнку" в масштабах страны мы ранее не встречались, а оценка рисков, выявление всех актуальных угроз и их минимизация в каждом конкретном проекте требует несколько большего времени, чем мы сейчас имеем в распоряжении.