31.12.2020

Проблемы безопасности удалённого доступа

Журнал IT-Manager № 12/2020, декабрь, 2020
<p>Экспертная статья Алексея Сабанова, д.т.н., заместителя генерального директора компании "Аладдин Р.Д."</p>

При встрече нового, 2020 года, никто не мог себе представить, насколько приходящий год изменит жизнь землян. Стремительное распространение коронавируса, повлекшее закрытие предприятий, областей и стран, выдвинуло перед человечеством совершенно новые задачи, одной из которых стала необходимость обеспечения работы значительной части сотрудников в удалённом режиме. Перевод сотрудников из офисных помещений, где рабочие процессы были налажены десятилетиями, в распределённую среду (дом, дача, деревня), где далеко не везде качество связи на приемлемом уровне и практически нет средств контроля за работой самоизолированных, в условиях всеобщего страха перед будущим, явился далеко не простой проблемой для руководителей разных звеньев многих организаций. Как не потерять доходы, обученных специалистов, долю рынка, имидж? Насколько глубоким и долгим будет кризис? И один из самых важных вопросов: как защитить информацию, критичную к разглашению, при переходе на удалённый режим работы?

Безопасный удаленный доступ

Эти и другие вопросы стали весьма актуальными весной 2020 года и вновь обострились осенью, спустя несколько относительно стабильных месяцев. Самым знаковым весенним событием стало то, что во многих организациях не ИБ-специалисты пришли к руководству с очередной инициативой, а само руководство впервые обратилось за помощью к специалистам защиты информации с просьбой срочно наладить защищённый удалённый доступ к информационным ресурсам организации.

В целом с возложенной задачей ИБ-специалисты справились, причём в подавляющем числе организаций самостоятельно. Времени на открытие проектов и привлечение интеграторов не было, да и заняты они были срочным переводом своих бизнес-процессов с централизованной модели на территориально-распределённую. Естественно, и то и другое в спешке получилось не очень качественно, но времени на серьёзный беспристрастный анализ многие организации пока так и не выкроили – жизнь развивается весьма динамично, и новые задачи часто наслаиваются на незаконченные старые.

Описание проблемы

К числу рисков информационной безопасности, связанных с удалённой работой, относятся ошибки в идентификации и аутентификации сторон удалённого электронного взаимодействия, фишинговые атаки, взлом маршрутизаторов и перенаправление пользователей на вредоносные сайты, НСД к корпоративным ресурсам из-за пределов контура безопасности, нарушение конфиденциальности информации при её передаче по открытым каналам связи и другое. Ситуация усложнилась тем, что практически в ногу с развитием эпидемии активизировались злоумышленники. В то же время ответственность за значительную часть информационной безопасности была перенесена с систем защиты организации на пользователя. Действительно, если до пандемии сотрудник допускал промах и попадался, например, на фишинг, то другие системы обеспечения ИБ могли его подстраховать: при попытке отправить конфиденциальную информацию могла сработать DLP, при попытке получить доступ к системе мог отработать антивирус или IPS. Теперь же пользователь, которому спешно подключили необходимые для работы доступ к прикладным программам (во многих случаях с избыточным доступом по принципу – надо работать, а потом администратор разберётся и оставит только необходимое), остался один на один с домашним компьютером.

Использовать домашние компьютеры в рабочих целях небезопасно, даже если они оснащены антивирусами. С одной стороны, компании вынуждены в определённой ситуации (пандемия, к примеру) разрешать удалённый доступ сотрудников с домашних компьютеров к корпоративным информационным системам, с другой – эти же компании должны обеспечивать защиту циркулирующей в их ИТ-инфраструктуре коммерческой, служебной и других видов тайн как в собственных интересах, так и в соответствии с внешними обязательствами.

Домашний компьютер сотрудника при этом является не просто чёрным ящиком, а скорее ящиком Пандоры. Стоит "открыть" его (впустить в корпоративную сеть), и последствия могут быть катастрофическими для деятельности организации. И дело даже не в злом умысле пользователя. Среднестатистический сотрудник, как правило, соблюдает корпоративную ИТ-культуру, а в условиях кризиса тем более верен и предан организации, в которой работает. Однако, с другой стороны, его грамотность в области ИБ в общем случае оставляет желать лучшего. На домашних компьютерах у подавляющего большинства пользователей отсутствуют какие-либо средства обеспечения информационной безопасности.

В общем случае, это не проблема собственно владельца компьютера, вопрос анализа рисков специалистами по защите информации заключается в оценке вероятности инцидента ИБ и возможных последующих потерь. Для личного средства СВТ это одна величина, а когда это же СВТ начинают использовать для корпоративных задач, это совсем другая история.

Отметим ещё несколько аспектов проблемы безопасности удалённого доступа в условиях пандемии. В значительном числе организаций в связи с массовым переходом на удалённый режим работы затянулись и остались незавершёнными проекты, в том числе по цифровизации и защите информации. Выяснилось, что по некоторым проектам отсутствует необходимая документация. Многие вопросы, трудно решаемые даже на очных совещаниях, в условиях недостаточно качественной связи и ограниченного выбора надёжных средств видео-конференц-связи долгое время оставались открытыми.

В итоге эпидемия коронавируса, карантин и режим домашней изоляции показали общую неготовность федеральных структур, органов исполнительной власти, многих государственных и коммерческих организаций к обеспечению эффективной и безопасной удалённой работы своих сотрудников. Редким исключением стали те организации, в штате которых состоят квалифицированные, харизматичные руководители служб защиты информации, аргументированно отстаивающие необходимость выделения средств на последовательное выполнение рекомендаций регуляторов. Те компании, которые непрерывно и последовательно заботились об информационной безопасности до пандемии, перешли на удалённый режим безболезненно. Пандемия обострила вопросы защиты информации у тех, кто постоянно получал средства на защиту информации по остаточному принципу. Пандемия и последующий кризис показывают, что у каждой современной компании должна быть концепция ИБ, сформулированные и регулярно обновляемые политики безопасности, в частности, политика управления доступом, и как важная её часть – политика управления удалённым доступом.

Альтернативные пути решения

Имеет смысл разделять плановый осознанный перевод части персонала на удалённую работу и экстренный переход на режим самоизоляции всего штата сотрудников, как это произошло в нашей стране в марте 2020 года. При плановом переходе можно в штатном порядке продумать комплекс организационно-технических мер обеспечения информационной безопасности, обеспечить сотрудников необходимым комплектом СЗИ и СКЗИ, проверить их совместимость, обучить персонал, обеспечить техническую поддержку, разработать инструкции и т. д. На рынке уже существует достаточное количество развитых технологий и средств защиты информации, способных обеспечить полноценную работу сотрудников на "удалёнке без существенного роста угроз для государственных и негосударственных систем. При вынужденном экстренном переводе персонала на работу из дома таких возможностей нет: необходимо в кратчайшие сроки найти простые и понятные решения, позволяющие работать из дома, не нарушая безопасности корпоративной сети, её информационных ресурсов, информации, циркулирующей на домашнем компьютере, а также между ним и корпоративной сетью. Некоторые организации до введения режима самоизоляции вообще не предполагали когда-либо использовать удалённый доступ для полноценной работы своих сотрудников. В марте 2020 года им пришлось создавать такие системы буквально "на коленке". Это привело к тому, что созданные и работающие и в данный момент системы удалённого доступа отвечают далеко не всем требованиям по информационной безопасности. Многие организации так и не внедрили все необходимые средства защиты и не выстроили свои процессы для обеспечения безопасного удалённого доступа сотрудников. Таким образом, наиболее опасной является не какая-то конкретная угроза, а общий уровень безопасности систем удалённого доступа, построенных в короткие сроки в авральном режиме. Это может привести как к крупным утечкам персональных данных, так и к атакам на ГИСы со стороны злоумышленников. Итак, "правильно" построить работу сотрудников в удалённом режиме, как правило, не удалось, а "быстро" – каждая организация делала как могла.

Идеальным решением для полноценного удалённого доступа к необходимым пакетам прикладных программ и данных является корпоративный защищённый ноутбук. Очевидно, что далеко не каждая российская организация, включая крупные государственные корпорации с огромными ИТ-бюджетами, оказалась готовой оперативно выдать каждому сотруднику корпоративный ноутбук/планшет для удалённой работы из дома (тем более что склады поставщиков опустели к концу марта, а регулярные поставки уже по новым ценам наладились только летом). Причём не просто выдать, а предварительно проработать модель информационной безопасности при удалённом доступе сотрудников к корпоративной ИТ-инфраструктуре и разработать релевантную систему защиты информации и, как следствие, предустановить на корпоративный ноутбук необходимый и достаточный набор СЗИ и СКЗИ, настроенных в соответствии с утверждённой политикой безопасности организации и бесконфликтно работающих в среде установленной ОС. Отметим, что поиск полностью совместимых решений среди систем защиты информации нередко становится далеко не тривиальной задачей. В этом случае вопрос заключается не только в собственно итоговой стоимости персонального ноутбука для каждого сотрудника, но и в предшествующих мероприятиях по настройке серверной и пользовательской частей корпоративной системы ИБ.

Итак, при массовом переводе на корпоративные ноутбуки ключевым является вопрос финансирования, ведь в этом случае у значительной части сотрудников в короткий срок появляется два рабочих места – постоянное и мобильное. Даже при относительно небольшой численности персонала снабдить каждого сотрудника ноутбуком для удалённой работы из дома представляется весьма затратным делом. А если добавить к стоимости самого ноутбука расходы на необходимые средства обеспечения информационной безопасности, на дооснащение и реконфигурирование серверной составляющей корпоративной ИТ-инфраструктуры, то затраты окажутся неподъёмными для текущих бюджетов большинства организаций.

Другой крайностью и, как уже было сказано, совсем небезопасным решением становится доступ с домашних компьютеров с минимальным набором средств защиты. Это самый дешевый, но одновременно и высокорисковый вариант.

Хорошей альтернативой может служить промежуточный вариант, так сказать, золотая середина. Появление на рынке нового продукта – Aladdin LiveOffice (ALO) – позволит в короткий срок сформировать комплексное, гибкое и легко масштабируемое решение, обеспечивающее быстрое развертывание и настройку систем обеспечения безопасного доступа к информационным ресурсам в интересах как государственных структур (доступ к ГИС), так и коммерческих компаний.

ALO представляет собой комплексное решение, которое, с одной стороны, позволяет использовать недоверенные личные средства вычислительной техники (ЛСВТ) сотрудников, а с другой – предоставляет возможность подключаться к рабочему компьютеру, сетям ГИС, ИСПДн, КИИ и т.д. Решение реализовано в виде токена Live USB и предоставляет следующие возможности:

  • удалённое подключение к своему служебному компьютеру и/или виртуальному рабочему столу (VDI);
  • удалённая работа в привычной среде, с набором привычных приложений и документов – как в офисе;
  • удалённая и автономная работа с конфиденциальными документами;
  • сохранение необходимых документов на защищённый зашифрованный раздел USB-накопителя (безопасный перенос данных – офис-дом-командировка; контроль данных – доступ к данным только на авторизованных компьютерах и, как следствие, невозможность получения доступа к данным, даже если злоумышленник заполучил само USB-устройство и узнал его PIN-код);
  • работа с документами в режиме офлайн для экономии сетевого трафика или при плохой связи (документы хранятся на зашифрованном разделе flash-памяти; для работы с документами используется предустановленный офисный пакет);
  • работа с различными системами электронного документооборота (ЭДО) и использование электронной подписи (USB-устройство является средством формирования и проверки усиленной квалифицированной ЭП (УКЭП));
  • выход в Интернет разрешён только со служебного компьютера через корпоративный шлюз и соответствующие средства защиты информации;
  • строгая или усиленная двухфакторная аутентификация (2ФА), отказ от применения простых запоминаемых пользователями паролей;
  • удалённое централизованное безопасное обновление прошивки устройства, пользовательских настроек и профилей, установленных приложений;
  • безопасное удалённое администрирование.

Основными потребителями ALO и систем их управления/администрирования станут государственные органы и организации, а также службы и компании с государственным участием, для которых требования безопасности обработки данных (включая требования по санкционной независимости и импортозамещению) являются наиболее актуальными, это в частности, предприятия КИИ: сети электросвязи, транспортные системы, в том числе нефтегазовые, металлургические и химические предприятия, предприятия топливо-энергетического комплекса, атомной энергетики и банковского сектора.



Алексей Сабанов,
д.т.н., заместитель генерального директора компании "Аладдин Р.Д."