Прошло чуть больше месяца с начала массового перехода на дистанционную работу. Сейчас это вынужденная мера борьбы с COVID-19, но уже очевидно, что она не будет временным решением. Сотрудники показали эффективность при работе из дома, и после пандемии массового возврата в офис не произойдет.
Если основной целью последних недель было перевести сотрудников на удаленку любым способом, лишь бы сохранить бесперебойность бизнеса, теперь, когда аврал начинает понемногу спадать, самое время проработать оптимальную архитектуру с заделом на будущее и проверить, все ли было учтено с точки зрения безопасности.
Регуляторы в области защиты информации (НКЦКИ, ФСТЭК России, Центробанк) опубликовали рекомендации по обеспечению безопасной удаленной работы, максимально четко отразив в них основные правила, которых следует придерживаться.
Хотя рекомендации даются самые базовые, их выполнение позволит существенно минимизировать риски ИБ. Основной упор сделан на комплексную защиту удаленных рабочих станций. Каждое удаленное устройство может стать лазейкой для злоумышленников в вашу корпоративную сеть. Для защиты следует использовать все рекомендованные средства: антивирусное ПО, двухфакторную аутентификацию (2FA), VPN-клиенты, средства защиты от несанкционированного доступа. Дополнительно могу посоветовать усилить антивирусы EDR-решениями — это поможет обеспечить полноценную защиту конечных устройств, так как выявит неизвестное вредоносное ПО и другие аномальные активности еще до нанесения ими серьезного ущерба.
Закупка и расширение систем ИБ с учетом массового перевода сотрудников на удаленку требуют незапланированных затрат. Для быстрого старта и оптимизации расходов стоит воспользоваться спецпредложениями производителей средств защиты. Многие вендоры сейчас предоставляют лицензии бесплатно на несколько месяцев. Но к выбору лучше сразу подойти основательно, чтобы облегчить себе жизнь по окончании бесплатного периода и не переходить на другой продукт. Выбирайте решения с гибкой схемой лицензирования и без привязки к физическим устройствам, чтобы можно было переносить лицензии с корпоративных машин на домашние или наоборот.
Зачастую при атаках хакеры используют украденные учетные данные, поэтому все регуляторы рекомендуют усилить пароли и ввести многофакторную аутентификацию. Важно внедрить парольную политику, ввести правила составления паролей и периодичность их изменения, а также обязательно донести до сотрудников необходимость сменить стандартные пароли на домашних роутерах.
ФСТЭК России настоятельно рекомендует предоставить для дистанционной работы корпоративную вычислительную технику. Но многие компании по объективным причинам не смогли этого сделать. Переход сотрудников на удаленку был массовым и стихийным, важна была скорость. Поэтому сейчас многим организациям приходится предпринимать повышенные усилия для защиты и контроля личных устройств сотрудников. На будущее безусловно нужно следовать рекомендациям и рассмотреть вариант закупки и выдачи рабочих ноутбуков с установленными средствами защиты.
От сознательности самих сотрудников теперь зависит очень многое. Объясните им, насколько важны действия каждого из них для защиты компании, особенно если они используют личные компьютеры и ноутбуки. Ведь у многих может быть один ноутбук на всю семью — проконтролируйте, чтобы сотрудники установили антивирусное ПО, не допускали к корпоративной информации посторонних и т. д.
Также очень важно определить, к каким корпоративным ресурсам каждый сотрудник должен иметь доступ, и предоставить минимально необходимые права и привилегии. Если сотруднику для выполнения должностных обязанностей достаточно электронной почты, не нужно давать доступ к критичным системам. А тех, кто работает с действительно важными ресурсами, необходимо поставить на усиленный мониторинг и контроль.
В домашних условиях сотрудники могут чаще попадаться на уловки мошенников. В рекомендациях НКЦКИ этому уделяется особое внимание. Обучение и повышение осведомленности персонала в вопросах ИБ — одна из первостепенных задач для обеспечения безопасности. Сотрудники должны уметь распознавать фишинговые письма, подозрительные вложения, сайты и ссылки и знать, что с ними делать. Особенно нужно акцентировать внимание на атаках, связанных с тематикой COVID-19, так как сейчас эту тему максимально активно эксплуатируют мошенники. Есть специализированные платформы и обучающие курсы, можно провести тестовые фишинговые рассылки и посмотреть, как отреагируют пользователи и сколько «учеток» будет скомпрометировано.
Отдельно стоит отметить необходимость обеспечить высокую готовность службы техподдержки. Все сотрудники должны знать, как быстро связаться с ИТ-специалистами и решить возникшую проблему. Многие столкнулись с дистанционной работой впервые, так что можно ожидать большого количества вопросов, связанных с доступом к корпоративным ресурсам, использованием VPN, второго фактора аутентификации и т. д. Чтобы это не тормозило рабочий процесс, все технические проблемы нужно решать в максимально короткие сроки.
Еще одна важная рекомендация регуляторов — обеспечить оперативное реагирование в случае возникновения компьютерных инцидентов. Компании должны находиться в режиме повышенной готовности. Нужно актуализировать планы по реагированию, списки ответственных лиц, матрицы эскалаций, учесть, что многие смогут подключаться только удаленно. Желательно, чтобы в компании уже использовались технические средства мониторинга и выявления инцидентов ИБ (системы SIEM, IRP и т. д.), а также была полноценная команда аналитиков и специалистов реагирования. Если эти процессы пока не выстроены, можно воспользоваться услугами коммерческих SOC. Сразу поставить на мониторинг всю инфраструктуру будет сложно, это требует серьезных кадровых и финансовых ресурсов, так что начинать лучше с самых приоритетных и критичных систем.
Рекомендации регуляторов не являются обязательными требованиями. Однако важно понимать, что атаки могут привести к самым серьезным последствиям. Поэтому при организации удаленного доступа стоит уделить повышенное внимание как техническим, так и организационным мерам защиты.