Преимущества удаленной работы давно осознаны как бизнес-руководством, так и практикующими ее рядовыми сотрудниками. Ну а в связи с пандемией COVID-19 востребованность удаленки выросла в разы. Злоумышленники тоже стали концентрировать свои усилия на атаках удаленного доступа, облачных услуг для совместной работы, веб-конференций, телефонии...

Пришла пора внимательнее взглянуть на безопасность технических средств и процессов удаленной работы. Данный обзор itWeek посвящен ставшим особенно актуальными задачам обеспечения надежной и безопасной удаленной работы в условиях возросшего на нее спроса.

Как выбрать оптимальный набор технологий для оперативного налаживания удаленной работы? Как построить защиту этих технологий и сколько эта защита может стоить? Как оценить надежность провайдеров, задействованных в организации удаленной работы? С какой стороны ожидать наиболее серьезных угроз для безопасности удаленной работы в условиях пандемии и как их минимизировать?

Мы постарались найти ответы на эти вопросы, получить рекомендации по обеспечению ИБ удаленной работы в общем комплексе построения корпоративной системы ИБ, определению наиболее вероятных векторов атак на технологии и процессы удаленной работы, оценке возможных ущербов от реализации этих атак.

Технологии удаленной работы

Для организации удаленной работы сотрудников большинство российских компаний, по общему мнению наших экспертов, применяют VPN и терминальный доступ. Реже используются VDI-решения, поскольку для их корректной работы требуется предварительная подготовка и настройка офисной инфраструктуры, а значит, и дополнительные затраты. Поддерживать коммуникативную среду помогают корпоративные чаты, мессенджеры, средства совместной работы с документами и проектами, а также системы аудио- и видеоконференцсвязи. Все эти инструменты для унифицированных коммуникаций давно вошли в практику крупного бизнеса, упростив для него перевод сотрудников на удаленку.

Для сектора среднего и малого бизнеса директор направления ИТ-сервиса и аутсорсинга компании X-Com Вячеслав Логушев рекомендует использовать бюджетные облачные сервисы, например MS Teams и Zoom.

Что касается крупного бизнеса, то он, как отметил Данила Егоров, технический эксперт группы информационной безопасности «ИНЛАЙН ГРУП», традиционно относится к облакам с настороженностью и предпочитает разворачивать онпремисные решения, отвечающие за удаленный доступ. Эти компании предпочитают проверенные временем технологии VPN от известных и хорошо зарекомендовавших себя производителей, интегрируя их с решениями мультифакторной аутентификации и DLP. При этом малый бизнес продолжает использовать Open Source-решения, например OpenVPN.

«Но нельзя не отметить намечающуюся тенденцию увеличения использования облачных технологий для организации прозрачного удаленного доступа пользователей к внутренней корпоративной инфраструктуре, а также получившие в период пандемии „второе дыхание“ разработки для управления мобильными устройствами. Это обусловлено потребностями безопасно работать с помощью личных мобильных устройств с корпоративными сервисами компании, а также выросшим спросом на потребительские онлайн-услуги», — добавил Данила Егоров.

По наблюдениям ведущего менеджера по развитию бизнеса в области ИБ компании СТЭП ЛОДЖИК Андрея Зеренкова, к массовому переводу сотрудников на удаленку в стране не был готов никто. Для удаленной работы компаниям пришлось в сжатые сроки выбирать самые доступные, но далеко не самые безопасные решения, на которое очень быстро сместился фокус кибератак.

«Если счет удаленно работающих сотрудников идет на тысячи, или информация, которую они используют в работе, относится к чувствительной, или нужен доступ к большому объёму графики и мультимедиа, или используются фермы терминальных серверов, — говорит Андрей Зеренков, — следует применять решения для виртуализации и доставки приложений с удалённого сервера на локальные устройства пользователей через тонкий клиент».

В решении задач обеспечения ИБ при удаленной работе, считает он, помогут мультифакторная аутентификация пользователей, оценка защищённости подключаемого к корпоративной сети устройства (NAC), мониторинг и запись всех действий (РАМ) для контроля сотрудников и подрядчиков, имеющих повышенные привилегии доступа, антивирусы на пользовательских устройствах, своевременное обновление ПО.

«Самое дорогое, но одновременно и самое защищенное решение для удаленной работы — ноутбук с шифрованием всей критичной к утечкам информации, на который ставится несколько клиентских бизнес-приложений и систем защиты информации, — считает заместитель генерального директора компании „Аладдин Р.Д.“ Алексей Сабанов, — а авторизация доступа должна начинаться со строгой двухфакторной аутентификации, после успешного прохождения которой строится VPN до офисной сети».

Двухфакторная аутентификация при организации безопасной удалённой работы

Дмитрий Шуралёв

Дмитрий Шуралёв, технический специалист по работе с технологическими партнёрами компании «Аладдин Р.Д.»

Строгая аутентификация, или криптографическая аутентификация, — это процесс аутентификации субъекта информационной системы, реализуемый с помощью криптографических алгоритмов и протоколов.

Основная идея строгой аутентификации состоит в том, что аутентифицируемая сторона в процессе обмена сообщениями с сервером аутентификации отправляет ему некоторые сообщения, защищенные от фальсификации со стороны злоумышленников с помощью криптографических преобразований.

По количеству используемых факторов аутентификацию можно разделить на следующие классы:

  • однофакторная (или простая) аутентификация, например аутентификация пользователей электронной почты с помощью пароля;
  • двухфакторная, как правило, вторым фактором является одноразовый пароль или электронная подпись, формируемые с помощью электронного носителя, в котором хранится закрытый ключ аутентифицируемого субъекта, а первым фактором является знание имени и пароля пользователя системы. Также в качестве дополнительного элемента второго фактора аутентификации выступает знание субъектом PIN-кода, позволяющего воспользоваться аппаратным модулем с закрытым ключом для заверения сообщений при обмене;
  • многофакторная, при которой к перечисленным выше двум факторам аутентификации добавляются, как правило, ещё и некоторые биометрические характеристики субъекта аутентификации, например отпечаток пальца, запись голоса, фотография лица, рисунок сетчатки глаза или радужной оболочки, клавиатурный почерк при вводе пароля и т. д.

Многофакторную аутентификацию можно разделить на строгую и усиленную. Усиленная аутентификация основана на использовании одноразовых паролей в дополнение к классической паре логин/пароль.

Рассмотрим вариант строгой аутентификации, основанной на инфраструктуре открытых ключей (PKI, от англ. Public Key Infrastructure). Основа PKI, как понятно из названия, это открытый ключ. Точнее, сертификат открытого ключа, в котором он передаётся. Сертификаты выдаёт аккредитованный Удостоверяющий центр (УЦ), например, это может быть ваш собственный УЦ как реализация Microsoft Certification Authority. Также Удостоверяющий центр подтверждает, что закрытый ключ известен только владельцу этого ключа. Единственный правильный и безопасный метод хранения закрытого ключа и сертификата — это отчуждаемый ключевой носитель с защищённой памятью. Специализированный смарт-карточный чип надёжно защищает ключ от модификации, извлечения и клонирования. Такими ключевыми носителями являются устройства линейки JaCarta (в частности, JaCarta PKI) от «Аладдин Р.Д.». При выборе ключевого носителя важно обращать на это внимание, так как не все устройства на рынке выполняются на специализированных смарт-карточных чипах. Сами устройства поставляются в двух форм-факторах — USB-токен и смарт-карта. Технически, внутренне, это одинаковые устройства, главное отличие заключается в том, что USB-токен — это составное устройство, проще говоря, это смарт-карта в корпусе со встроенным USB-коннектором. В случае с классической смарт-картой для работы требуется ещё и смарт-карт-ридер, который может быть встроен в клавиатуру, корпус компьютера или отдельно стоять на столе. Сказать, что лучше, в данном случае сложно — это дело вкуса и привычки. Смарт-карту, например, удобно носить в бумажнике, а токен — как брелок на ключах. И USB-токен, и смарт-карты имеют возможности для кастомизации, нанесения логотипов и фото сотрудников, имплементации RFID-меток. Для совмещения на одном устройстве возможности доступа в офис и к сетевым ресурсам на смарт-карты может быть записано даже платёжное приложение от VISA, Master Card или МИР.

По статистике, более чем в 80% инцидентов информационной безопасности использовались слабые или украденные пароли. В связи с этим внедрение двухфакторной аутентификации значительно повышает уровень общей защищённости ресурсов компании, позволяет практически до нуля снизить риск кражи или подбора пароля, а также гарантировать, что общение происходит именно с реальным пользователем. Внедрение инфраструктуры PKI позволяет полностью избавиться от паролей. Такая аутентификация работает следующим образом: пользователь запрашивает некоторый сервис, предъявляя сертификат открытого ключа и вводя PIN-код для предоставления закрытого ключа, для реализации криптографических преобразований, после их проверки и происходит успешное получение доступа либо отказ в обслуживании. Потерять токен не страшно, он защищён ещё и от попыток подбора PIN-кода, после нескольких неудачных попыток он просто заблокируется. А получить сертификат на новый ключевой носитель можно даже удалённо, с использованием специального комплекса JaCarta Management System (JMS).

С точки зрения интерфейса пользователя такая схема даже более проста, чем ввод логина и пароля, потому как сложный пароль теперь не нужно запоминать, пароль не нужно менять раз в 90 дней. Вообще частая смена пароля уже не входит в «лучшие практики», и тем не менее пока ещё широко используется. Больше не нужно клеить стикеры под клавиатуру или экран монитора в нарушение всевозможных политик безопасности. Пользователю нужно будет просто придумать не очень сложный PIN-код и использовать его для доступа вместе с токеном или смарт-картой.

ПАРТНЕРСКИЙ МАТЕРИАЛ

«Технологии и инструменты для удаленной работы совсем не редкость для работающих в России компаний, — говорит представитель по продвижению программного обеспечения IBM Security в России и СНГ Эльман Бейбутов. — Проблема и вызов заключаются в оперативном обеспечении сотрудников необходимым стеком технологий удаленной работы, замещающих и дополняющих привычный офисный режим при массовом переходе на удаленный».

В быстро меняющихся внешних условиях он рекомендует отдать предпочтение облачным технологиям, имеющим ряд неоспоримых преимуществ: оперативность получения сервисов, модель оплаты по подписке за полученный объем услуг, максимально быстрое масштабирование вверх и вниз, отсутствие необходимости собственных ИТ-компетенций для поддержания сервисов. Однако с позиции обеспечения ИБ, предупреждает он, облачный вариант требует проработки дополнительных рисков — обеспечения безопасности клиентских данных, доступа к ним, гарантий их удаления после прекращения использования сервисов, проверки соответствия сервисов нормативным требованиям.

Готовность ИКТ-инфраструктуры российских компаний к использованию технологий удаленной работы

В части сетевых подключений базовая инфраструктура большинства российских компаний, по мнению Андрея Зеренкова, оказалась готова к переходу на удаленные схемы работы. Однако с программным обеспечением для командной работы, как он считает, все обстояло намного хуже, поскольку при офисном режиме эти приложения использовались минимально. Это спровоцировало резкий рост количества подключений к облачным сервисам, что привело к перегрузке мощностей у провайдеров. Зато многие компании впервые оценили возможности облачных сервисов в качестве альтернативы или дополнения собственным ИТ-ресурсам, что открывает для поставщиков этих сервисов перспективы после прекращения пандемии.

«Безусловно, никто не был готов к такому росту запросов клиентов по расширению архитектуры удаленного доступа и повышению безопасности. К сожалению, как в старой русской пословице про клюющего петуха — все очнулись в последний момент, а готового аппаратного обеспечения, прошедшего все бюрократические и таможенные процедуры, у многих не оказалось. Как результат — бизнес был вынужден переводить часть своих работников на Open Source-решения, так как для корпоративных решений ему не хватало мощностей, лицензий, каналов и прочих ресурсов», — рассказал Данила Егоров.

По словам заслуженного системного инженера компании Cisco Михаила Кадера, заказчики не жалуются на недостаточную скорость интернет-соединений, хотя многие из тех, кто внедрял системы удаленного доступа, использовал технологию так называемого предельного туннелирования. По его мнению, это означает, что запрос или обмен информацией с корпоративной сетью проходит внутри VPN-туннеля, а прямое взаимодействие с Интернетом — мимо этого туннеля, что существенно снижает нагрузку на каналы Интернета в штаб-квартире компании.

У очень многих заказчиков либо вообще не были внедрены решения для обеспечения удаленного доступа (и им приходилось оперативно решать эту проблему), либо не было достаточного количества аппаратных или виртуальных устройств для развертывания систем удаленного доступа (т. е. не было достаточно мощностей для развертывания удаленного доступа, а потому им пришлось в авральном режиме эти мощности наращивать, в первую очередь за счет развертывания виртуальных VPN-шлюзов в своих собственных офисах или ЦОДах. «С точки зрения масштабируемости я бы оценил готовность компаний к такому сценарию не более чем в 20%», — заключает Михаил Кадер.

«На мой взгляд, — говорит Вячеслав Логушев, — большинство российских компаний достойно выдержали испытание пандемией, сумев оперативно подготовить инфраструктуры, внедрить инструменты и сервисы для обеспечения удаленной работы сотрудников. Для работы с большинством публичных облачных и онпремисных ИТ-сервисов оказалось достаточно пропускной способности домашнего Интернета и мобильных сетей четвертого поколения».

По наблюдениям заместителя директора департамента технического сервиса компании «РАССЭ» (ГК «АйТеко») Антона Ленского, лучше других подготовленными к переводу сотрудников на удаленную работу оказались представители крупного бизнеса и ИТ-компании. И те, и другие до эпидемии имели развитую инфраструктуру виртуализации, решения VPN, инструменты для удаленного доступа, а компании-разработчики ПО давно практиковали «дни работы из дома». Хотя немало оказалось и таких организаций, которым пришлось оперативно закупать ноутбуки, настраивать удаленный доступ к электронной почте, корпоративным порталам, рабочим папкам и файлам.

Залогом успешности перехода на удаленку, по мнению Эльмана Бейбутова, являются зрелость корпоративных ИТ и ИБ, наличие опыта удаленной работы хотя бы у части сотрудников, а также использование мобильных устройств, на которые можно распространить корпоративные средства обеспечения ИБ. Он считает, что неготовность корпоративных ИКТ-инфраструктур и сервисов многих компаний по всему миру, в том числе и в России, к массовому переходу на удаленный режим работы закономерна, поскольку типичного запаса прочности инфраструктур в 10–30% для поддержания процессов на удаленке в обычных условиях явно не хватило, когда на работу вне офисов было переведено более 90% персонала. «Большинству компаний не хватило лицензий для одновременных VPN-сессий, отсутствовала инфраструктура VDI, подключения извне оказались запрещены настройками межсетевых экранов, публикация веб-сервисов в демилитаризованных зонах требовала специальных знаний и средств по их защите — это только небольшой список того, с чего началось переключение на удаленку, несмотря на то что переход происходил не с нуля, поскольку базовые средства для удаленной работы имелись и их необходимо было просто масштабировать», — говорит Эльман Бейбутов. По его наблюдениям, многие до сих пор отмечают деградацию корпоративных сервисов из-за низкого качества услуг домашних провайдеров, в некоторых случаях оказалось целесообразным резервировать доступ в Интернет с корпоративных смартфонов.

«Обеспечение удаленной режима работы является комплексным процессом, который состоит не только из технической составляющей. Очень важно помнить и об ее организационной части», — напоминает ведущий пресейл-инженер компании Cross Technologies Саид Атциев. Он считает, что, перед тем как переводить сотрудников на удаленную работу, бизнес должен найти ответы на следующие вопросы: каких сотрудников можно переводить на удаленный режим работы, а каких нельзя; каким требованиям должно соответствовать удаленное рабочее место как с точки зрения эффективного выполнения сотрудником своих обязанностей, так и с точки зрения информационной безопасности; как организовать контроль рабочего времени и эффективности сотрудника на удаленке; как обеспечить коммуникацию между сотрудниками при удаленном режиме работы.

Эксперты отмечают, что большую поддержку российские компании получили от ИТ- и ИБ-вендоров и сервис-провайдеров, которые на длительный период предоставили бесплатные вычислительные мощности в облаках, сервисы и приложения для удаленной работы, а также средства безопасности для пользовательских устройств.

Компоненты системы обеспечения ИБ удаленной работы

«Все основные компоненты системы обеспечения безопасности удаленной работы, — считает вице-президент по ИТ компании OCS Distribution Сергей Новиков, — должны наличествовать в арсенале любой компании, которая заботится о своей ИБ, поскольку удаленная работа уже давно не является экзотикой и, следовательно, защита удаленных подключений должна быть включена в основной перечень политики ИБ. При таком подходе какие-либо специальные средства/методы защиты не требуются».

Саид Атциев рекомендует при удаленном доступе сотрудников разделять корпоративную ИКТ-инфраструктуру на три логические зоны: неконтролируемого доступа (удаленных АРМ); сетевого соединения; внутренних корпоративных сервисов. Организация безопасного удаленного доступа должна быть комплексной, покрывать все три зоны и обеспечивать защиту удаленных рабочих станций, каналов связи и бизнес-приложений.

«Новизна и сложности при массовой удаленной работе возникают при защите удаленных рабочих станций, где главными показателями являются следующие: антивирусная защита; обнаружение вторжений; контроль периферии; анализ защищенности операционных систем (ОС); контроль состава программного обеспечения (ПО); гарантированная доставка ПО для удаленной работы; сбор информации о действиях пользователей на рабочих станциях», — говорит Саид Атциев.

Директор центра разработки и оказания сервисов компании Angara Professional Assistance Сергей Кривошеин рекомендует особое внимание обращать на обеспечение безопасности пользовательских мобильных устройств, именно они с большей вероятностью могут быть похищены, подключены к общедоступным сетям и использованы третьими лицами (членами семьи, например).

«Защита таких устройств, — считает он, — должна включать обязательные проверки соблюдения локальных требований безопасности (наличие антивируса и актуальность его баз, наличие закрывающих критические уязвимости патчей ПО, отсутствие нежелательного ПО и др.), шифрование данных, передаваемых и хранимых на устройстве (причем с возможностью расшифровки только при успешном подключении к управляющему центру), использование многофакторной аутентификации, проксирование доступа к ИС и в Интернет и т. п.».

Описанные выше меры требуют согласия владельцев устройств на внесение в них определенных изменений и ограничения использования, что не всегда возможно. В этом случае качественную безопасность мобильных средств доступа Сергей Кривошеин рекомендует отстраивать классическими методами: использовать защищенный канал VPN с многофакторной аутентификацией, изолировать критичные бизнес-приложения (проксированием, размещением в демилитаризованной зоне и т. п.), защищать веб-приложения (используя WAF), контролировать доступ администраторов, использовать системы защиты данных от передачи третьим лицам (IRM/DRM) и системы предотвращения утечек (DLP). Обязательным для точек подключения при удаленном доступе он считает использование систем и сервисов защиты от отказов в обслуживании (защиту от DDOS\DOS, защиту серверов DNS, использование балансировщиков).

«В зависимости от бюджета организации можно выделить различные решения для обеспечения безопасности удаленного доступа. Одно из них, которое стоит применять в первую очередь — многофакторная аутентификация с помощью одноразовых паролей или аппаратных токенов. Если организация обеспокоена утечкой данных, то следует интегрировать удаленный доступ с DLP системами. Если у организации нет возможности раздать всем пользователям ноутбуки с предустановленным корпоративным ПО, антивирусами и политиками безопасности, а пользователи будут входить в корпоративную сеть с помощью домашних ПК, не следует пренебрегать „песочницами“, в которые будут „заворачиваться“ файлы, копируемые пользователями в корпоративную среду, — рекомендует Данила Егоров. — Не следует также забывать про SIEM-системы для анализа логов, нетипичного повеления пользователей и выявления отклонений в поведении ПО. Не лишним будет составить план обучения пользователей основам безопасной удаленной работы и, возможно, проводить экзамен на понимание пройденного курса, ведь безопасная удаленная работа это не только программное или аппаратное обеспечение, которым мы пытаемся закрыть возможные дыры, но и соответствующим образом подготовленные пользователи».

«На сегодняшний день наиболее специфическим из средств защиты удаленных рабочих мест, — считает Антон Ленский, — является криптографическая защита, обеспечивающая построение шифрованного (обязательно в соответствии с требованиями российского законодательства) туннеля от удаленного компьютера до централизованных сервисов. Отечественные средства криптозащиты, соответствующие требованиям российских регуляторов, специально разрабатывались для обеспечения конфиденциальности, целостности, доступности информации ограниченного доступа при ее обработке, хранении и передаче за пределами контролируемой зоны».

Противопоказанная удаленка

Для большинства компаний противопоказаний для перехода на удаленку нет, полагает Вячеслав Логушев. Важно только внедрить в практику бизнеса политики ИБ, неукоснительно им следовать, они не должны быть формальными, бумажными, а реально действующими со строгим контролем соблюдения.

Однако следует учитывать, что в бизнесе могут быть процессы, которые вообще не подлежат цифровизации, например обслуживание клиентов в офлайне. Препятствием переходу на удаленный режим может также стать недостаточный уровень корпоративной цифровой культуры.

Андрей Зеренков напоминает о существовании регламентируемых классов данных и информационных систем, режимы работы с которыми необходимо обеспечивать в соответствии с российским законодательством, требованиями и рекомендациями ФСБ, ФСТЭК и отраслевых регуляторов.

«Удаленная работа противопоказана в закрытых изолированных сегментах сетей (технологические промышленные сети, энергетика и т. п.), а также в сегментах обработки и хранения данных с грифом гостайны», — говорит Сергей Кривошеин.

«При правильном использовании современных средств обеспечения ИБ, —соглашается с коллегами Михаил Кадер, — нет никаких противопоказаний для организации удаленной работы пользователей в любом сегменте. Исключение могут составлять технологические сети и другие закрытые ИТ-ресурсы, к которым, нет прямого доступа через Интернет, даже через VPN».

Как преодолеть противопоказания к удаленной работе

Алексей Баданов, руководитель отдела стратегического ИТ-консалтинга “ИНЛАЙН ГРУП”

Организация удаленной работы, особенно если она носит массовый характер, приводит к изменению границ «традиционного» для компании периметра безопасности в связи с ростом количества потенциальных уязвимостей.

Масштабное использование недостаточно защищенных, а то и вовсе не защищенных домашних компьютеров, других устройств обработки информации, публичных сетей, точек беспроводного доступа обуславливает противопоказания к удаленной работе.

Для нейтрализации таких противопоказаний можно порекомендовать следующие меры.

• Усилить безопасность подключения удаленных рабочих мест за счет использования технологии VPN и строгой аутентификации для доступа к информационным системам и ИТ-сервисам.

• Повысить защищенность компьютеров на удаленных рабочих местах, для чего следует:

— установить персональные межсетевые экраны, запретив все входящие/исходящие соединения, кроме тех, что необходимы для работы;

— исключить возможность работы от имени привилегированного пользователя;

— установить антивирусное ПО, избежав таким образом вероятность отключения;

— актуализировать установку обновлений безопасности на всех устройствах удаленных сотрудников — рабочих станциях, смартфонах, маршрутизаторах;

— проводить на удаленных устройствах резервное копирование информации.

Подобной проблемы не возникает, если система обеспечения информационной безопасности (ИБ) компании выстроена грамотно, в соответствии с ИБ-стандартами, поскольку при этом будет надлежащим образом организована защита как рабочих компьютеров, так и подключений согласно политикам ИБ. И уж тем более всё становится беспроблемным, если удаленные рабочие места комплектуются штатными рабочими компьютерами пользователей и сопровождаются инструкциями по активации индивидуальных средств защиты компьютеров и настройке безопасных подключений.

ПАРТНЕРСКИЙ МАТЕРИАЛ

Контроль качества защищенности удаленного доступа

«В первую очередь, можно воспользоваться известными стандартами информационной безопасности. Задаться вопросом — насколько организация соответствует стандартам ИБ для своей области? Возможно, следует разработать ряд собственных регламентирующих документов и политик безопасности и далее, воспользовавшись ПО для отслеживания соответствия стандартам, регулярно проверять аппаратное и программное обеспечение. Важно понимать, что если вы не можете никак контролировать наличие обновлений и установленного антивирусного ПО на домашних компьютерах пользователей, то это потенциально может вылиться в большую проблему», — полагает Данила Егоров.

Он также считает полезным ограничить удаленным пользователям доступ к информационным ресурсам компании: «Важно перед выдачей пользователю удаленного доступа убедиться, что у него есть минимальный необходимый набор привилегий и прав на те, и только те ресурсы, которые необходимы ему для работы, а у вас есть инструмент для отслеживания изменения атрибутов пользователя. Контроль за изменениями в инфраструктуре, политиках безопасности на сетевом оборудовании, прав и привилегий пользователей на сервисах позволит администраторам безопасности грамотно оценивать риски удаленного доступа, а также контролировать качество его защищенности».

Оценку и контроль обеспечения ИБ Сергей Кривошеин считает самым сложным вопросом в корпоративной жизни, тем более при переходе на удаленную работу. В налаживании контроля состояния ИБ, по его мнению, можно пойти по пути исполнения требований различных стандартов и рекомендаций и ограничиться периодической проверкой их соблюдения (аудитами). Однако все больше компаний сегодня переходят на оперативный контроль, требующий оперативных данных, которые может собрать только центр мониторинга и реагирования на ИБ-инциденты (SOC). SOC должен помогать контролировать критичные бизнес-процессы, оценивать влияние на них поддерживающих бизнес-процессов (а удаленный доступ — это именно поддерживающий процесс), оценивать угрозы, каналы их реализации, риски, возможный ущерб. На основе получаемых в SOC данных вырабатываются метрики контроля.

SOC — это мощно и современно. Однако такую систему контроля ИБ, по мнению Сергея Кривошеина, построить сложно, поэтому в большинстве случаев компании используют интегральную оценку безопасности по отделам/процессам/системам, которая вычисляется на основе контролируемых в онлайне показателей: состоянии ИС и средств защиты информации, количестве инцидентов и их критичности, наличии уязвимостей. Какие из этих показателей включать, с каким весом и как рассчитывать диапазоны (хорошо/средне/плохо), каждая компания решает самостоятельно, обосновывая свое решение, с одной стороны, степенью влияния параметров на бизнес, а с другой — сложностью измерений параметров.

При переходе на удаленную работу Эльман Бейбутов рекомендует задаться поисками ответов на следующие связанные с ИБ вопросы. Как не предоставить в спешке персоналу больше доступа, чем нужно? Как контролировать, с каких устройств идут подключения, и в случае изменения поведения пользователей суметь заблокировать доступ? Как обеспечить изменение паролей учетных записей VPN-клиентов и ввести дополнительные факторы аутентификации? Как добиться оперативного реагирования на инциденты, когда все в первую очередь заняты обеспечением непрерывности бизнеса в новых условиях?

Для реагирования на возросшие ИБ-риски, по его мнению, следует: провести инструктаж сотрудников по обеспечению ИБ рабочих мест, напомнить об угрозах в условиях работы в «открытом» Интернете и совмещении на одном устройстве личной активности и работы с корпоративными приложениями и данными; ввести контроль использования базовых мер защиты на пользовательских устройствах (проведения обновлений, наличия антивирусной защиты, локального межсетевого экрана, запрета удаленного управления пользовательскими устройствами); автоматизировать с использованием решений для унифицированного управления конечными устройствами (UEM) контроль исполнения корпоративных ИБ-политик на пользовательских устройствах; максимально широко распространить многофакторную аутентификацию при удаленном подключении пользователей; для VIP-пользователей провести настройку безопасности домашних Wi-Fi-роутеров (смену паролей по умолчанию, проверку использования надежного шифрования, запрет на администрирование по Wi-Fi и т. п.); привилегированным пользователям (ИТ- и ИБ-администраторам) выдать корпоративные ноутбуки с корпоративными средствами защиты, обязать работать только с них, провести у них проверку ИБ-гигиены домашней инфраструктуры (защиты Wi-Fi-точек, использования надежного шифрования Wi-Fi, использования надежного DNS-сервера и пр.); предоставить администраторам удаленный доступ к средствам управления ИТ и ИБ для непрерывного мониторинга и реагирования на инциденты.

Оценка защищенности удаленного доступа, считает Антон Ленский, начинается с определения того, каким образом осуществляется работа удаленных пользователей: с каких устройств производится доступ (корпоративных или личных, настольных или мобильных и т. д.); по каким каналам предоставляется удаленный доступ (открытым или защищенным, проводным или беспроводным); какие используются методы предоставления доступа (прямой доступ к ресурсам, терминалы, VDI и т. п.); имеется ли строгое разграничение доступа только к необходимым ресурсам; разработаны и доведены ли до сотрудников регламенты и правила работы на удаленке. Ответы на эти вопросы дадут первичное представление о защищенности организации при удаленной работе, от них будет зависеть, какие меры безопасности должны быть предусмотрены.

Для контроля качества защищенности при удаленной работе Антон Ленский рекомендует на регулярной основе продолжать выполнение ИБ-мероприятий, которые проводились ранее: мониторить системы защиты на предмет выявления подозрительной активности и принимать меры на опережение инцидентов; проводить аудит соответствия требованиям безопасности (как внутрикорпоративных, так и международных); проводить тесты на проникновение; следить за соблюдением организационных мер; проводить анализ действия пользователей на предмет выявления аномалий; проводить тренинги по повышению осведомленности пользователей по вопросам информационной безопасности.

Самую «простую» рекомендацию контроля защищенности удаленной работы дает Алексей Сабанов: «Если за время работы на удаленке вас не взломали и не унесли критичную для бизнеса информацию, значит принятые в вашей организации политики безопасности править не надо. Если инциденты все же случились, надо подумать о том, что следует срочно исправить».