Сергей Акифьев, 14/11/22
Пандемия COVID-19 привела к тому, что значительная часть сотрудников многих организаций стала работать на удаленном доступе. Такой формат имеет много преимуществ, но также и влечет целый ряд проблем, связанных прежде всего с безопасностью. Автор статьи рассказывает, как знаменитая компания "ГАЗ" – ведущий производитель коммерческого автотранспорта России, экспортирующая свою продукцию в 40 стран, решала соответствующие вопросы и задачи.
Весной 2020 г. множество организаций столкнулись с острой необходимостью обеспечения удаленного доступа для сотрудников. Удаленный доступ в тот период позволял сохранить здоровье людей и при этом не допустить остановки бизнес-процессов. Ограниченность во времени не давала возможности в оперативном режиме выстроить безопасную систему удаленного доступа. Так, к сети "Группы Газ" подключалось большое количество недоверенных домашних устройств сотрудников, что существенно снижало общий уровень информационной безопасности. Тем не менее при организации безопасного удаленного доступа был проведен первоначальный анализ уже имеющейся на тот момент системы и возникновения возможных новых рисков.
Рис. 1. Возможность работать удаленно в российских и международных компаниях
Проблемы и задачи перехода на удаленный доступ в новом формате
Из основных проблем, возникших вследствие массового перехода сотрудников на удаленную работу, следует отметить:
- увеличение нагрузки на корпоративные каналы связи;
- повышенные риски ИБ из-за размытия информационного периметра;
- отсутствие инструментов, позволяющих контролировать действия удаленных работников;
- отсутствие инструментов, позволяющих обеспечивать безопасность большого количества удаленных подключений;
- высокую вероятность наличия вредоносных программ на личных устройствах сотрудников.
Концепция удаленного доступа, разработанная до пандемии COVID-19, рассчитывалась на ограниченное число сотрудников, для которых доступ был необходим по служебной необходимости, и не обеспечивала необходимый уровень информационной безопасности при значительно более широком охвате персонала.
Примечательно, что более 70% респондентов в возрасте от 21 года до 40 лет заявили, что "удаленка" для них – важный критерий при поиске работы, в то время как респонденты старше 51 года чаще других отмечали, что не обращают внимание на эту опцию.
Обеспечение безопасности удаленного доступа в тот период стало наиболее актуальной задачей для департамента информационной безопасности "Группы Газ".
При организации нового формата удаленного доступа было необходимо переопределить наиболее актуальные угрозы ИБ, выбрать соответствующие средства защиты информации, организовать исполнение лучших практик. С другой стороны, повышение уровня информационной безопасности не должно было негативно повлиять на удобство пользователей при удаленной работе. Массовый отказ сотрудников от удаленной работы мог бы повлечь за собой остановку бизнес-процессов, а в худшем варианте подверг бы существенному риску жизнь и здоровье сотрудников компании.
Выбранные решения и их реализация
Для решения актуальной проблемы департамент ИБ выбрал классический вариант – использование VPN-доступа и обеспечение безопасности конечных устройств. Требование обязательного наличия антивирусного решения на домашнем компьютере, технический запрет на подключение компьютеров, работающих под управлением устаревших операционных систем, позволяли в определенной степени снизить риски информационной безопасности для "Группы Газ". Тем не менее недоверенный компьютер, а также его сетевое окружение по-прежнему были неподконтрольны специалистам по информационной безопасности. VPN-доступ тоже никак не гарантировал, что злоумышленник не получит контроль над домашним устройством какого-либо сотрудника. Получив контроль над конечным устройством, потенциальный нарушитель мог легко проникнуть в корпоративную сеть, минуя все периметровые средства защиты информации. При этом актуальные угрозы безопасности исходили не только от внешних нарушителей или вредоносного программного обеспечения. По оценке специалистов департамента информационной безопасности "Группы Газ", внутренний нарушитель был не менее опасен. Комфортная домашняя обстановка, неконтролируемый доступ к сети "интернет" с личного устройства провоцировали работников на использование различных мессенджеров, в том числе и для работы с конфиденциальной информацией.
Рис. 2. Удаленка как аргумент в пользу выбора нового работодателя в зависимости от пола респондента
Рис. 3. Топ-5 дисциплин, респондентам которых важно иметь возможность работать удаленно
Отдельного внимания департамента ИБ требовал удаленный доступ привилегированных пользователей (системных и сетевых администраторов). Компрометация корпоративного пароля привилегированного пользователя представляла существенную опасность для всей корпоративной сети.
Наличие VPN-доступа и защиты конечных устройств не позволяло защититься от обозначенных угроз безопасности. Многие сотрудники по собственной инициативе оформляли удаленный доступ для полноценной работы в командировках, проверки электронной почты и т.п. С целью нейтрализации угроз безопасности и в соответствии с моделями угроз и нарушителя департамент ИБ для защиты удаленного доступа использовал такие дополнительные решения, как многофакторная аутентификация, PAM- и DLP-системы, VDI.
У 73% респондентов "удаленка" появилась в 2020 г. 27% сотрудников могли работать удаленно и ранее.
Большинство угроз в значительной степени закрываются применением перечисленных решений.
При этом в качестве ретроспективных мер безопасности специалисты департамента ИБ провели поиск аномалий в журналах VPN и в самом сетевом трафике. К таким аномалиям можно отнести:
- время подключения, отличное от рабочего графика пользователя (выходной день, поздняя ночь или раннее утро);
- множественные попытки неудачной аутентификации;
- наличие подозрительного трафика (сканирование портов, некорректные сетевые пакеты).
При обнаружении соответствующих аномалий в действиях и трафике пользователя удаленный доступ для него запрещается до выяснения всех обстоятельств.
Рис. 4. Ответы респондентов на вопрос Готовы ли вы работать из офиса на постоянной основе
Рис. 5. Оценка сотрудниками возможности работать удаленно
Новая проблема и пути ее решения
Следует отметить, что наличие разнообразных систем защиты информации, использование VPN и других решений, повышающих уровень информационной безопасности, приводит еще к одной проблеме – необходимости централизованного управления и мониторинга состояния их функционирования.
Для решения такой задачи департамент информационной безопасности и департамент информационных технологий в настоящее время проводят работы по внедрению систем централизованного мониторинга объектов информационной инфраструктуры и системы класса SIEM.
Для обеспечения информационной безопасности и контроля действий удаленных работников разработан и запущен портал учета рабочего времени, а также самочувствия сотрудников. По окончании рабочего дня каждый сотрудник был обязан заполнить отчет о проделанной работе.
Проведенные мероприятия позволили организовать режим удаленной работы для большого числа сотрудников, что стало одним из способов предотвращения массовой заболеваемости COVID-19 на предприятиях "Группы Газ".
Внедрение указанных решений в "Группе Газ" происходит эволюционно, в соответствии с текущими актуальными угрозами безопасности. Кроме этого, важной составляющей обеспечения безопасности удаленного доступа стало применение организационных мер, таких как дополнительное обучение пользователей, подписание дополнительных соглашений к трудовым договорам, накладывающих определенные обязательства на сотрудников, в том числе и при работе с конфиденциальной информацией.
Вся совокупность обозначенных принятых мер помогла существенно минимизировать возникшие риски информационной безопасности для "Группы Газ" при предоставлении удаленного доступа своим сотрудникам.
Опубликовано в журнале "Системы безопасности" № 5/2022
Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>
Фото: 1c-wiseadvice.ru
