Стратегия безопасного удаленного доступа. Финальный аккорд
Ну вот мы и подошли к финальной части рассказа о том, как выстроить стратегию безопасного удаленного доступа, который становится частью «новой нормальности», о которой говорят сегодня многие.
Обновите меры ИБ и права доступа
Данное направление является некоторым развитием всего ранее сказанного, но я специально выделяю его отдельно. Перевод сотрудников на удаленную работу - повод для пересмотра политики предоставления прав доступа сотрудников к корпоративным данным и приложениям. Принцип минимума привилегий должен быть реализован (и не на бумаге) в кибербезопасности. Не должно быть пользователей, имеющих доступ везде и всегда. Особенно, если эти пользователи - высокопоставленные сотрудники, которые плохо понимают в технологиях и часто становятся причиной реализации многих киберрисков. Ограничьте их доступ к ценным данным и приложениям и даже если их домашние компьютеры будут взломаны или скомпрометированы, то организация несильно пострадает от рук киберпреступников.
Культура удаленной работы
Во второй части этой серии статей я уже рассказывал о необходимости повышения осведомленности удаленных сотрудников. Теперь пришел черед поднять на уровень выше и поговорить о культуре поведения, которая влияет на кибербезопасность. Любое изменение привычного режима работы - это стресс, с которыми надо бороться. А уж переход на удаленную работу - это стресс вдвойне, так как раньше пользователи никогда не работали из дома. И вообще слова "работа" и "дом" противоположны по смыслу. Поэтому надо не забывать про изменение культуры удаленной работы, которая имеет свои специфичные моменты и в контексте кибербезопасности. На что стоит обратить внимание?
- Обучение службы техподдержки, которая становится первой линией обороны. Ее специалисты должны быть обучены отвечать на типовые вопросы пользователей про ИБ.
- Как служба поддержки идентифицирует и аутентифицирует ваших удаленных работников (и наоборот)? Специальный код, отправленный смс? Или определение номера и IMEI звонящего? А может быть скретч-карта (она же grid card)? В противном случае, пользователя могут ввести в заблуждение мошенники, представившиеся сотрудниками поддержки, и заставившие обманом раскрыть пароль или установить вредоносное ПО.
- Четкие политики удаленной работы, включая рабочие часы. Да, удаленно можно работать круглосуточно и "совы" и "жаворонки" получают возможность подстраивать свою работу под биоритмы, но возможно стоит четко определить, когда удаленная работа возможна. Тогда можно ограничить доступ к данным и приложениям в нерабочее время и быстрее выявлять аномалии с таким доступом. Ну или разделить пользователей по группам с разными временными параметрами доступа.
- Научите пользователей пользоваться средствами удаленной работы - Webex Teams, Skype for Business, Slack и т.п. Следите, чтобы онлайн-совещания были закрытыми и посторонние не могли к ним подцепиться. Если вы пользуетесь Slack, Trello, Webex Teams для коммуникаций и совместной работы, то закрывайте к ним доступ для посторонних.
- Как сотрудники используют так называемые Shadow IT, то есть ИТ-инструменты, которые не разрешены в организации, но применяются работниками? Whatsapp для служебной переписки. Google.Docs для выкладывания конфиденциальной информации. Zoom для ведения переговоров. Mail.ru для общения с клиентами. И т.п. Помимо технических решений, позволяющих контролировать такие теневые ИТ-инструменты, стоит еще проводить разъяснительную работу с сотрудниками, подсказывая им, почему не стоит пользоваться непроверенными или незащищенными решениями для работы.
- Хорошо бы регулярно опрашивать удаленных работников - они вам подскажут, какие меры кибербезопасности работают, а какие их напрягают и, следовательно, они будут стараться их обойти или делать ненадлежащим образом.
Доступ к персональным данным
Я специально выделил это направление отдельно, так как выполнение требований ФЗ-152 "О персональных данных" или, особенно, европейского регламента по защите персональных данных (GDPR) никто не отменял. Да, как минимум, российские регуляторы ввели надзорные каникулы и не проверяют свои поднадзорные организации. И соответственно они не будут выставлять штрафы за нарушение законодательства о персональных данных. Но мы понимаем, что удаленная работа вносит серьезные коррективы в работу сотрудников с данными о клиентах ил сотрудниках и это требует пересмотреть нас существующие регламенты и технологии. А именно:
- Как получить согласие субъекта персональных данных удаленно и чтобы регулятор в лице Роскомнадзора не имел к этом претензий? Подписывать бумажные согласия сейчас практически невозможно, но бизнес-процессы при этом никто не останавливал и поэтому стоит подумать о том, какой именно способ удаленного подтверждения согласия мы будем внедрять (если не внедряли раньше) - просто "галочка" в форме на сайте, одноразовый код в СМС, электронная подпись, фотография с паспортом и т.п.?
- Какие персональные данные могут обрабатывать сотрудники у себя на домашних компьютерах и каков регламент такой обработки, включая удаление ПДн после достижения целей их обработки (поэтому многие и внедряют VDI/RDP-доступ, чтобы данные не покидали границ корпоративной сети)?
- Надо ли распространять на такие домашние персональные компьютеры границы информационной системы персональных данных (ИСПДн) в терминологии ФСТЭК, ФСБ и Роскомнадзора, надзирающих за законностью обработки и защиты персональных данных? Если у вас вдруг ваша ИСПДн имеет аттестат, то надо ли вносить в него изменения в связи с изменением границ информационной системы? А если надо, то продолжает ли действовать аттестат или нам надо прекращать обработку ПДн удаленно? Если впомнить достаточно одиозное определение Роскомнадзора, что база данных ПДн - это даже обычная табличка в Excel или Word, то получается, что местами хранения баз данных персональных данных у нас становятся все удаленные компьютеры сотрудников. Надо ли в таком случае обновлять уведомление РКН, в которым мы обязаны указывать адреса расположения баз данных обрабатываемых нами ПДн?
Схожие вопросы имеют отношение и к выполнению GDPR и если у вас среди клиентов или работников есть граждане государств, входящих в Совет Европы, то для вас будет актуальным еще и выполнение требований европейского регламента по защите ПДн.
Соблюдение нормативных требований
Выделив отдельно тему с персональными данными, нельзя не обойти вниманием вообще тему нормативных требований наших регуляторов в области кибербезопасности - ФСБ, ФСТЭК и Банка России. Каждый из них, в той или иной степени, отметился весной рекомендациями по этому вопросу. ФСТЭК выпустила информационное сообщение о том, как обеспечивать защиту при удаленном доступе к значимым объектам критической информационной инфраструктуры. При это ФСТЭК полностью проигнорировала вопросы защиты ПДн при удаленной работе. ФСБ, устранившись от разъяснений вопросов эксплуатации шифровальных средств и средств электронной подписи при дистанционной работе, выпустила рекомендации о том, как хакеры эксплуатируют тему коронавируса и надо повысить бдительными. Банк России также выпустил разъяснение о том, что надо делать при удаленной работе, но эти рекомендации достаточно верхнеуровневые и по своему размеру в несколько раз меньше даже этой статьи, а не только всей серии из 4-х заметок.
В любом случае, я прекрасно понимаю, что в условиях, когда на кону стоит вопрос жизни и смерти бизнеса, покупательская способность и активность клиентов снижается, ставить на первое место среди решаемых задач выполнение требований регуляторов по кибербезопасности нецелесообразно. Но и забывать про них не стоит.
Удаленная поддержка и управление инцидентами
Последним в моей горячей десятке мероприятий по безопасному удаленному доступу, но не последним по значимости, находится вопрос о том, как реагировать на те или иные проблемы и инциденты, которые будут происходить при переходе на удаленную работу? Насколько имеющиеся у нас планы реагирования подразумевают физический доступ к скомпрометированным узлам или устройствам для проведения расследования? Мы же не будем рисковать сотрудниками службы ИБ и направлять их к каждому удаленному работнику для сбора доказательств? В обычной жизни нам достаточно просто спуститься на нужный этаж, подойти к сотруднику и провести все работы на его компьютере, выдав ему замену. Что делать при дистанционном режиме работы? У вас есть альтернативные варианты сбора доказательств? Да еще и не нарушающие требования законодательства о персональных данных и невмешательства в личную жизнь?
А как мы будем проводить идентификацию и аутентификацию людей, представившихся сотрудниками службы ИБ? Как они будут удаленно собирать доказательства? Как мы с ними будем коммуницировать, если у нас не работает Интернет или на компьютере, на котором стояли средства коммуникаций, работает шифровальщик? Вот только часть вопросов, которые требуют ответа при организации удаленной поддержки и управления инцидентами в рамках перехода на дистанционный режим работы сотрудников.
Заключение
Вот мы плавно и подошли к концу серии статей, посвященной решению вопросов кибербезопасности при организации "новой нормальности" . Я понимаю, что именно решений озвученных мной вопросов я описал не так уж и много. Иногда мои вопросы звучали риторически. Но я оправдаю себя тем, что далеко не всегда можно, не видя конкретной ситуации, конкретной архитектуры и используемых технических решений, рекомендовать тот или иной сценарий, тот или иной подход к решению озвученных мной задач. Да и от того, какие уже были предприняты действия, какова культура, как выстроены процессы, зависит очень многое. Поэтому, я надеюсь, что подсвеченные мной вопросы и описанные десять направлений дадут вам подсказки к выбору правильного пути при обеспечении кибербезопасности своей организации. Но в конечном счете, выбор и итоговое решение остаются за вами.
Опубликовано 29.12.2020