Проблемы безопасности удаленного доступа
При встрече нового, 2020 года, никто не мог себе представить, насколько приходящий год изменит жизнь землян. Стремительное распространение коронавируса, повлекшее закрытие предприятий, областей и стран, выдвинуло перед человечеством совершенно новые задачи, одной из которых стала необходимость обеспечения работы значительной части сотрудников в удаленном режиме. Перевод сотрудников из офисных помещений, где рабочие процессы были налажены десятилетиями, в распределенную среду (дом, дача, деревня), где далеко не везде качество связи на приемлемом уровне и практически нет средств контроля за работой самоизолированных, в условиях всеобщего страха перед будущим, явился далеко не простой проблемой для руководителей разных звеньев многих организаций. Как не потерять доходы, обученных специалистов, долю рынка, имидж? Насколько глубоким и долгим будет кризис? И один из самых важных вопросов: как защитить информацию, критичную к разглашению, при переходе на удаленный режим работы?
Эти и другие вопросы стали весьма актуальными весной 2020 года и вновь обострились осенью, спустя несколько относительно стабильных месяцев. Самым знаковым весенним событием стало то, что во многих организациях не ИБ-специалисты пришли к руководству с очередной инициативой, а само руководство впервые обратилось за помощью к специалистам защиты информации с просьбой срочно наладить защищенный удаленный доступ к информационным ресурсам организации.
В целом с возложенной задачей ИБ-специалисты справились, причем в подавляющем числе организаций самостоятельно. Времени на открытие проектов и привлечение интеграторов не было, да и заняты они были срочным переводом своих бизнес-процессов с централизованной модели на территориально-распределенную. Естественно, и то и другое в спешке получилось не очень качественно, но времени на серьезный беспристрастный анализ многие организации пока так и не выкроили – жизнь развивается весьма динамично, и новые задачи часто наслаиваются на незаконченные старые.
Описание проблемы
К числу рисков информационной безопасности, связанных с удаленной работой, относятся ошибки в идентификации и аутентификации сторон удаленного электронного взаимодействия, фишинговые атаки, взлом маршрутизаторов и перенаправление пользователей на вредоносные сайты, НСД к корпоративным ресурсам из-за пределов контура безопасности, нарушение конфиденциальности информации при ее передаче по открытым каналам связи и другое. Ситуация усложнилась тем, что практически в ногу с развитием эпидемии активизировались злоумышленники. В то же время ответственность за значительную часть информационной безопасности была перенесена с систем защиты организации на пользователя. Действительно, если до пандемии сотрудник допускал промах и попадался, например, на фишинг, то другие системы обеспечения ИБ могли его подстраховать: при попытке отправить конфиденциальную информацию могла сработать DLP, при попытке получить доступ к системе мог отработать антивирус или IPS. Теперь же пользователь, которому спешно подключили необходимые для работы доступ к прикладным программам (во многих случаях с избыточным доступом по принципу – надо работать, а потом администратор разберется и оставит только необходимое), остался один на один с домашним компьютером.
Использовать домашние компьютеры в рабочих целях небезопасно, даже если они оснащены антивирусами. С одной стороны, компании вынуждены в определенной ситуации (пандемия, к примеру) разрешать удаленный доступ сотрудников с домашних компьютеров к корпоративным информационным системам, с другой – эти же компании должны обеспечивать защиту циркулирующей в их ИТ-инфраструктуре коммерческой, служебной и других видов тайн как в собственных интересах, так и в соответствии с внешними обязательствами.
Домашний компьютер сотрудника при этом является не просто черным ящиком, а скорее ящиком Пандоры. Стоит «открыть» его (впустить в корпоративную сеть), и последствия могут быть катастрофическими для деятельности организации. И дело даже не в злом умысле пользователя. Среднестатистический сотрудник, как правило, соблюдает корпоративную ИТ-культуру, а в условиях кризиса тем более верен и предан организации, в которой работает. Однако, с другой стороны, его грамотность в области ИБ в общем случае оставляет желать лучшего. На домашних компьютерах у подавляющего большинства пользователей отсутствуют какие-либо средства обеспечения информационной безопасности.
В общем случае, это не проблема собственно владельца компьютера, вопрос анализа рисков специалистами по защите информации заключается в оценке вероятности инцидента ИБ и возможных последующих потерь. Для личного средства СВТ это одна величина, а когда это же СВТ начинают использовать для корпоративных задач, это совсем другая история.
Отметим еще несколько аспектов проблемы безопасности удаленного доступа в условиях пандемии. В значительном числе организаций в связи с массовым переходом на удаленный режим работы затянулись и остались незавершенными проекты, в том числе по цифровизации и защите информации. Выяснилось, что по некоторым проектам отсутствует необходимая документация. Многие вопросы, трудно решаемые даже на очных совещаниях, в условиях недостаточно качественной связи и ограниченного выбора надежных средств видео-конференц-связи долгое время оставались открытыми.
В итоге эпидемия коронавируса, карантин и режим домашней изоляции показали общую неготовность федеральных структур, органов исполнительной власти, многих государственных и коммерческих организаций к обеспечению эффективной и безопасной удаленной работы своих сотрудников. Редким исключением стали те организации, в штате которых состоят квалифицированные, харизматичные руководители служб защиты информации, аргументированно отстаивающие необходимость выделения средств на последовательное выполнение рекомендаций регуляторов. Те компании, которые непрерывно и последовательно заботились об информационной безопасности до пандемии, перешли на удаленный режим безболезненно. Пандемия обострила вопросы защиты информации у тех, кто постоянно получал средства на защиту информации по остаточному принципу. Пандемия и последующий кризис показывают, что у каждой современной компании должна быть концепция ИБ, сформулированные и регулярно обновляемые политики безопасности, в частности, политика управления доступом, и как важная ее часть – политика управления удаленным доступом.
Альтернативные пути решения
Имеет смысл разделять плановый осознанный перевод части персонала на удаленную работу и экстренный переход на режим самоизоляции всего штата сотрудников, как это произошло в нашей стране в марте 2020 года. При плановом переходе можно в штатном порядке продумать комплекс организационно-технических мер обеспечения информационной безопасности, обеспечить сотрудников необходимым комплектом СЗИ и СКЗИ, проверить их совместимость, обучить персонал, обеспечить техническую поддержку, разработать инструкции и т. д. На рынке уже существует достаточное количество развитых технологий и средств защиты информации, способных обеспечить полноценную работу сотрудников на «удаленке» без существенного роста угроз для государственных и негосударственных систем. При вынужденном экстренном переводе персонала на работу из дома таких возможностей нет: необходимо в кратчайшие сроки найти простые и понятные решения, позволяющие работать из дома, не нарушая безопасности корпоративной сети, ее информационных ресурсов, информации, циркулирующей на домашнем компьютере, а также между ним и корпоративной сетью. Некоторые организации до введения режима самоизоляции вообще не предполагали когда-либо использовать удаленный доступ для полноценной работы своих сотрудников. В марте 2020 года им пришлось создавать такие системы буквально «на коленке». Это привело к тому, что созданные и работающие и в данный момент системы удаленного доступа отвечают далеко не всем требованиям по информационной безопасности. Многие организации так и не внедрили все необходимые средства защиты и не выстроили свои процессы для обеспечения безопасного удаленного доступа сотрудников. Таким образом, наиболее опасной является не какая-то конкретная угроза, а общий уровень безопасности систем удаленного доступа, построенных в короткие сроки в авральном режиме. Это может привести как к крупным утечкам персональных данных, так и к атакам на ГИСы со стороны злоумышленников. Итак, «правильно» построить работу сотрудников в удаленном режиме, как правило, не удалось, а «быстро» – каждая организация делала как могла.
Идеальным решением для полноценного удаленного доступа к необходимым пакетам прикладных программ и данных является корпоративный защищенный ноутбук. Очевидно, что далеко не каждая российская организация, включая крупные государственные корпорации с огромными ИТ-бюджетами, оказалась готовой оперативно выдать каждому сотруднику корпоративный ноутбук/планшет для удаленной работы из дома (тем более что склады поставщиков опустели к концу марта, а регулярные поставки уже по новым ценам наладились только летом). Причем не просто выдать, а предварительно проработать модель информационной безопасности при удаленном доступе сотрудников к корпоративной ИТ-инфраструктуре и разработать релевантную систему защиты информации и, как следствие, предустановить на корпоративный ноутбук необходимый и достаточный набор СЗИ и СКЗИ, настроенных в соответствии с утвержденной политикой безопасности организации и бесконфликтно работающих в среде установленной ОС. Отметим, что поиск полностью совместимых решений среди систем защиты информации нередко становится далеко не тривиальной задачей. В этом случае вопрос заключается не только в собственно итоговой стоимости персонального ноутбука для каждого сотрудника, но и в предшествующих мероприятиях по настройке серверной и пользовательской частей корпоративной системы ИБ.
Итак, при массовом переводе на корпоративные ноутбуки ключевым является вопрос финансирования, ведь в этом случае у значительной части сотрудников в короткий срок появляется два рабочих места – постоянное и мобильное. Даже при относительно небольшой численности персонала снабдить каждого сотрудника ноутбуком для удаленной работы из дома представляется весьма затратным делом. А если добавить к стоимости самого ноутбука расходы на необходимые средства обеспечения информационной безопасности, на дооснащение и реконфигурирование серверной составляющей корпоративной ИТ-инфраструктуры, то затраты окажутся неподъемными для текущих бюджетов большинства организаций.
Другой крайностью и, как уже было сказано, совсем небезопасным решением становится доступ с домашних компьютеров с минимальным набором средств защиты. Это самый дешевый, но одновременно и высокорисковый вариант.
Хорошей альтернативой может служить промежуточный вариант, так сказать, золотая середина. Появление на рынке нового продукта – Aladdin LiveOffice (ALO) – позволит в короткий срок сформировать комплексное, гибкое и легко масштабируемое решение, обеспечивающее быстрое развертывание и настройку систем обеспечения безопасного доступа к информационным ресурсам в интересах как государственных структур (доступ к ГИС), так и коммерческих компаний.
ALO представляет собой комплексное решение, которое, с одной стороны, позволяет использовать недоверенные личные средства вычислительной техники (ЛСВТ) сотрудников, а с другой – предоставляет возможность подключаться к рабочему компьютеру, сетям ГИС, ИСПДн, КИИ и т.д. Решение реализовано в виде токена Live USB и предоставляет следующие возможности:
-
удаленное подключение к своему служебному компьютеру и/или виртуальному рабочему столу (VDI);
-
удаленная работа в привычной среде, с набором привычных приложений и документов – как в офисе;
-
удаленная и автономная работа с конфиденциальными документами;
-
сохранение необходимых документов на защищённый зашифрованный раздел USB-накопителя (безопасный перенос данных – офис-дом-командировка; контроль данных – доступ к данным только на авторизованных компьютерах и, как следствие, невозможность получения доступа к данным, даже если злоумышленник заполучил само USB-устройство и узнал его PIN-код);
-
работа с документами в режиме офлайн для экономии сетевого трафика или при плохой связи (документы хранятся на зашифрованном разделе flash-памяти; для работы с документами используется предустановленный офисный пакет);
-
работа с различными системами электронного документооборота (ЭДО) и использование электронной подписи (USB-устройство является средством формирования и проверки усиленной квалифицированной ЭП (УКЭП));
-
выход в Интернет разрешен только со служебного компьютера через корпоративный шлюз и соответствующие средства защиты информации;
-
строгая или усиленная двухфакторная аутентификация (2ФА), отказ от применения простых запоминаемых пользователями паролей;
-
удаленное централизованное безопасное обновление прошивки устройства, пользовательских настроек и профилей, установленных приложений;
-
безопасное удаленное администрирование.
Основными потребителями ALO и систем их управления/администрирования станут государственные органы и организации, а также службы и компании с государственным участием, для которых требования безопасности обработки данных (включая требования по санкционной независимости и импортозамещению) являются наиболее актуальными, это в частности, предприятия КИИ: сети электросвязи, транспортные системы, в том числе нефтегазовые, металлургические и химические предприятия, предприятия топливо-энергетического комплекса, атомной энергетики и банковского сектора.
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 30.12.2020