При переводе сотрудников на удалённый режим работы организации обычно сталкиваются с рядом проблем. Однако стоит разделить плановый осознанный перевод части персонала на удаленную работу и экстренный переход на режим самоизоляции всего штата сотрудников, как произошло в нашей стране в марте 2020 года. При плановом переходе можно в штатном порядке продумать комплекс организационно-технических мер обеспечения информационной безопасности, обеспечить сотрудников необходимым комплектом СЗИ и СКЗИ, разработать инструкции и т.д. При вынужденном экстренном переводе персонала на работу из дома таких возможностей, конечно же, не бывает. Как действовать в такой ситуации? Рассказывает Сергей Петренко, директор продуктового направления «Защищённые носители информации» компании «Аладдин Р.Д.».

Очевидно, что не каждая российская компания, даже включая крупные государственные корпорации с огромными ИТ-бюджетами, готова оперативно выдать каждому сотруднику корпоративный ноутбук/планшет для удаленной работы из дома. Причем не просто выдать, а предварительно проработать некую модель информационной безопасности при удаленном доступе сотрудников к корпоративной ИТ-инфраструктуре и разработать релевантную систему защиты информации и, как следствие, предустановить на корпоративный ноутбук необходимый и достаточный набор СЗИ и СКЗИ, настроенных в соответствии с утвержденной политикой безопасности компании и бесконфликтно работающих в составе ОС.

Как вы понимаете, тут вопрос не только собственно стоимости персонального ноутбука для каждого сотрудника, но и предшествующих мероприятий по настройке серверной и пользовательской частей корпоративной системы ИБ.

При массовом же переводе в первую очередь возникает вопрос финансов. Даже при относительно небольшой численности персонала, снабдить каждого ноутбуком для удаленной работы из дома видится весьма затратным. А если добавить к стоимости самого ноутбука затраты на необходимые средства обеспечения информационной безопасности, а также на дооснащение и реконфигурирование серверной составляющей корпоративной ИТ-инфраструктуры, то затраты с большой долей вероятности окажутся неподъемными для текущих бюджетов компаний. Таким образом, для обеспечения непрерывности бизнес-процессов работодателям приходится идти на компромиссы не только с совестью, но и с корпоративными политиками информационной безопасности.

Использовать домашние компьютеры в рабочих целях небезопасно, даже если они оснащены антивирусами. С одной стороны, компании вынуждены в определенной ситуации (пандемия, к примеру) разрешать удаленный доступ сотрудников с домашних компьютеров к корпоративным информационным системам, с другой стороны, эти же компании должны обеспечивать защиту циркулирующей в их ИТ-инфраструктуре коммерческой, служебной и др. тайны как в собственных интересах, так и в соответствии с внешними обязательствами.

Домашний компьютер сотрудника при этом является не просто черным ящиком, а скорее ящиком Пандоры. Стоит «открыть» его (впустить в корпоративную сеть), и последствия могут быть реально катастрофическими для бизнеса компании. И дело, естественно, не в злом умысле пользователя. Среднестатистический сотрудник, как правило, соблюдает корпоративную ИТ-культуру, а в условиях кризиса тем более верен и предан организации, в которой работает. Однако, с другой стороны, его грамотность в области ИБ в общем случае оставляет желать лучшего. На домашних компьютерах подавляющего большинства пользователей отсутствуют какие-либо средства обеспечения информационной безопасности. Типичный домашний компьютер не «айтишника» – это:

- старенький ноутбук с нелицензионной ОС Windows, которая, естественно, уже давно не обновляется, включая обновления безопасности;

- отсутствие даже бесплатного антивируса;

- многопользовательский режим, когда за компом сидят все члены семьи, включая детей;

- в целом отсутствие у владельца даже элементарных знаний в области ИБ и, как следствие, большой риск подверженности любым видам атак.

В общем случае, это не проблема для собственно владельца компьютера, вопрос ведь в отношении вероятности инцидента ИБ и возможных последующих потерь. Для личного СВТ – это одна величина, а когда это же СВТ начинают использовать для корпоративных задач – это совсем другая история.

Антивирус – это наиболее известное и, скажем так, «базовое» средство защиты информации для домашнего компьютера. Но пул угроз гораздо шире. К слову, есть такое расхожее заблуждение, что вирусы «пишут» сами производители антивирусных средств… Поверьте, желающих написать вредоносный код для достижения конкретных деструктивных целей, в том числе, например, хищения денежных средств с помощью систем онлайн банкинга, более чем достаточно. И вендоры (не только антивирусов, но и всего пула СЗИ) постоянно состоят в этом противостоянии с атакующими.

Возвращаясь к вопросу угроз – естественно, их больше. В случае удаленного взаимодействия сотрудника с корпоративной информационной средой актуальны угрозы, связанные с НСД к корпоративным ресурсам из-за пределов контура безопасности, нарушением конфиденциальности информации при ее передаче по открытым каналам связи, риски компрометации информации при ее отчуждении на съемные носители и т.д.

Пандемия коронавируса, безусловно, изменила весь ландшафт корпоративной информационной безопасности, и, по сути, мы живем сейчас в новой киберреальности. Большинство вендоров в сфере ИБ в меру своих возможностей оперативно отреагировали на новый вызов и представили рынку те или иные продукты/решения для обеспечения безопасного удаленного доступа сотрудников к корпоративной сети. Это и классические средства обеспечения защиты канала связи (программные VPN-клиенты), и «инновационные» защищенные ноутбуки со встроенными аппаратными средствами защиты информации. Вопрос, как всегда, в рисках и средствах, которые компания готова тратить на нивелирование этих рисков. Понятно, что малый и средний бизнес может попробовать выйти из этой ситуации «малой кровью», используя бесплатный VPN и простейшую парольную аутентификацию для входа в корпоративную сеть с домашнего компьютера.

Крупный бизнес, а также госкорпорации и федеральные министерства и ведомства, включая силовые, естественно, обязаны будут реализовать комплексное обеспечение информационной безопасности при удаленном доступе сотрудников в соответствии с требованиями регуляторов в сфере ИБ. А это, как мы понимаем, подразумевает использование только сертифицированных СЗИ и СКЗИ и все остальные нюансы российского регулируемого рынка ИБ.

Таким образом, если говорить о некоем оптимальном решении, то его выбор зависит от реальных задач и нормативных ограничений конкретной компании или ведомства. Компания «Аладдин Р.Д.» стремится удовлетворить потребности всех своих клиентов и, соответственно, предлагает решения для обеспечения безопасного удаленного доступа на базе собственных уникальных разработок в области доверенной загрузки и защиты информации, усиленных лучшими продуктами компаний-партнеров.

Критерии выбора подходящего продукта для безопасной удалённой работы у каждой компании могут быть достаточно уникальны и представлять собой совокупность желаемого уровня информационной безопасности при организации удаленного доступа, сопоставимого с уровнем ИБ при работе из офиса, и реальных финансовых, а также технических возможностей. В частности, в качестве критериев могут выступать:

- конкретные технические требования к продуктам по нейтрализации тех или иных угроз ИБ в соответствии с принятой в компании политикой безопасности (модель нарушителя и угроз);

- нормативные ограничения, обусловленные необходимостью соответствовать требованиям федеральных (ФСБ России, ФСТЭК России) или отраслевых (Банк России) регуляторов в сфере ИБ;

- финансовые ограничения в соответствии с утвержденным бюджетом на ИБ в текущем календарном периоде.

И тут как раз должен проявиться профессионализм производителей средств ЗИ, а также дистрибьюторов и интеграторов в сфере ИБ, который позволит каждой конкретной компании, каждому ведомству предложить решение, максимально соответствующее именно их критериям. А доверие к новым продуктам может основываться, на мой взгляд, только на двух факторах – доверие к самому бренду, к компании-производителю продукта, а также наличие у продукта соответствующих сертификатов в области защиты информации.

Если говорить о будущем, то, как я уже говорил, ландшафт меняется, при этом не только ИБ/ИТ, но и вообще самого бизнеса. Пандемия закончится, а желание и возможность удаленно работать из дома, сохраняя приемлемый уровень ИБ, останется. Уже сейчас это является новым трендом в сфере HR. Люди за это сложное время прочувствовали, как это работать «из дома». Кому-то понравилось, другим это не подходит, но выводы сделали все. То же самое касается и работодателей: также попробовали, тоже прочувствовали. Оценили эффективность, посчитали экономику «удалёнки». Так что рождающиеся сейчас, зачастую в спешном порядке, решения для безопасного удаленного доступа однозначно будут дорабатываться, совершенствоваться и уверенно входить в портфели продуктов всех игроков рынка ИБ.

В завершение скажу, что расширение функционала предлагаемых компанией решений не только планируется, но и активно реализуется. Как говорится «аппетит приходит во время еды». Так и с удаленным доступом. Решив базовые потребности в безопасности, заказчики захотят, да и уже хотят, получить всю привычную для них функциональность, доступную ранее из офиса. Так что жизнеспособные, перспективные решения в области безопасного удаленного доступа обязательно будут дополняться «побочной», не относящейся напрямую к ИБ, функциональностью в области корпоративных коммуникаций, совместной и автономной работы с документами и др.

Текст: Сергей Петренко, директор продуктового направления «Защищённые носители информации» компании «Аладдин Р.Д.»

Материал также опубликован в печатной версии Национального банковского журнала (октябрь 2020).