При встрече нового 2020 года никто не мог себе представить, насколько приходящий год изменит жизнь землян. Стремительное распространение коронавируса, повлекшее закрытие предприятий, областей и стран, выдвинуло перед человечеством совершенно новые задачи, одной из которых стала необходимость обеспечения работы значительной части сотрудников в удалённом режиме.

Перевод сотрудников из офисных помещений, где рабочие процессы были налажены десятилетиями, в распределённую среду (дом, дача, деревня), где далеко не везде качество связи на приемлемом уровне, и практически нет средств контроля за работой самоизолированных, в условиях всеобщего страха перед будущим, явился далеко не простой задачей для руководителей разных звеньев многих организаций. Как не потерять доходы, обученных специалистов, долю рынка, имидж? Насколько глубоким и долгим будет кризис? И один из самых важных вопросов: как защитить информацию, критичную к разглашению, при переходе на удалённый режим работы?

Эти и другие вопросы стали весьма актуальными весной 2020 года и вновь обострились через несколько относительно стабильных месяцев осенью. Самым знаковым весенним событием стало то, что во многих организациях не ИБ-специалисты пришли к руководству с очередной инициативой, а само руководство впервые обратилось за помощью к специалистам защиты информации с просьбой срочно наладить защищённый удалённый доступ к информационным ресурсам организации.

В целом с возложенной задачей ИБ-специалисты справились, причём в подавляющем числе организаций самостоятельно. Времени на открытие проектов и привлечение интеграторов не было, да и заняты они были срочным переводом своих бизнес-процессов с централизованной модели на территориально-распределённую. Естественно, и то, и другое в спешке получилось не очень качественно, но времени на серьёзный беспристрастный анализ многие организации пока так и не выкроили – жизнь развивается весьма динамично, и новые задачи часто наслаиваются на незаконченные старые.

К числу рисков информационной безопасности, связанных с удалённой работой, относятся ошибки в идентификации и аутентификации сторон удалённого электронного взаимодействия, фишинговые атаки, взлом маршрутизаторов и перенаправление пользователей на вредоносные сайты, НСД к корпоративным ресурсам из-за пределов контура безопасности, нарушение конфиденциальности информации при её передаче по открытым каналам связи и др. Ситуация усложнилась тем, что практически в ногу с развитием эпидемии активизировались злоумышленники. В то же время ответственность за значительную часть информационной безопасности была перенесена с систем защиты организации на пользователя. Действительно, если до пандемии сотрудник допускал промах и попадался, например, на фишинг, то другие системы обеспечения ИБ могли его подстраховать: при попытке отправить конфиденциальную информацию могла сработать DLP, при попытке получить доступ к системе мог отработать антивирус или IPS. Теперь же пользователь, которому спешно подключили необходимые для работы доступы к прикладным программам (во многих случаях с избыточным доступом по принципу «надо работать, а потом администратор разберётся и оставит только необходимое»), остался один на один с домашним компьютером.

В итоге эпидемия коронавируса, карантин и режим домашней изоляции показали общую неготовность федеральных структур, органов исполнительной власти, многих государственных и коммерческих организаций к обеспечению эффективной и безопасной удалённой работы своих сотрудников. Редким исключением явились те организации, в штате которых состоят квалифицированные, харизматичные руководители служб защиты информации, аргументированно отстаивающие необходимость выделения средств на последовательное выполнение рекомендаций регуляторов. Те компании, которые непрерывно и последовательно заботились об информационной безопасности до пандемии, перешли на удалённый режим безболезненно. Пандемия обострила вопросы защиты информации у тех, кто постоянно получал средства на защиту информации по остаточному принципу. Пандемия и последующий кризис показывают, что у каждой современной организации должна быть концепция ИБ, сформулированные и регулярно обновляемые политики безопасности, в частности, политика управления доступом и, как важная её часть, политика управления удалённым доступом.

При вынужденном экстренном переводе персонала на удалённую работу необходимо в кратчайшие сроки найти простые и понятные решения, позволяющие работать из дома, не нарушая безопасности корпоративной сети, её информационных ресурсов, информации, циркулирующей на домашнем компьютере, а также между ним и корпоративной сетью. Некоторые организации до введения режима самоизоляции вообще не предполагали когда-либо использовать удалённый доступ для полноценной работы своих сотрудников. В марте 2020 года им пришлось создавать такие системы буквально «на коленке». Это привело к тому, что созданные и работающие и в данный момент времени системы удалённого доступа отвечают далеко не всем требованиям по информационной безопасности. Многие организации так и не внедрили все необходимые средства защиты и не выстроили свои процессы для обеспечения безопасного удалённого доступа сотрудников. Таким образом, наиболее опасной является не какая-то конкретная угроза, а общий уровень безопасности систем удалённого доступа, построенных в короткие сроки в авральном режиме. Это может привести как к крупным утечкам персональных данных, так и к атакам на ГИСы со стороны злоумышленников. Итак, «правильно» построить работу сотрудников в удалённом режиме, как правило, не удалось, а «быстро» каждая организация делала, как могла.

Идеальным решением для полноценного удалённого доступа к необходимым пакетам прикладных программ и данных является корпоративный защищённый ноутбук. Очевидно, что далеко не каждая российская организация, включая крупные государственные корпорации с огромными ИТ-бюджетами, оказалась готовой оперативно выдать каждому сотруднику корпоративный ноутбук/планшет для удалённой работы из дома, тем более, что склады поставщиков опустели к концу марта, а регулярные поставки уже по новым ценам наладились только летом. Причём не просто выдать, а предварительно проработать модель информационной безопасности при удалённом доступе сотрудников к корпоративной ИТ-инфраструктуре и разработать релевантную систему защиты информации и, как следствие, предустановить на корпоративный ноутбук необходимый и достаточный набор СЗИ и СКЗИ, настроенных в соответствии с утверждённой политикой безопасности организации и бесконфликтно работающих в среде установленной ОС. Отметим, что поиск полностью совместимых решений среди систем защиты информации зачастую является далеко не тривиальной задачей. В этом случае вопрос заключается не только в собственно итоговой стоимости персонального ноутбука для каждого сотрудника, но и предшествующих мероприятий по настройке серверной и пользовательской частей корпоративной системы ИБ.

Другой крайностью и, как было показано выше, совсем небезопасным решением является доступ с домашних компьютеров с минимальным набором средств защиты. Это самый дешёвый, но одновременно и высокорисковый вариант.

Появление на рынке нового продукта – Aladdin LiveOffice (ALO) – позволит в короткий срок сформировать комплексное, гибкое и легко масштабируемой решение, обеспечивающее быстрое развёртывание и настройку систем обеспечения безопасного доступа к информационным ресурсам как в интересах государственных структур (доступ к ГИС), так и коммерческих компаний.

ALO представляет собой комплексное решение, которое, с одной стороны, позволяет использовать недоверенные личные средства вычислительной техники (ЛСВТ) сотрудников, а с другой – предоставляет возможность подключаться к рабочему компьютеру, сетям ГИС, ИСПДн, КИИ и т.д.

Текст: Алексей Сабанов, заместитель генерального директора «Аладдин Р.Д.»

Материал также опубликован в печатной версии Национального банковского журнала (Декабрь 2020).