Защитить на расстоянии: как снизить риски утечки данных в условиях удаленной работы

Из-за пандемии коронавируса многие компании перешли на удаленный режим работы, и вопрос защиты данных встает еще острее. Если риски существовали и в то время, когда сотрудники взаимодействовали с информацией в пределах контура предприятия, то насколько увеличились они сейчас? И если угрозы действительно возросли, что нужно предпринять, чтобы их минимизировать?

Где данные, там и риски

Сейчас у многих компаний возникают опасения по поводу утечки данных из-за перевода сотрудников на удаленную работу, и эти опасения вполне оправданы. Особенно это актуально для бизнесов, где механизмы защиты данных были ориентированы исключительно на внутренний периметр – а таких большинство. В таких компаниях инструменты, которые использовались ранее, не обеспечивают требуемый уровень защищенности при удаленном подключении персонала. Поэтому в ситуации «размытия» границ корпоративной защищенной инфраструктуры, связанной с реализацией массового удаленного доступа к внутренним ресурсам, потенциальный риск утечки информации существенно возрастает.

Часть рисков также связана с тем, что сотрудники могут использовать личное оборудование для удаленной работы. Важно понимать, что с точки зрения защищенности оно существенно уступает корпоративным персональным компьютерам в офисах. Ведь, к сожалению, не каждый устанавливает даже базовое антивирусное ПО и персональные межсетевые экраны у себя дома, не говоря уже о более продвинутых решениях. А о контроле версионности используемого системного и прикладного ПО и своевременной установке обновлений для ОС и приложений речь не идет и подавно. Поэтому корпоративные данные, обрабатываемые на таких домашних рабочих станциях, становятся уязвимы для внешних атак и потенциально подвержены утечке или нарушению целостности и доступности.

Повышается и потенциальный риск внутреннего мошенничества, поскольку в большинстве случаев у служб информационной безопасности (ИБ) отсутствуют эффективные механизмы контроля за действиями сотрудников с корпоративной информацией в удаленном режиме. Как правило, такие средства контроля за активностью пользователя развернуты только во внутреннем сегменте корпоративной сети. В итоге пользователь потенциально может пересылать корпоративные данные с использованием неконтролируемых почтовых клиентов, обмениваться или сохранять документы в общедоступных облачных хранилищах, где они могут быть индексированы и попасть в общий доступ.

Но не все так страшно, ведь этими рисками тоже можно эффективно управлять. Именно поэтому, как только все стали переходить на удаленный режим работы, перед сотрудниками подразделений ИБ встала сложная задача – в максимально сжатые сроки переформатировать системы защиты. От того, насколько успешно и оперативно эта задача будет решена, зависит, сумеют ли компании обеспечить необходимый уровень защищенности корпоративных информационных активов в новых условиях.

Есть ли жизнь за контуром?

С учетом перечисленных рисков возникает вопрос – целесообразно ли сохранять сотрудникам полный доступ к внутреннему контуру в удаленном режиме? Что критичнее – определенные неудобства в работе, если доступ ограничен, или риск потерять данные, если он открыт? На самом деле крайне сложно ответить однозначно. Применение мер и средств информационной безопасности всегда требовало соблюдения баланса между ценностью защищаемого информационного актива, соответствующим уровнем риска для актива, стоимостью применяемых мер защиты и удобством их применения для конечных пользователей.

Безусловно, с точки зрения сотрудника службы информационной безопасности приоритетнее всего именно надежность применяемых систем защиты и уровень остаточного риска – в идеальной ситуации сотрудники ИБ предпочли бы запретить и заблокировать все возможные дистанционные доступы к критичным ИТ-компонентам корпоративной ИТ-инфраструктуры. Но у владельца ресурса другие приоритеты, а именно соотношение между стоимостью актива и стоимостью механизмов его защиты, ведь нет смысла защищать актив потенциальной стоимостью 100 рублей с использованием системы стоимостью 100 000 рублей. Если же говорить о пользователях актива, то здесь приоритеты опять сдвигаются – на первый план выходит удобство в работе. Поэтому в каждой конкретной ситуации критически важно соблюсти баланс интересов всех заинтересованных сторон.

Это лишний раз подчеркивает, что управление удаленным доступом к внутренним ресурсам – сложная и комплексная задача, базирующаяся на результатах оценки рисков и требующая гранулярной настройки и конфигурации соответствующих правил и привилегий для различных групп пользователей и внутренних ресурсов. И, как правило, в крупных современных компаниях итоговое решение принимает владелец актива – именно он способен правильно и корректно оценить стоимость актива и его ценность для бизнеса компании, именно он утверждает результаты оценки рисков и задает приемлемое значение остаточного риска для актива и именно он принимает итоговое решение о применении тех или иных механизмов защиты.

В поисках баланса

Реализация безопасного удаленного доступа к внутренним ресурсам требует системного подхода, построенного на принципах анализа и управления рисками. Чтобы реализовать баланс, о котором шла речь выше, руководителям бизнес-подразделений и ИТ-команде для начала нужно сформировать конкретный ограниченный перечень ресурсов, к которым надо обеспечить удаленный доступ сотрудников для поддержки ежедневных бизнес-процессов. Этот перечень будет отличаться для разных подразделений и групп пользователей. Для каждой группы ресурсов необходимо оценить дополнительные потенциальные риски нарушения конфиденциальности, целостности и доступности, которые могут возникать в связи с реализацией режима внешнего доступа.

В результате для каждой группы ресурсов должны быть сформированы соответствующие механизмы управления этими рисками, которые могут предполагать применение тех или иных дополнительных мер и/или средств защиты. К таким механизмам могут относиться дополнительные сервисы аутентификации, VPN-системы для защиты данных в каналах и линиях связи, средства шифрования файлов и дисков на пользовательских компьютерах, NAC и BYOD-решения, средства регистрации пользовательских действий на ПК, DLP-системы и прочие инструменты защиты. Конкретный выбор будет определяться ценностью защищаемых данных, стоимостью средств защиты и их удобством для конечных пользователей. Необходимо также детально проработать и правильно настроить конкретные права и привилегии доступа к ресурсам для отдельных пользователей и/или групп пользователей.

Стоит отметить, что в большинстве случаев при обработке корпоративных данных в режиме удаленного доступа стандартных инструментов защиты, доступных домашним пользователям, будет недостаточно, и потребуется применение дополнительных средств безопасности из арсенала корпоративных систем защиты. Ведь, как уже говорилось, пользовательская инфраструктура «последней мили» защищена существенно слабее корпоративного ИТ-периметра и обладает множеством уязвимостей. Но при этом предложить универсальное решение и точный набор требуемых корпоративных систем защиты достаточно сложно. Такой набор будет определяться конкретной ситуацией и тем набором сервисов и корпоративных данных, которые будут доступны удаленным пользователям. Где-то, например, при использовании лишь удаленного доступа к корпоративному почтовому серверу будет достаточно базовых сервисов, предполагающих усиленную аутентификацию пользователей и криптографическую защиту канала связи (например, базового протокола SSL/TLS). Для иных сценариев потребуется применение дополнительных инструментов, обеспечивающих проверку рабочей станции на наличие антивирусного ПО, актуальных обновлений ОС и антивирусных баз. Какие-то сценарии потребуют обязательного применения средств шифрования файлов, директорий и дисков на пользовательских ПК.

И, конечно, необходим строгий контроль за использованием корпоративной информации. Применение технологий усиленной многофакторной аутентификации, технологий NAC, BYOD, установка специализированного агентского ПО (DLP), которое обеспечивает журналирование и последующий анализ действий конечных пользователей с корпоративными данными на конечных ПК и другие меры.

Защита как система

Обеспечение безопасности корпоративных данных необходимо организовать в форме постоянного повторяющегося системного процесса, и это ключевой момент. Решение актуальных задач безопасности и защиты данных не должно восприниматься сотрудниками и руководством компании как единичная акция, реализуемая в привязке к тому или иному событию, например, к полномасштабному переходу на удаленный режим работы. Соответственно, в тех компаниях, в которых процессы анализа и управления рисками были реализованы ранее и поставлены на поток, подготовка к дистанционному режиму работы потребовала лишь небольшой корректировки и переоценки известных рисков и, как правило, дополнительного масштабирования и донастройки существующих мер и средств защиты. А вот для компаний, ранее пренебрегавших риск-ориентированным подходом к обеспечению безопасности, оперативная реализация такого набора задач может оказаться непосильной и приведет к принятию необоснованных решений по применению тех или иных механизмов защиты без должного анализа потенциальной эффективности. Как следствие, появится обманчивое впечатление защищенности, которой на самом деле нет или недостаточно.

Поэтому таким компаниям стоит оперативно пересмотреть подходы к безопасности, и помочь в этом может аналитика. Аналитические инструменты могут использоваться для решения большого числа различных задач в сфере безопасности, например, для противодействия внутреннему мошенничеству, выявления аномальной активности пользователей (в том числе, удаленных) при доступе к тем или иным корпоративным сетевым ресурсам, приложениям и сервисам. Кроме того, аналитические инструменты могут применяться для корреляции различных событий безопасности, регистрируемых в рамках корпоративной информационной инфраструктуры, и формирования наглядной визуальной оперативной отчетности по текущему уровню защищенности и уровню рисков.

Эти инструменты и технологии нельзя назвать чем-то новым – соответствующие решения уже давно представлены на рынке и использовались большинством крупных коммерческих компаний, но в отношении ограниченного набора лиц – удаленных подрядчиков, контрагентов, собственных сотрудников с повышенными ИТ-правами и привилегиями. Сейчас же, в связи с резким изменением формата работы пользователей, требуется лишь их полноценное масштабирование и развертывание на те группы пользователей, которые получают удаленный доступ к корпоративным ресурсам. Поэтому тем, кто не заинтересован в потере эффективности, важно сразу же после перехода на новый формат задуматься о безопасности данных и обеспечить ее с помощью современных инструментов и образовательной работы с сотрудниками таким образом, чтобы это отвечало интересам всех сторон: службы безопасности, владельцев бизнеса, команды и в конечном итоге – всей компании.