Контакты
Подписка 2024

Bring Your Enterprise Home. Кибербезопасность корпоративного уровня дома у сотрудников

Кент Лэндфилд, 25/02/21

Более двадцати лет внимание специалистов по кибербезопасности было сосредоточено на работе с предприятиями, а не на построении интегрированной системы защиты, и уж тем более не на комплексной защите домашних сетей. И хотя умные устройства для дома приобретают все большую популярность и признание, главной задачей отрасли по-прежнему остается обеспечение корпоративной безопасности.

Автор: Кент Лэндфилд (Kent Landfield), главный специалист по разработке политики стандартов и технологий компании McAfee

NIST Cybersecurity Framework1, один из основных американских регламентов, адресован предприятиям, а не частным лицам. При этом число устройств и подключений в домах в наше время намного превышает аналогичные показатели, характерные для малого бизнеса двадцатилетней давности. Домашние ИТ-системы развиваются по той же схеме, что и системы малых предприятий, поэтому нуждаются в дополнительном внимании и защите.

Пандемия COVID-19 в мгновение ока изменила привычный уклад организаций и стала причиной вынужденного перевода сотрудников из централизованных рабочих сред на высокораспределенные инфраструктуры для работы из дома. Внезапный переход на незащищенную и неконтролируемую "удаленку", включая ИТ, IoT, мобильные, облачные и другие среды, значительно усложнил обеспечение кибербезопасности предприятий и одновременно серьезно расширил поверхность цифровых атак. Поскольку многим сотрудникам приходится использовать для решения рабочих задач личные устройства, организациям необходимо внедрять политики, которые улучшат управление и контроль над ними. Концепция BYOD (Bring Your Own Device, личные устройства на работе) трансформировалась в BYEH (Bring Your Enterprise Home, корпоративные устройства дома). Чтобы адаптироваться к этой перемене, нужны новые стандарты и процедуры безопасности.

И хотя в нашей компании, как и на других предприятиях, изначально имелись политики, процессы, средства управления, оборудование и программное обеспечение для защиты такой распределенной корпоративной экосистемы, все же они разрабатывались с учетом того, что современный частный дом -- не самая "гостеприимная" среда для внедрения защит.

Например, в домашней среде могут присутствовать умные замки и розетки, несколько телевизоров Smart TV и устройств для потоковой передачи данных, охранная система, цифровые ассистенты, беспроводные светильники, колонки, камеры, термостаты и другие подключенные устройства. И все это не считая компьютеров, ноутбуков, планшетов и смартфонов. Устройства IoT, число которых постоянно растет, позволяют превратить обычные дома в умные, но собственники не всегда знают, как эффективно защитить это оборудование от киберпреступников. Кроме того, многие решения не поддерживают интеграцию или обмен данными с другими системами, что уменьшает возможности обнаружения слабых мест в защите.

Сегодня хакер может проникнуть в дом, не переступая его порога, и похитить у вас самое ценное -- банковский счет, реквизиты доступа и душевный покой, например, включив свет в три утра или музыку из умных колонок на полную громкость. Это серьезная проблема как для физических лиц, так и для компаний и государства, ведь "удаленка" -- это возможность продолжить работу, несмотря на пандемию COVID-19.

Посчитайте в квартире все умные и обычные устройства и умножьте их на количество сотрудников государственных ведомств, работающих удаленно, чтобы получить представление о масштабах создавшейся угрозы. Прибавьте сюда подрядчиков госучреждений, уровень безопасности систем которых обычно ниже, чем у штатных работников. И речь уже идет об угрозах национального масштаба, поэтому организациям необходимо обеспечить надежную защиту удаленного доступа сотрудников к служебным ресурсам.

При этом кибербезопасность -- только одна из областей, на которую нужно обратить внимание. Например, в случае выхода оборудования из строя поставщики услуг в первую очередь предоставляют поддержку корпоративным клиентам. Если о неисправности сообщила компания, ее устранят за пару часов. Потребители могут прождать решения проблемы несколько дней. Однако сегодня ответ на вопрос, какое удаленное подключение является критически важным для бизнес-процессов, не столь очевиден. Как организации сообщить провайдеру о том, что конкретная линия связи имеет приоритет и нуждается в срочном внимании? Как включить в концепцию "домашних терминалов" тот факт, что они являются компонентами инфраструктуры конкретного предприятия?

"Удаленка" превратила квартиры в домашние офисы, виртуальные учебные классы, кабинеты врача и магазины, а каждое подключенное личное устройство -- в потенциальный источник опасности для работодателей.

Пока мы пытаемся адаптироваться к новым реалиям, очень важно переосмыслить безопасность домов и квартир, а также разработать стандарты их защиты.


  1. https://www.nist.gov/cyberframework
Темы:В ФокусеУмный домBYODЖурнал "Информационная безопасность" №1, 2021

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...