Пора переходить от временных схем дистанционной работы к постоянным
Евгений Чугунов, 13/07/20
Евгений Чугунов, генеральный директор Cross Technologies
– Насколько компании оказались готовы к вынужденному переходу на удаленный режим работы?
– Многие компании изначально учитывали возможность удаленной работы в рамках мобильных офисов. Почти в каждой организации есть сотрудники, которые часто летают в командировки, работают из других регионов. На таких компаниях новые условия работы отразились не сильно.
Большинство средних, крупных компаний, холдинговых структур, вне зависимости от вида бизнеса, прорабатывали вопрос организации удаленного доступа только в контексте доступа к некритичным системам, таким как почта, внутренний документооборот, корпоративный портал и файловые хранилища. Но не с осуществлением денежных переводов, работой со счетами и важными личными данными.
Сейчас же, оказавшись в условиях самоизоляции, компании вынуждены предоставлять удаленный доступ уже и к критичным данным и бизнес-процессами. В итоге, технологии, которые внедрялись с расчетом на определенную модель нарушителя и определенную модель угроз, оказались не готовы к новым обстоятельствам. Ставки в игре выросли, стали подключаться критичные элементы инфраструктуры, появилось больше возможностей для злоумышленников. Дискредитация стала вопросом времени.
– С какими трудностями столкнулись ваши клиенты при переходе на удаленную работу и при возвращении к работе в офисе?
– Основная проблема заключается в том, что инфраструктура, которая обеспечивает домашний офис, оказалась недостаточной для полноценной работы ввиду отсутствия инструментов, доступных только в офисе. И, соответственно, оказались недостаточными мероприятия по защите. Многие компании осознали эту проблему и начали оперативно ее решать – например, менять концепцию удаленного доступа, вводя двухфакторную аутентификацию.
Но основные проблемы, которые возникли у компании при переходе, связаны не столько с организацией удаленного доступа, сколько с сохранением непрерывности рабочих процессов. Дом — это всё-таки специфичная локация, не имеющая защищенного физического периметра. В офисе у вас есть свое рабочее место, коллеги, с которыми происходят коммуникации, руководитель и служба охраны, которая контролирует, чтобы не было посторонних. Дома же такие механизмы контроля отсутствуют.
Собственно, это основная, базовая проблема у всех компаний – понять, что происходит с эффективностью работы. Люди стали работать больше, но менее эффективно. Рабочий график сдвинулся, в итоге все работают с утра до вечера, но с меньшей эффективностью в силу того, что окружение не располагает к рабочему режиму. У нас в компании многие сотрудники реально просятся в офис.
Вторая проблема связана с безопасностью. По факту, что такое домашнее рабочее место? Во-первых, это неконтролируемый доступ посторонних лиц к рабочему устройству. Мы не знаем, кто сейчас имеет доступ к устройству, был передан пароль или нет, что происходит по ту строну экрана компьютера. Во-вторых, это достаточно агрессивная ИТ-среда. Зачастую сотрудники используют незащищенный домашний Wi-Fi, к которому может подключиться посторонний. К домашней сети чаще всего подключено несколько домашних устройств – игровые приставки, телевизор, бытовая техника, которые имеют низкий уровень защиты.
– Как вы думаете, почему многие компании решили остаться на удаленке и как это отразится на безопасности компании?
– Многие остаются на удаленке по двум причинам. Первая причина в том, что статистика заражения COVID-19 все еще высока. Терять людей и репутацию не хочется, честно говоря. Многие крупные компании заняли выжидательную позицию – кто до августа, кто до конца года. Вторая причина – удаленная работа свойственна представителям ИТ-отрасли — разработчикам, специалистам по back-операциями. Home office – это жизнеспособная модель, если компании смогут контролировать эффективность и безопасность. По большому счету, домашний офис — это весьма эффективное решение для экономии компании, с одной стороны, и, с другой стороны, это способствует расширению ареала найма сотрудников. Имея центральные офисы в крупных городах, компании смогут нанимать людей в других часовых поясах, в других локациях и измерять эффективность работы также как в оффлайн-офисе.
– Все меры по обеспечению безопасности данных должны усилиться или оставаться на том же уровне? Как это связано с новыми программными продуктами?
– Современный домашний офис способен работать с более критичными данными, и обеспечить безопасность систем, которые отвечают за финансы, за core business, за данные, на которых злоумышленник может хорошо заработать. Но при этом важно учитывать все риски.
При работе удаленно и организации офиса дома у нас появляются новые (старые новые) каналы, через которые злоумышленник может совершить атаку. По сути, это более лакомые куски для атаки, т.е. менее защищенные участки с точки зрения инфраструктуры компании. Здесь модель достаточно простая: поднялась ценность передаваемой информации, соответственно, увеличился и интерес со стороны киберпреступников, спецслужб, конкурентной разведки... В этом плане всё достаточно серьёзно активизируется.
– Один из самых популярных объектов взлома — автоматизированные рабочие места. Могли бы вы привести конкретный пример взлома АРМ и чем это грозит компании?
– Как правило самый распространенный и эффективный вариант получения несанкционированного доступа к АРМ – это социальная инженерия. Мошенники используют всевозможные поводы, чтобы пользователь загрузил файл, что-то посмотрел, перешел по ссылке. Простой пример, как действует злоумышленник: на корпоративную почту сотрудников приходит письмо от лица руководителя, что «теперь удаленный доступ компании осуществляется по этой ссылке». Таким образом, из 200 человек — 30-40 переходят по ссылке и вводят свои логины и пароли, из неё уже проваливаются в реальные сессии, что на руку злоумышленнику. Впоследствии накладываются все остальные факторы — незащищенность среды вокруг, её агрессивность, доступность и так далее.
– Какие решения существуют у вашей компании для защиты удаленных рабочих мест?
– Cross Technologies — это две компании с разными направлениями работы. Cross Technologies, которая занимается интеграцией ИБ-решений, и CrossTech Solutions Group, разрабатывающая собственные ИБ-решения.
Мы интегрируем концепцию домашнего офиса с точки зрения процессов, инфраструктуры и, самое важное, мониторинга того, чем пользователь занимается на рабочем месте. При этом, у наших решений проработана модель организации защищенного удаленного доступа и удаленной защищенной работы сотрудников.
Также у нас есть и свои разработки. В рамках глобального ухода на удаленку периметр защиты любой организации весьма серьезно расплылся. Поэтому, разрабатывая новый продукт Doc Security Suit, мы решили, что периметр безопасности должен быть привязан к документам.
Мы пришли к выводу, что периметр безопасности должен «ходить» вместе с документами. То есть, мы организовали подход, в рамках которого каждый документ тегируется, проходит инвентаризацию, ему присваивается маркер конфиденциальности, на основе которого решается, кто должен иметь к нему доступ, - как с использованием средств ограничения доступа, так и с использованием шифрования.
Наша задача — контролировать жизненный цикл документов, отслеживать, какая информация и где находится. К документу может быть определен общий доступ, но при выходе из системы, он обертывается в криптоконтейнер, и злоумышленник ничего не сможет с ним сделать.
В некоторые документы для облегчения будущих расследований внедряются стеганографические образы, так что в случае фотографирования экрана или распечатывания документа с большой точностью можно сказать, когда это было сделано и на какой машине. Это тоже актуально в рамках удаленного режма работы.
Также мы разрабатываем продукты на основе анализа поведения пользователей (UEBA, User and Entity Behavior Analytics). Мы сосредоточились в большей степени на контроле и анализе работы удаленных пользователей. Для этого осуществляется сбор максимального количества событий от агентов, через которые осуществляется работа с пользователем, формируется профиль пользователя, собираются факты компрометации его рабочего места, его учетной записи и т.д. На основании этих данных отслеживаются девиации от нормы для выявления инцидентов безопасности. В дополнение мы разрабатываем технологии поведенческого анализа с использованием нейронных сетей.
Есть направление работы, связанное с цифровой криминалистикой. Например: домашний офис создан, безопасность обеспечена, но тут происходит инцидент. Каким образом служба безопасности будет проводить расследование произошедшего? Традиционно, они поедут в ту локацию, где было устройство, изымут компьютер и попытаются найти необходимую информацию. Но это невозможно сделать при большом количестве инцидентов или если компания территориально распределена. Для таких случаев мы предлагаем механизмы дистанционного расследования инцидентов.
Это три направления, которые мы предлагаем, как производитель и как дистрибьютер.
– Запросы на какие решения резко выросли со стороны клиентов и оказались ли вы к ним готовы?
– Многие компании, не сильно пострадавшие от последствий пандемии, не изменили свой порядок работы. Можно предположить, что многие организации вышли на удаленку в полной уверенности, что у них есть удаленный доступ и этого достаточно. Но со временем пришло понимание, что концепцию работы и защиты корпоративных данных необходимо менять.
Мы наблюдаем, что вырос спрос на решения, связанные с контролем рабочего режима сотрудника и его загрузки, мониторинга эффективности, решения для безопасности удаленного доступа. Некоторые компании пришли к тому, что необходимо модернизировать инфраструктуру, потому что она не готова к возросшим нагрузкам и увеличившимся объемам информации. Мы в этом активно им помогаем.