Контакты
Подписка
МЕНЮ
Контакты
Подписка

Самоизоляция  не  защитит  от  заражения  информационную  систему

Светлана Конявская, 16/06/20

Жизнь давно научила нас гибко реагировать на изменения ситуации. Поэтому, как только возникла необходимость удаленной работы в системах, в которых это было до сих пор не предусмотрено, в специализированных журналах и сетевых СМИ сразу появилась масса предложений по организации удаленной работы, в том числе защищенной. Это целый новый рынок, и, хотя все надеются, что просуществует он недолго, было бы нерационально не обратить на него внимание.

Автор: Светлана Конявская, заместитель генерального директора ЗАО “ОКБ САПР", к.ф.н.

К счастью, почти все понимают, что удаленная работа сотрудников с ресурсами системы, если она производится с использованием их домашних компьютеров, ноутбуков, личных планшетов и смартфонов, несет в себе угрозы безопасности системы. Но в качестве решения этой проблемы предлагаются практически исключительно средства защиты канала и средства идентификации и аутентификации пользователей (в формфакторах, позволяющих использовать их, например, на iPad).

Применение этих средств при организации доступа к ресурсам информационной системы (ИС) с неконтролируемых устройств сотрудника дает только один эффект – безосновательной самоуспокоенности. Защитного эффекта они не дают, если не защищено СВТ, с которого осуществляется доступ.

Мобильные рабочие места

Наиболее остро вопрос необходимости защиты клиентского СВТ стоит для органов государственной власти и местного самоуправления, которым необходимо обеспечить защищенный удаленный доступ сотрудников к ресурсам государственных и ведомственных ИС, в том числе для выполнения операций, связанных с применением криптографических средств. Планшеты, на которых не установлено средство доверенной загрузки, сертифицированное ФСБ России как АПМДЗ, нельзя использовать для этих операций – это прямо противоречит требованиям регулятора. Но в стандартные планшеты зарубежного производства невозможно установить АПМДЗ, это объективное ограничение их конструкции. Эффективность работы сотрудников среднего и высшего звена при использовании таких планшетов существенно снижается.

Однако существует отечественный планшет с хорошими характеристиками и встроенным АПМДЗ класса 1Б1. Для органов государственной власти и местного самоуправления нормальным решением является оснащение сотрудников такими мобильными рабочими местами. Но оно не может считаться приемлемым для всех без исключения организаций, вынужденных сейчас перейти на удаленную работу: приобрести защищенные планшеты для сотрудников могут далеко не все.

Домашние компьютеры

В то же время ограничиться установкой VPN-клиента на домашние компьютеры сотрудников – значит создать защищенный канал доставки в ИС организации как минимум вирусов. А ведь незащищенный компьютер на входе в систему – это еще и гостеприимно раскрытая дверь для хакера: он тоже сможет войти в вашу систему по защищенному каналу, ведь взять под контроль домашний компьютер абсолютного большинства пользователей совсем несложно.

Умалчивать об этом неприемлемо, однако это происходит. Причина не только в недобросовестности, но еще и в том, что защиту личных устройств принято считать нерешаемой проблемой. Оснастить домашние компьютеры комплектом всех необходимых средств защиты, с одной стороны, непомерно дорого, а с другой – это наложит на пользователя огромное количество ограничений, с которыми на своем собственном личном устройстве никто, как правило, не намерен мириться. Более того, совершенно невозможно ожидать, что средства защиты информации на домашних компьютерах, даже если они там окажутся, будут как следует настроены, да еще и постоянно.

Доверенный сеанс связи

Уже много лет существует технология, позволяющая использовать недоверенный компьютер для удаленного доступа к защищенной ИС.

Технология называется "доверенный сеанс связи"2 (ДСС) и базируется на том, что для случаев, когда компьютер постоянно работает в незащищенном режиме и только периодически должен использоваться в защищенном (но защищенном надежно), загрузка среды для доступа к защищенной ИС должна производиться из физически изолированной от основного компьютера памяти, недоступной для изменения.

Если в составе загружаемой среды есть преднастроенные средства защиты (МЭ, VPN, средство разграничения доступа), загрузка производится из защищенной от записи памяти, жесткий диск компьютера не используется, конфигурация загруженной ОС максимально ограничивает свободу пользователя (ему недоступны органы управления ОС, рабочая среда полностью изолирована от посторонних сетевых соединений, открытый трафик отсутствует, а после завершения работы в браузере сеанс связи завершается, не давая пользователю делать ничего лишнего), то создаются все предпосылки для безопасной для ИС удаленной работы с ее ресурсами. По завершении работы в ИС организации пользователь отключает средство обеспечения доверенного сеанса связи, перезагружает компьютер и без ограничений пользуется всеми небезопасными ресурсами, которыми хочет и привык.

Когда плюсы перевешивают минусы

Технология ДСС создает пользователю некоторое неудобство: нужно перезагружаться для смены сеанса. Однако это несравнимо с неудобствами, накладываемыми полным комплектом защиты, создающим такой же уровень защищенности для ПК. И столь же существенно различие их стоимости: средство обеспечения ДСС стоит ориентировочно в два раза меньше, чем комплект стационарной защиты, и в пять раз меньше, чем защищенный планшет. Цены, конечно, нужно уточнять у поставщика, и зависят они от конкретной ОС, СКЗИ и многого другого, но это уже не предмет данной статьи.


  1. Конявская С.В. “Очевидное-невероятное” версии 2020 года: планшет “СКЗИ ready”// Information Security (Информационная безопасность). 2020. № 1. С. 33.
  2. Конявский В.А. Серебряная пуля для хакера // Защита информации. INSIDE. 2013. № 4. С. 54–56. Конявский В.А. Серебряная пуля для хакера (Окончание) // Защита информации. INSIDE. 2013. № 5. С. 69–73.

Темы:В фокусеЖурнал "Информационная безопасность" #2, 2020

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
Стать автором
Комментарии

More...