Причин для беспокойства из-за перевода сотрудников на удаленку у менеджеров российских компаний действительно немало, и многие из них связаны с менталитетом отечественного бизнеса. Это и стойкое убеждение многих ветеранов СБ, что информационные ресурсы должны быть сосредоточены строго в периметре предприятия. И нежелание менять устоявшиеся, отработанные схемы взаимодействия. И тот факт, что некоторые компании, особенно региональные, стали всерьез интересоваться внедрением у себя политик и средств информационной безопасности только с появлением 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Последнее подтверждает и резкий рост числа тендеров и аукционов в области ИБ, начавшийся после принятия закона.
Есть, впрочем, и объективные причины – например, невозможность применить к сотруднику, находящемуся на удаленной работе, весь арсенал технических средств и политик безопасности. Как показывает практика интеграторов, большинство компаний, обладающих компетентным ИБ-подразделением, успешно справились с этими задачами. Сложности возникают в основном у предприятий сегмента SMB, в которых либо нет собственного ИБ-подразделения, либо ИБ-специалист совмещает сразу несколько функций.
«Когда к нам, как к интегратору, обращаются за помощью в переводе сотрудников на удаленку, – рассказывает Максим Большаков, – мы предоставляем сразу несколько вариантов, обговариваем преимущества и недостатки каждого, а также его стоимость. Исходя из того, с какими ресурсами имеет дело сотрудник (информационные, телекоммуникационные системы, АСУТП и т. д.), определяем, может ли он в принципе работать вне офиса и какое подключение для него станет оптимальным с точки зрения ИБ».
Максим Большаков, начальник отдела информационной безопасности КОМПЛИТ
«Хорошая новость заключается в том, что в текущей ситуации практически все вендоры, стремясь поддержать бизнес, предоставляют программное обеспечение для организации удаленной работы бесплатно или на очень выгодных условиях, на срок от 3 месяцев до конца года. Компании могут без затрат приобрести эти продукты, установить и оценить их работоспособность и применимость, – продолжает Максим Большаков. – Например, вендоры, с которыми работает КОМПЛИТ, пошли навстречу бизнесу, предоставив такие продукты, как SecretNet Studio, АПКШ «Континент», VGate, Person Monitor».
(Подробнее о самых популярных решениях для перехода на удаленную работу – см. IT-класс SPbIT.ru.)
От типа удаленного подключения (работа с личного ПК или корпоративного устройства, подключение через VPN, удаленное терминальное подключение и т. д.) зависит специфика рисков, с которыми компания может столкнуться. Одним из наиболее безопасных считается терминальное подключение: развернутая виртуальная машина или ПК, который выступает в роли виртуальной станции. Также рекомендуется установить определенные ограничения терминальной сессии: например, запрет переноса (copy – paste) данных с терминала на внешний ПК.
Как показывает практика, при условии грамотно предоставленного удаленного доступа к рабочему месту для сотрудников ИБ рисков утечки информации не становится больше. Тем не менее бизнес должен быть готов к любому развитию событий. Компании необходимо понимать ценность информации, которой оперирует сотрудник, и соответственно применять средства защиты. «Золотое правило» ИБ: стоимость средств защиты не должна превышать стоимость информации. Можно применять DLP-системы, решения, отслеживающие поведение сотрудника, журналы аудита. Последние пригодятся и для составления отчетов сотрудника о его деятельности.
Суть работы DLP-систем изначально заключалась в контроле за утечками информации, но дополнительно к этому современные системы способны выполнять поведенческий анализ пользователей. Встроенные в некоторые системы DLP нейросетевые инструменты добавляют в программный код возможность самообучения, за счет чего те могут предсказывать события на основе всего нескольких действий анализируемого объекта. При желании системы могут даже контролировать все социальные сети, в которые пользователь заходит с ПК, и записывать все пароли и логины. Для ряда компаний это действительно интересный инструмент для минимизации издержек репутационного или финансового характера.
Необходимость дистанционной работы – хороший повод серьезно поговорить об экономии на ряде статей бюджета, которая ранее рассматривалась только в теории или на дальнюю перспективу. В целом это снижение затрат на интернет-трафик и телефонию, на энергопотребление, на аренду помещений и даже на обеспечение сотрудников питанием и разными «печеньками», принятое в офисе.
С точки зрения информационной безопасности и ИТ в целом это, по сути, уход от капитальных затрат к операционным. Единожды вложившись в инфраструктуру и оптимизировав OPEX (Operating Expense) с помощью ИБ-сервисов, предоставляемых коммерческим SOC (Security Operation Center), можно добиться экономии в самый короткий срок. Это применимо и к небольшим компаниям.
«Оказывая услуги ИБ-аутсорсинга, мы берем на себя контроль внутреннего документооборота. При этом подписывается NDA (соглашение о нераспространении информации), а в SLA прописывается, кто за какие данные несет ответственность. Это современная модель ИБ, которая в России до определенного времени использовалась мало: она более открытая и более контролируемая, – замечает Максим Большаков. – Раньше из-за высокой стоимости продуктов ИБ или нежелания вендоров предоставлять малое количество лицензий SMB-компаниям трудно было организовать у себя полноценный комплекс средств защиты. Поэтому мой прогноз – сервисом ИБ-аутсорсинга будет пользоваться множество небольших компаний, которые в совокупности принесут операторам SOC хорошую выручку».
Перевод сотрудников на удаленку и соответствующие изменения политик безопасности должны быть закреплены юридически. В первую очередь это, конечно, приказ работодателя о переводе того или иного сотрудника или отдела на удаленную работу. Поскольку при этом сложно или невозможно рассчитывать оплату по времени пребывания человека на рабочем месте, в некоторых случаях логично ввести контрактную форму по аналогии с проектной работой на фрилансе. Она позволит снять с работодателя часть ответственности за выполнение сотрудником своих обязательств и за его нерабочую деятельность вне офиса в рабочее время. С точки зрения ИБ целесообразно также подписывать NDA, в котором следует разграничить и оценить ответственность сотрудника и работодателя в случае возможной утечки информации, указать варианты возмещения ущерба.
Стоит помнить о том, что главным инструментом кибермошенников по-прежнему остается социальная инженерия, методы которой успешно применяются в условиях низкой культуры обращения с данными. Нелишним будет организовать обучение персонала основам кибербезопасности, если оно еще не было проведено.
После того, как компании вернутся к нормальному режиму работы, люди возвратятся в офисы – но, очевидно, не все. Преодолев период стагнации и «акклиматизации», сотрудники осознают, что могут полноценно выполнять свои функции с большим, чем в офисе, комфортом. А работодатель со временем увидит экономическую выгоду.
«Всем специалистам и отделам ИБ, которые работают внутри компании, я советую воспринимать нынешнюю ситуацию как отличную возможность для цифрового развития. Сегодня все ваши проекты, когда-то не согласованные по бюджету, могут быть воплощены в жизнь, у вас есть шанс внедрить самые смелые решения благодаря тому, что львиная доля вендоров временно предоставляет свои продукты бесплатно. И это не пилоты с синтетическими данными, а реальное боевое использование, – резюмирует Максим Большаков. – Увеличение доли удаленных работников – это и есть та самая цифровая трансформация, о которой так много говорили и говорят».