BYOD
В связи с эпидемией коронавирусной инфекции COVID-19 многие компании переводят своих сотрудников на работу из дома. В том числе и те, которые раньше даже не задумывались о возможности такого режима или и вовсе были принципиальными его противниками. А это значит, что у них вряд ли есть готовое решение для работы из дома, и они вряд ли серьезно продумывали киберугрозы, появляющиеся в связи с переходом части сотрудников на удаленную работу. Мы попытаемся восполнить этот пробел, а заодно объяснить, как можно минимизировать риски.
На первый взгляд, единственное, что меняется для офисного работника — это количество личных встреч с коллегами. Но если задуматься, то меняется очень многое: каналы связи, оборудование, круг лиц, которые к этому оборудованию имеют доступ, процедуры работы с данными, иногда даже инструменты для совместной работы.
Каналы связи
Когда ваши сотрудники работают из локальной сети, весь процесс обмена данными проходит под контролем ваших защитных решений. При работе из дома в это уравнение добавляются дополнительные неизвестные — сети интернет-провайдеров. А о том, как безопасность обеспечена у них, вы не знаете ничего. В отдельных случаях домашний Интернет подключается через домовые сети, где кроме вашего работника может сидеть и потенциальный злоумышленник. Короче говоря, это такие каналы связи, которым корпоративные секреты лучше не доверять.
Решение. Если ваши сотрудники должны удаленно подключаться к корпоративным ресурсам, то в ваших интересах обеспечить их надежным VPN-сервисом. Он позволит создать зашифрованный канал связи между рабочей станцией и вашей инфраструктурой и защитит корпоративные данные от вмешательства. Более того, подключение к корпоративным ресурсам из внешней сети без VPN должно быть невозможным.
Установившийся распорядок
Если раньше можно было подойти к коллеге и обсудить с ним рабочий вопрос, то теперь это придется делать удаленно. А это означает рост объемов переписки, появление новых адресатов (это люди, с которыми раньше приходилось общаться только лично), короче говоря, изменение привычной для сотрудника рутины. Теоретически это дает злоумышленнику больший простор для манипуляций. В частности, для проведения BEC-атаки. Просто за счет того, что на фоне общего моря корпоративной переписки очередное письмо с просьбой переслать кому-то какие-то данные может показаться сотруднику вполне нормальным и вообще не подозрительным. Да и в целом домашняя обстановка на многих действует расслабляюще.
Решение. Во-первых, несмотря на работу из дома, все сотрудники должны использовать только рабочую почту. Это по крайней мере сделает очевидной попытку злоумышленника вступить в диалог от лица сотрудника, просто зарегистрировав почту на постороннем домене. Во-вторых, нужно убедиться, что ваши почтовые серверы защищены технологиями, способными выявлять попытки подмены отправителя письма. В наших решениях — как для почтовых серверов, так и для — такие технологии имеются. Ну и в-третьих, перед отправкой сотрудника домой стоит провести ликбез по возможным киберугрозам.
Инструменты коллаборации
Лишившись возможности общаться лично, сотрудники, вероятно, начнут использовать какие-нибудь произвольные решения для совместной работы. А они могут оказаться не самыми надежными. Плюс к этому, такие сервисы нужно настраивать с умом. Например, документ GoogleDocs с неправильно настроенными доступами может быть проиндексирован поисковым сервером и стать источником утечки корпоративных данных. То же самое может случиться и с данными в облачных хранилищах файлов. Источником утечки может послужить и среда совместной работы типа Slack: случайно добавленный туда посторонний человек может получить доступ ко всей истории переписки и файлам.
Решение. По-хорошему, в ваших интересах подобрать подходящую по уровню безопасности и функциям среду для коллаборации. В идеале — допускающую регистрацию только по корпоративной почте. При этом стоит назначить ответственного сотрудника, который занимался бы администрированием этой среды: выдачей и, главное, отзывом прав. Ну и самое главное — прежде чем разрешить сотрудникам работать из дома, стоит провести инструктаж (пусть даже и заочный) и настоятельно порекомендовать им использовать только развернутую у вас (или одобренную вами) систему коллаборации. Также нелишне будет напомнить, что он в ответе за сохранность корпоративных секретов.
Оборудование
Как правило, не у всех сотрудников есть доступ к корпоративным мобильным компьютерам. А с мобильного телефона можно решить не любую задачу. Поэтому не исключено, что они могут попробовать воспользоваться домашними компьютерами. Для компаний, в которых не используется политика BYOD, это может стать серьезной угрозой.
Решение. Во-первых, если уж сотрудникам приходится работать из дома, то лучше по возможности обеспечить их корпоративными лэптопами и телефонами. И все эти устройства, разумеется, должны быть защищены при помощи соответствующих решений. Причем эти решения должны обеспечивать возможность удаленного уничтожения корпоративной информации, разделения личных и корпоративных данных и ограничения установки приложений. По-хорошему, они также должны проверять наличие последних критических обновлений ПО и операционной системы.
Если же по каким-то причинам сотрудникам приходится использовать личные устройства, то самое время развернуть у себя политику BYOD, в рамках которой возможно управлять корпоративными данными на личных устройствах — например, создавая отдельные разделы для деловых и личных данных. Помимо этого, следует настоятельно рекомендовать установку домашних антивирусных программ, хотя бы бесплатных. В идеале — позволять подключать такие устройства к корпоративным сетям только после проверки на наличие защитного решения и свежих обновлений операционной системы.
Доступ к оборудованию
Вы никогда точно не знаете, в каких условиях живут ваши сотрудники. Кто ходит у них за спиной, когда они работают, и что может произойти с их компьютером, когда они отойдут на кухню налить чай. Если сотрудник честно выполняет предписание сидеть дома, где кроме него особо никого нет, — это одно. Если же он по привычке не закрывает крышку ноутбука в кафе или в коворкинге, риски утечек или компрометации намного больше.
Решение. По большому счету, основная часть этих проблем решается политиками безопасности. Они должны предусматривать обязательное использование пароля и обязательную автоблокировку экрана. Кроме того, уже упомянутые тренинги по повышению осведомленности должны помочь сохранять общую бдительность.
Вебинар
Наши эксперты планируют 26 марта в 11:00 по Москве провести вебинар на тему обеспечения безопасности удаленной работы. Приглашаем вас присоединиться к обсуждению.
Советы