Пандемия и вызванный ею перевод сотрудников на работу из дома поставили перед работодателями серьезные задачи в сфере кибербезопасности. Далеко не всем удалось решить их сразу и без ущерба для рабочего процесса. И даже сейчас, спустя почти два года после первых локдаунов, многие проблемы в области ИБ остаются весьма актуальными, поскольку злоумышленники проявляют все больший интерес к «домашним» работникам.
Удаленка: новая реальность и новые риски
В начале 2020 г. ИТ-отделы вынуждены были «в пожарном порядке» модернизировать или создавать с нуля инфраструктуру обеспечения удаленной работы. Это привело к серьезному росту рисков в области кибербезопасности. Из-за нехватки времени и ресурсов многие риски были недооценены или даже проигнорированы. А злоумышленники, видя новое поле деятельности, наоборот, активизировали свои усилия.
Большинство экспертов по безопасности, ИТ-специалистов и руководителей понимают, что пандемия привела к снижению уровня безопасности. Факторы неожиданности и спешки повлияли на безопасность удаленной работы. Почти три четверти (74%) руководителей по безопасности, опрошенных Forrester Consulting, говорят, что причина многих недавних кибератак — уязвимости в технологиях, развернутых во время пандемии. Более 55% крупных компаний недостаточно эффективно предупреждают кибератаки, а также слишком медленно обнаруживают и устраняют уязвимости, говорится в исследовании Accenture «State of Cybersecurity Resilience 2021», вышедшем в ноябре 2021 г.
Согласно отчету Forrester, около 67% кибератак на предприятия нацелены сегодня на удаленных сотрудников. Стремление к удаленной работе потребовало новых инструментов, но у работодателей не было времени проверять их на предмет безопасности.
С начала пандемии COVID-19 замечен рост количества мошеннических электронных писем, попыток фишинга и спама в корпоративной электронной почте. В ответ на это «в рабочем порядке» компании закрывали бреши в безопасности, исправляли недостатки в своей ИТ-инфраструктуре и адаптировали меры и правила ИТ-безопасности к новым угрозам.
«Вырос спрос на DLP-системы. Их внедрение — вынужденная мера, так как на удаленке падает доверие между работодателем и сотрудниками, — отметил Константин Рензяев, генеральный директор CorpSoft24. — Без должного контроля вовлеченность сотрудников в жизнь компании неизбежно падает, кроме того удаленный режим работы повышает уязвимости информационной безопасности».
«Человеческому фактору», хуже формализуемому, чем внедрение средств ИБ, вообще уделялось внимания меньше, чем следует, считает Сергей Хомяков, генеральный директор компании Poly в России и СНГ. «Главная ошибка, которую могут совершить (и часто совершают) организации при переходе к удаленному или гибридному формату работы — это выраженный акцент на технологиях, — говорит он. По мнению. Сергей Хомякова для того, чтобы воспользоваться всеми преимуществами гибридной работы, необходимо «помнить не только о технологиях, но и о людях», только тогда гибридная модель принесет максимальную отдачу.
Безопасность и эффективность удаленной работы
Одним из последствий приведения стандартов безопасности для работающих дома в соответствие со стандартами безопасности физического рабочего места стало снижение продуктивности персонала. Согласно опросу Deloitte, подавляющее большинство респондентов (81%) уверены, что они по-прежнему могут эффективно работать из дома, но 19% опрошенных считают, что новые меры и правила ИТ-безопасности снижают их производительность. Это вдвое выше, чем в 2020 г.
Позволяют ли корпоративные правила ИТ-безопасности эффективно работать из дома? По данным Deloitte, большинство респондентов считают, что они по-прежнему могут эффективно работать из дома. Но 19% заявили, что новые меры и правила ИТ-безопасности снижают их производительность.
Компании могут противостоять этой тенденции, улучшая свою ИТ-инфраструктуру и меры безопасности. Также могут помочь упрощение и стандартизация правил и руководств, обучение сотрудников.
Однако представители более чем двух третей опрошенных компаний заявили, что им трудно найти правильный баланс между гибкостью и безопасностью для удаленных сотрудников. Согласно исследованию PwC «COVID-19 CFO Pulse Survey», для 41% финансовых руководителей влияние на сотрудников/снижение производительности входит в тройку основных проблем, вызванных пандемией COVID-19.
Многие сотрудники необдуманно подходят к выбору устройств для работы из дома, что создает угрозу безопасности. Они подключаются к домашним сетям, в которых находятся плохо защищенные домашние устройства. Кроме того, по данным Forrester, 80% руководителей служб безопасности и бизнеса заявили, что сталкиваются с повышенным риском безопасности удаленной работы из-за переноса критически важных функций в облако.
Ученье — свет. Но неученых — тьма
То, что компаниям необходимо вкладывать средства в более совершенные технологии ИБ и соответствующее обучение персонала кажется банальностью, поскольку, в противном случае, сотрудники становятся легкой мишенью для фишинговых атак и методов социальной инженерии, даже находясь внутри защищенного корпоративного периметра. Однако опросы, проведенные антивирусной компанией Eset и ассоциацией CompTIA несколько лет назад, показали, что более 30% сотрудников не прошли обучение по вопросам кибербезопасности в своей организации, и только половина компаний проводит его на постоянной основе.
С переходом на удаленку ситуация не улучшилась. Так, опрос, проведенный IBM в Великобритании в 2020 г., показал, что 39% нарушений, связанных с сотрудниками, были вызваны вредоносным ПО, случайно загруженным по мошенническим ссылкам. Второе место занимают фишинговые атаки, на долю которых пришлось 35% заражений.
Согласно данным упомянутого опроса Deloitte, при переходе на удаленный режим работы 42% сотрудников не прошли никакого дополнительного обучения в области ИБ.
Проводил ли ваш работодатель обязательное обучение/повышение осведомленности для безопасной работы из дома? Это удивительно, но 42% сотрудников, переведенных на удаленный режим работы, не получили никакого дополнительного образования в области ИБ (можно было давать более одного варианта ответа).
Насколько эффективно «чисто онлайновое» обучение — вопрос спорный. Конечно, оно лучше, чем ничего, однако если базовые знания не были даны сотрудникам заранее и не были проверены в очном режиме, то эффективность дистанционного обучения ИБ «с нуля» может оказаться низкой.
Безопасность в комплексе
За последние два года появилось множество рекомендаций относительно того, как обеспечивать безопасность при удаленной работе, как в техническом аспекте, так и в организационном.
Обучение ИБ должно включать полный спектр тем, связанных с кибербезопасностью, охватывая все возможные темы: вредоносное ПО, фишинг, управление логинами и паролями, защиту данных, шифрование, безопасность домашней сети, подключение к корпоративной сети через VPN, безопасность конечных точек.
Сотрудники также должны регулярно знакомиться с правилами и инструкциями по работе с конфиденциальными данными.
Многие сотрудники используют «теневые ИТ», решения, которые не видны ИТ-администраторам компании и ее службам ИБ. Как правило, это облачные приложения и хранилища, используемые для совместной работы над документами. До пользователей необходимо донести информацию об их потенциальной уязвимости.
В целом использование облачных сервисов должно основываться на детальной оценке рисков. На основе этих оценок рисков с учетом критичности систем и данных, передаваемых в облако, должны быть реализованы эффективные механизмы контроля безопасности с полным использованием соответствующих облачных средств, таких как средства контроля доступа, управление идентификацией и доступом, а также ведение журналов и мониторинг.
Небезопасные «конечные точки», например, на которых не установлены последние обновления, и слабая проверка подлинности при удаленном доступе — два основных элемента, которые увеличивают риск кибератак. Аутентификация по паролю без второго фактора считается слабой в контексте удаленного доступа. Соблюдение требований к надежному паролю также остается важной проблемой.
Особое внимание надо уделять доступу к критически важным системам и информации. Обычно, доступ к ним извне не разрешен или разрешен очень узкому кругу сотрудников. Для обеспечения безопасной работы таких систем (или с такой информацией) нужно внедрять дополнительные меры безопасности. Например, пользователи, которые подключаются к критическим системам, должны работать только с использованием корпоративных контролируемых устройств, а конфиденциальные данные не должны храниться локально.
Ряд компаний вообще внедрили политику «не работать на сторонних компьютерах», предоставив сотрудникам настраиваемые компанией, удаленно управляемые, защищенные ноутбуки, планшеты и телефоны.
Телеконференции следует проводить на проверенных платформах и защищать от несанкционированного доступа. Поскольку в ВКС передается и совместно используется средствами больший объем конфиденциальной информации, оценка уязвимости перед крупномасштабным развертыванием систем видеоконференцсвязи имеет решающее значение. Кроме того, участники телеконференции должны быть аутентифицированы как техническими, так и процедурными средствами, например, с использованием PIN-кодов и согласования фактических участников со списком приглашенных.
Должен быть реализован надежный контроль над конфигурациями на обоих концах удаленного соединения. Например, у сотрудников не должно быть административных прав на рабочих ноутбуках, должны быть установлены усиленные конфигурации безопасности и современные решения для обеспечения безопасности конечных точек, параметры безопасности подключения должны соответствовать передовым практикам, а корпоративная инфраструктура удаленного доступа — строго контролироваться. Хорошей практикой является сканирование устройств, устанавливающих удаленное соединение, на соответствие требованиям безопасности.
Несмотря на то, что многие организации привыкли к таким инструментам как Zoom и Microsoft Teams, сейчас, возможно, самое подходящее время для того, чтобы пересмотреть некоторые сценарии реагирования на инциденты согласно новым условиям и убедиться, что все критические процессы выполнимы.
Следует понимать, что текущие планы — не временные меры, а новая основная операционная модель на обозримое будущее.
Поделиться
