Разобраться

Готов к труду и обороне: как защитить корпоративные данные от сотрудников на «удаленке» (5 правил)

Готов к труду и обороне: как защитить корпоративные данные от сотрудников на «удаленке» (5 правил)
Фото: Andrew Burton/Getty Images

Удаленная работа стала обычным явлением во всем мире: 70% профессионалов трудятся хотя бы один день в неделю из дома (по подсчетам IWG). В России гибкие формы занятости тоже в тренде – по данным HeadHunter, 62% офисных сотрудников хотели бы работать дистанционно, и многие компании (особенно хайтек-стартапы) на это охотно соглашаются. Однако «удаленка» при всех ее плюсах для персонала имеет один существенный минус для предприятия: она несет в себе угрозы информационной безопасности. Основатель компании Business Ecosystems и сертифицированный эксперт Cisco по сетевой безопасности Денис Хлебородов знает, как бизнесу минимизировать риски и позволить сотрудникам продуктивно работать, откуда им заблагорассудится. Для этого достаточно придерживаться следующих правил.

Как и почему воруют данные

При удаленной работе информация передается из защищенной корпоративной сети на устройства сотрудников, которые редко контролируют системные администраторы. В четверти случаев причиной утечки данных становится банальная кража или потеря девайса (по подсчетам Bitglass). Еще чаще информацию воруют с помощью зловредного ПО – 56% компаний считают, что хакеры взломали устройства их удаленных сотрудников не менее 1 раза за год. При этом вредоносный код может не только скопировать данные с ноутбука, но и проникнуть через него в корпоративную сеть.

Опрос 1,85 тыс. представителей малого бизнеса в США и Великобритании показал, что 38% удаленных сотрудников не получают должной технической поддержки. И лишь 18% из них задумываются о вопросах кибербезопасности (по данным 2018 Mobile Workforce Report).

1.

Подготовьте политику безопасности

Для начала стоит разобраться, какие данные и где хранит компания. Классифицируйте их по степени чувствительности и определите правила доступа для каждой категории. К удаленным сотрудникам здесь должен быть особый подход. Доступ к данным (причем только к тем, которые им необходимы для работы вне офиса) им лучше выдавать после согласования с руководителем и подписания соглашения о конфиденциальности. Также важно прописать в политике безопасности требования к устройствам сотрудников.

Сам процесс выдачи доступа к данным лучше автоматизировать. Разместите оформление и согласование заявки вместе с инструкцией на корпоративном портале – чтобы сотрудники могли самостоятельно скачать необходимые программы и настроить удаленное VPN-подключение.

2.

Используйте улучшенную аутентификацию

Если компания открывает доступ к внутренней сети через интернет, следует внедрить строгий механизм проверки пользователей. Особо опасны ботнеты – сети вредоносных программ, которые ищут VPN-шлюзы и подбирают к ним пароли. Риск доступа посторонних лиц к корпоративным данным усугубляют сами сотрудники: они оставляют устройства без присмотра, хранят пароли на записках и даже сохраняют их в браузере.

Знакомая всем двухфакторная аутентификация через SMS с кодом уже не помогает: злоумышленники научились ее обходить. Лучше использовать для проверки пользователей смарт-карты или USB-токены (Bluetooth-токены в случае смартфонов). Тогда аутентификация проводится через криптографические вычисления и обмен их результатами с сервером VPN – подобрать пароль к учетным данным вредоносное ПО уже не сможет. Помимо прочего, смарт-карта может работать как пропуск в офис, а значит, сотрудник ее не потеряет.

Где слабое звено?

Удаленная работа некоторых сотрудников связана с наибольшим риском. А именно:

  • системных администраторов – ущерб может затронуть всю корпоративную IT-инфраструктуру и все данные;
  • разработчиков – могут пострадать данные и непрерывность работы критичных бизнес-приложений;
  • топ-менеджеров – компания может понести потери, критичные для ее жизнедеятельности (например, злоумышленник подтверждает договоры от имени первого лица либо крадет особо чувствительную информацию);
  • финансистов – в зону риска попадают финансовые данные и доступ к счетам.

3.

Мониторьте состояние удаленных устройств

Работающие на «удаленке» сотрудники часто делают свои устройства уязвимыми для хакеров по неосмотрительности, например используют публичный WiFi в кафе или отеле. Получив доступ к компьютеру, злоумышленники копируют данные, а затем проникают в корпоративную сеть.

В этих случаях помогают программы для оценки состояния устройств (Posture Validation Server) и MDM-решения (Mobile Device Management) – их устанавливают вместе с VPN. Такой софт проверяет компьютер на наличие антивируса (со свежими обновлениями к нему) и фаерволла, а также оценивает безопасность сети Wi-Fi, из которой осуществляется подключение. Все эти данные автоматически отправляются с устройства удаленного сотрудника в компанию. Если программа замечает подозрительную активность, пользователь получает уведомление: «Ваш компьютер не соответствует требованиям безопасности. Обратитесь в техподдержку».

4.

Критические системы – только через «сервер-посредник»!

Привилегированным пользователям дают расширенные права доступа – они отвечают за работу корпоративной сети и серверов. Поэтому их работа на «удаленке» связана с повышенным риском. Здесь важно исключить прямой доступ привилегированного пользователя к корпоративным системам. Для этого между ним и инфраструктурой компании ставят программу-шлюз (терминальный сервер) – она использует устройство сотрудника как средство для удаленного подключения. Даже если хакеры взломают ноутбук разработчика или сисадмина, они получат лишь пароли для доступа на шлюз (а не от корпоративных систем), в сеть злоумышленникам будет не попасть. Разумеется, нужно позаботиться также о том, чтобы на устройствах привилегированных пользователей не хранилась критичная информация.

Некоторые компании устанавливают на терминальный сервер DLP-решения (Data Leak Prevention). Такой софт блокирует несанкционированную передачу данных, а также отслеживает работу сотрудников с помощью программы мониторинга действий.

Читать также

База клиентов: как защититься от кражи

5.

Контролируйте работу с данными на устройствах

Следить за тем, как сотрудники обращаются с корпоративными данными, можно тремя способами:

  1. Работа на корпоративных устройствах с теми же DLP-решениями – данные попадают на девайсы сотрудников, но переслать их в незащищенные локации нельзя. Этот способ связан с затратами на покупку устройств, поэтому компании прибегают к нему лишь в крайних случаях.
  2. Работа на личных устройствах с BYOD-программами – данные попадают на личные девайсы сотрудников, но обрабатываются в «контейнере» (корпоративных приложениях, которые можно отслеживать из компании). Такой софт не разрешает копирование, а в случае утери устройства или увольнения сотрудника – уничтожает все данные. Этот способ сейчас наиболее распространен: сотрудники могут работать из любой точки мира на своих девайсах, а компании не несут дополнительные расходы.
  3. Работа на любых устройствах через виртуальное рабочее место по модели Desktop as a Service (DaaS). В этом случае данные не покидают защищенный периметр, а все вычисления выполняются в облачной инфраструктуре провайдера. Устройство сотрудника здесь выступает лишь как средство отображения. Это безопасно, но не всегда удобно для тех, кто работает вне офиса, – иногда приходится обрабатывать документы на ноутбуках в режиме оффлайн (например в командировках или в самолетах).

Польза от удаленной работы превышает возможные риски – поэтому отказываться от нее вряд ли стоит. Достаточно просто организовать адекватную защиту и не забывать постоянно напоминать своим сотрудникам о правилах работы с корпоративными данными.

Темы
Cisco защита данных корпоративные данные менеджмент удаленная работа управление хакеры цифровая безопасность
Поделиться