Работа из дома: техника безопасности

Рассказываем, на что следует обратить внимание при переводе сотрудников на работу из дома.

В связи с эпидемией коронавирусной инфекции COVID-19 многие компании переводят своих сотрудников на работу из дома. В том числе и те, которые раньше даже не задумывались о возможности такого режима или и вовсе были принципиальными его противниками. А это значит, что у них вряд ли есть готовое решение для работы из дома, и они вряд ли серьезно продумывали киберугрозы, появляющиеся в связи с переходом части сотрудников на удаленную работу. Мы попытаемся восполнить этот пробел, а заодно объяснить, как можно минимизировать риски.

На первый взгляд, единственное, что меняется для офисного работника — это количество личных встреч с коллегами. Но если задуматься, то меняется очень многое: каналы связи, оборудование, круг лиц, которые к этому оборудованию имеют доступ, процедуры работы с данными, иногда даже инструменты для совместной работы.

Каналы связи

Когда ваши сотрудники работают из локальной сети, весь процесс обмена данными проходит под контролем ваших защитных решений. При работе из дома в это уравнение добавляются дополнительные неизвестные — сети интернет-провайдеров. А о том, как безопасность обеспечена у них, вы не знаете ничего. В отдельных случаях домашний Интернет подключается через домовые сети, где кроме вашего работника может сидеть и потенциальный злоумышленник. Короче говоря, это такие каналы связи, которым корпоративные секреты лучше не доверять.

Решение. Если ваши сотрудники должны удаленно подключаться к корпоративным ресурсам, то в ваших интересах обеспечить их надежным VPN-сервисом. Он позволит создать зашифрованный канал связи между рабочей станцией и вашей инфраструктурой и защитит корпоративные данные от вмешательства. Более того, подключение к корпоративным ресурсам из внешней сети без VPN должно быть невозможным.

Установившийся распорядок

Если раньше можно было подойти к коллеге и обсудить с ним рабочий вопрос, то теперь это придется делать удаленно. А это означает рост объемов переписки, появление новых адресатов (это люди, с которыми раньше приходилось общаться только лично), короче говоря, изменение привычной для сотрудника рутины. Теоретически это дает злоумышленнику больший простор для манипуляций. В частности, для проведения BEC-атаки. Просто за счет того, что на фоне общего моря корпоративной переписки очередное письмо с просьбой переслать кому-то какие-то данные может показаться сотруднику вполне нормальным и вообще не подозрительным. Да и в целом  домашняя обстановка на многих действует расслабляюще.

Решение. Во-первых, несмотря на работу из дома, все сотрудники должны использовать только рабочую почту. Это по крайней мере сделает очевидной попытку злоумышленника вступить в диалог от лица сотрудника, просто зарегистрировав почту на постороннем домене.  Во-вторых, нужно убедиться, что ваши почтовые серверы защищены технологиями, способными выявлять попытки подмены отправителя письма. В наших решениях — как для почтовых серверов, так и для защиты Microsoft Office 365 — такие технологии имеются. Ну и в-третьих, перед отправкой сотрудника домой стоит провести ликбез по возможным киберугрозам.

Инструменты коллаборации

Лишившись возможности общаться лично, сотрудники, вероятно, начнут использовать какие-нибудь произвольные решения для совместной работы. А они могут оказаться не самыми надежными. Плюс к этому, такие сервисы нужно настраивать с умом. Например, документ GoogleDocs с неправильно настроенными доступами может быть проиндексирован поисковым сервером и стать источником утечки корпоративных данных. То же самое может случиться и с данными в облачных хранилищах файлов. Источником утечки может послужить и среда совместной работы типа Slack: случайно добавленный туда посторонний человек может получить доступ ко всей истории переписки и файлам.

Решение. По-хорошему, в ваших интересах подобрать подходящую по уровню безопасности и функциям среду для коллаборации. В идеале — допускающую регистрацию только по корпоративной почте. При этом стоит назначить ответственного сотрудника, который занимался бы администрированием этой среды: выдачей и, главное, отзывом прав. Ну и самое главное — прежде чем разрешить сотрудникам работать из дома, стоит провести инструктаж (пусть даже и заочный) и настоятельно порекомендовать им использовать только развернутую у вас (или одобренную вами) систему коллаборации. Также нелишне будет напомнить, что он в ответе за сохранность корпоративных секретов.

Оборудование

Как правило, не у всех сотрудников есть доступ к корпоративным мобильным компьютерам. А с мобильного телефона можно решить не любую задачу. Поэтому не исключено, что они могут попробовать воспользоваться домашними компьютерами. Для компаний, в которых не используется политика BYOD, это может стать серьезной угрозой.

Решение. Во-первых, если уж сотрудникам приходится работать из дома, то лучше по возможности обеспечить их корпоративными лэптопами и телефонами. И все эти устройства, разумеется, должны быть защищены при помощи соответствующих решений. Причем эти решения должны обеспечивать возможность удаленного уничтожения корпоративной информации, разделения личных и корпоративных данных и ограничения установки приложений. По-хорошему, они также должны проверять наличие последних критических обновлений ПО и операционной системы.

Если же по каким-то причинам сотрудникам приходится использовать личные устройства, то самое время развернуть у себя политику BYOD, в рамках которой возможно управлять корпоративными данными на личных устройствах — например, создавая отдельные разделы для деловых и личных данных. Помимо этого, следует настоятельно рекомендовать установку домашних антивирусных программ, хотя бы бесплатных. В идеале — позволять подключать такие устройства к корпоративным сетям только после проверки на наличие защитного решения и свежих обновлений операционной системы.

Доступ к оборудованию

Вы никогда точно не знаете, в каких условиях живут ваши сотрудники. Кто ходит у них за спиной, когда они работают, и что может произойти с их компьютером, когда они отойдут на кухню налить чай. Если сотрудник честно выполняет предписание сидеть дома, где кроме него особо никого нет, — это одно. Если же он по привычке не закрывает крышку ноутбука в кафе или в коворкинге, риски утечек или компрометации намного больше.

Решение. По большому счету, основная часть этих проблем решается политиками безопасности. Они должны предусматривать обязательное использование пароля и обязательную автоблокировку экрана. Кроме того, уже упомянутые тренинги по повышению осведомленности должны помочь сохранять общую бдительность.

Вебинар

Наши эксперты планируют 18 марта провести вебинар (на английском языке) на тему обеспечения безопасности удаленной работы. Приглашаем вас присоединиться к обсуждению, зарегистрировавшись на BrightTalk.

13.03.2020