BYOD бьет по безопасности
В ходе исследования "Лаборатории Касперского" выяснилось, что 85% сотрудников, работающих на малых предприятиях, используют для удаленной работы в период пандемии личные устройства. При этом 19% работников начали применять собственные устройства в бизнес-целях после перехода на дистанционный режим работы, а 54% отметили, что делали это и раньше.
Малым предприятиям сложно обеспечить весь штат необходимой техникой, поэтому в таких компаниях часто распространена политика Bring Your Own Device ("принеси своё устройство", BYOD). Однако применение стороннего оборудования может быть сопряжено с определёнными киберрисками. Если устройство сотрудника, подключённое к корпоративной сети, защищено недостаточно хорошо, то злоумышленники без труда доберутся до непубличных данных.
Ещё до пандемии предприниматели сообщали, что становились жертвами атак мошенников на персональные устройства работников. В ходе исследования "Лаборатории Касперского" это подтвердили 40% респондентов. Сегодня, в связи с ростом использования личных устройств и все более активным переходом бизнеса в цифровое пространство эти показатели могут даже ухудшиться.
В сложившейся ситуации компаниям следует повышать цифровую грамотность сотрудников и информировать их о таких базовых требованиях информационной безопасности, как наличие защитного решения на рабочем устройстве, использование надежных и уникальных паролей, регулярное обновление программ. Но подобные инструкции получали лишь 8% сотрудников малых организаций.
"По имеющейся у нас информации, во многих компаниях от 30% до 70 % работников используют личные устройства для обработки корпоративной информации", - сообщает директор экспертно-аналитического центра ГК InfoWatch Михаил Смирнов. "Обычно это происходит в компаниях, где удаленно, в том числе из-за командировок, работает небольшой процент сотрудников, а остальные работники используют не ноутбуки, а стационарные рабочие станции и не могут забирать их домой. В результате часто подключаются к ним с личных устройств, далее - к корпоративным ресурсам или напрямую к КИС с личных устройств. Нередко отсутствует VPN, хотя существуют как сертифицированные отечественные решения, так и условно бесплатные", - объясняет Михаил Смирнов. По его словам, по такой схеме риски существенно возрастают, так как личные компьютеры - это недоверенная среда, где часто отсутствуют СЗИ и наверняка средства предотвращения утечек. "Оптимальный вариант - служебные компьютеры с установленными СЗИ, с доверенной программной средой. Как и кто это будет решать - зависит от ценности информации и наличия средств на ее защиту у владельца. И конечно, главное - это люди, их компетентность, ответственность, лояльность", - считает Михаил Смирнов.
СЕО и сооснователь JivoSite Тимур Валишев рекомендует работать на отдельных устройствах и избегать использования домашних и личных девайсов для доступа к рабочим данным. По его словам, компания JivoSite полностью работает на удаленке уже восемь лет, и вся команда предельно внимательно относится к вопросам безопасности. "Если все-таки приходится работать с личного устройства, заведите учетную запись для рабочих целей, используйте менеджер паролей для доступа к системам, обращайте внимание на длительность сессии браузера после ввода пароля - должна быть не дольше рабочего дня. Это обезопасит вас не только от вмешательства злоумышленников, но и на случай, если кто-то из близких при пользовании домашним компьютером случайно проявит интерес к вашим рабочим делам", - советует Тимур Валишев. По его мнению, использование двухфакторной авторизации (например, Google Authenticator) - еще одна мера предосторожности. Он убежден, что даже если троян украдет сохраненные в браузере пароли, двухфакторная авторизация защитит доступ к данным ваших аккаунтов.
"Отдельного внимания заслуживает вопрос безопасности использования бесплатных мессенджеров для решения рабочих вопросов с коллегами. В таком случае переписка и файлы сохраняются на телефоне пользователя, и любой уволившийся сотрудник, даже если его исключили из чата, может без труда забрать переписку с собой. Мы увидели эту проблему и реализовали в нашем приложении командные чаты: переписка и все файлы хранятся на защищенных серверах, а не на устройствах сотрудников, а доступами управляет администратор и может в любой момент ограничить доступ к данным. К тому же в командных чатах Jivo только что добавленный сотрудник сразу получает доступ к коллегам в чате и может начать работу, не тратя время на добавление номеров коллег в телефон", - информирует Тимур Валишев.
Руководитель отдела экспертного пресейла продуктов и сервисов Solar JSOC компании "Ростелеком-Солар" Алексей Павлов сообщает, что риски безопасности увеличились значительно (особенно риски утечек и кражи информации), причем не только из-за личных девайсов, но и банально из-за использования корпоративных устройств за пределами компании. "На примере клиентов Solar JSOC мы видим кратный рост числа инцидентов, связанных с использованием личных устройств. Причина в том, что не все компании обеспечили сотрудников ноутбуками на время карантина и удаленной работы. При этом рабочие задачи по-прежнему необходимо выполнять", - делится информацией Алексей Павлов. По его мнению, самое опасное - отсутствие понимания угроз ИБ. В офисе служба информационной безопасности старается оградить сотрудника от всевозможных угроз, устанавливая антивирус, обновляя операционную систему, внедряя решения класса antispam, sandbox. Дополнительно все это защищается силами SOC. А дома пользователь остается один на один со злоумышленниками, и если раньше им было не так интересно взламывать домашние устройства, то теперь это вектор проникновения в корпоративную инфраструктуру.
"Необходимо обучать кибергигиене сотрудников, использовать решения по безопасному удаленному доступу в инфраструктуру и хотя бы оплатить сотрудникам антивирус для домашних устройств, раз уж они их используют", - советует Алексей Павлов. На его взгляд, угроза удаленных пользователей актуальна всегда, просто в период пандемии она стала массовой. Многие компании сделают выводы после произошедших инцидентов, но всегда будут те, кто считает, что "снаряд не попадает в ту же воронку".
"С начала введения режима самоизоляции многие компании в экстренном порядке были вынуждены переводить своих сотрудников в режим удаленной работы", - напоминает технический директор представительства Check Point Software Technologies в России и СНГ Никита Дуров. По его словам, для минимизации влияния сложившейся ситуации на бизнес организации активно масштабировали свои информационные системы, что в свою очередь привело к созданию дополнительных возможностей для киберпреступников. Положение осложнило еще и то, что многие сотрудники использовали личные устройства, что способствовало еще большему размытию периметра.
Никита Дуров напоминает, что, согласно результатам недавнего исследования Dimensional Research, 95% опрошенных ИТ- и ИБ-специалистов отметили, что обеспечение массового перевода сотрудников на удаленную работу привело к появлению дополнительных рисков информационной безопасности. Так, использование сотрудниками личных устройств в рабочих целях, для защиты которых не применяются корпоративные системы безопасности, стимулирует злоумышленников к осуществлению фишинговых атак или других методов социальной инженерии с целью получить данные учетных записей.
"Несмотря на то что режим самоизоляции будет завершен и компании вернутся к нормальной работе, активность злоумышленников продолжит расти. Более того, после карантина некоторые компании могут рассмотреть перевод своих сотрудников на удаленную работу на постоянной основе, так как это оказалось выгодным для компаний. Но это потребует пересмотра рисков информационной безопасности и доработки систем корпоративной защиты. Здесь могут помочь уже хорошо известные решения для защиты мобильных устройств по принципу BYOD, которые позволяют создать защищенные области для корпоративных данных и не запрашивать полный контроль над устройством пользователя", - делится мнением Никита Дуров.
Директор управления информационных технологий ESET Russia Руслан Сулейманов отмечает, что риски безопасности возрастают при подключении любого личного устройства к корпоративной сети. Кроме того, хранение и обработка документов компании с личного устройства делает их более уязвимыми для кибератак. "Концепция BYOD не является чем-то новым, уже довольно давно во многих технологичных компаниях сотрудник может использовать личное устройство для работы. Основное правило: инфраструктура компании должна быть готова к этому. Готовность подразумевает использование комплексных средств защиты, начиная от антивирусного ПО, заканчивая DLP-системами и системами управления конфигурацией ИТ-инфраструктуры. Ситуация с пандемией заставила многие компании без комплексной подготовки инфраструктуры в очень сжатые сроки разрешить многим сотрудникам доступ к корпоративной сети с личных устройств. Количество таких сотрудников возросло в разы, что, безусловно, создает дополнительные риски для безопасности компаний", - считает Руслан Сулейманов.
Он рекомендует использовать для минимизации рисков комплексные средства защиты, обязательно устанавливать на конечные устройства, подключаемые к сети компании, агенты корпоративного антивирусного ПО и DLP. "При подключении устройства к сети компании следует использовать шифрование и двухфакторную аутентификацию. Перед подключением устройства пользователя к сети компании обязательно проводить его аудит, в рамках которого проверять наличие последних одобренных обновлений безопасности для ОС и системного ПО. Для работы обязательно создавать на устройстве пользователя отдельный профиль пользователя в ОС. Идеальным вариантом будет использование технологии VDI: сотрудник со своего устройства подключается к отдельному "виртуальному" рабочему месту, которое работает внутри периметра компании и полностью находится под контролем ИТ-службы", - советует Руслан Сулейманов.
"У нас нет точных цифр, насколько увеличилось использование личных устройств для работы, но мы проводили исследование в мае, насколько люди были активны в социальных сетях в период карантина, насколько часто они использовали новые приложения. Согласно нашему исследованию, 43% россиян на карантине стали больше времени проводить в социальных сетях, чем до этого", - сообщает глава представительства компании Avast в России и СНГ Алексей Федоров.
Среди основных рисков, возникающих перед компанией в условиях новых реалий, он выделяет риск утери бизнес-информации и потерю финансовых данных. "Фактически компании теряют контроль над тем, что их сотрудники делают и что именно устанавливают на своих устройствах. На корпоративных устройствах компании могут самостоятельно обновлять программное обеспечение, ограничивать загрузку и использование приложений, ограничивать посещаемые сотрудниками сайты при подключении к корпоративной сети. Когда сотрудник использует личное устройство, сохраняются риски того, что сотрудник будет использовать программы с уязвимостями или скачает вредоносную программу, из-за которой злоумышленники получат доступ к бизнес-информации", - считает Алексей Федоров.
Он отмечает, что не у всех компаний есть возможность обеспечить каждого сотрудника корпоративным устройством. Однако Алексей Федоров советует создать на это время ИТ-команду, которая будет поддерживать каждого сотрудника, консультировать его, помогать настроить удаленное рабочее место, скачивать и устанавливать новые сервисы, которая также сможет узнать, каким устройством пользуется сотрудник, какой его версией, есть ли уязвимости у этой версии. Алексей Федоров уверен, что в такой ситуации, сотрудники, в свою очередь, будут знать, к кому им можно обратиться за помощью, и не будут следовать советам из Сети и устанавливать программы из сомнительных источников.
Руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин сообщает, что, согласно исследованию Positive Technologies, которое основано на результатах опроса сотрудников ИТ- и ИБ-подразделений компаний в России и СНГ, только 11% респондентов указали, что удаленный доступ в их организации организован именно из-за введения режима самоизоляции во время пандемии. Как отмечает Евгений Гнедин, 41% опрошенных отметили, что такой доступ уже использовался в их компании ранее для отдельных сотрудников, а во время эпидемии коронавируса его пришлось масштабировать на всю организацию. При этом 80% респондентов подтвердили, что в их компании либо часть сотрудников, либо все работники используют для работы личные компьютеры и ноутбуки. Это характерно не только для малого бизнеса, но и для средних и даже крупных компаний.
"Риски кибербезопасности при работе с личного устройства обусловлены в первую очередь невозможностью обеспечить должный уровень защищенности таких устройств силами ИТ- и ИБ-подразделений. Кроме того, невозможно организовать мониторинг событий безопасности или контролировать действия сотрудника. По факту ответственность за сохранность корпоративных данных ложится полностью на плечи владельца устройства. Маловероятно, что, работая с личного ноутбука, сотрудник самостоятельно позаботится о разделении рабочей среды и личной, будет следить за регулярным обновлением всех систем. Еще менее вероятно, что сотрудник сможет обнаружить и пресечь кибератаку. Повезет, если на таком устройстве установлен хотя бы антивирус. Если зараженное устройство будет подключено в сеть компании, заражение может распространиться на всю инфраструктуру организации. Компаниям необходимо учитывать эти угрозы", - информирует Евгений Гнедин.
Он советует при недостаточности бюджета в первую очередь обучить сотрудников правилам кибергигиены, безопасной работе в интернете, объяснить, как отличить фишинговое письмо от легитимного. "Если компания не может закупить корпоративные ноутбуки для своих сотрудников, нужно хотя бы обеспечить их современными антивирусными решениями для защиты конечных точек. Стоит взять за правило, чтобы сотрудники включали шифрование жесткого диска на своем устройстве. Чтобы снизить риск утечки корпоративной информации с личных устройств, компании могут организовать терминальный доступ к системам внутри организации, где будут обрабатываться эти данные, и запретить сотрудникам работать с этой информацией на личных компьютерах. Естественно, все удаленные подключения должны осуществляться по защищенным каналам, с использованием стойких паролей", - рекомендует Евгений Гнедин.
"Сейчас многие организации только возвращаются к привычному ритму работы. Но полученный опыт экстренного перевода работников на удаленку будет обязательно учтен. Можно предположить, что возможность удаленной работы не будет отменена в большинстве компаний, как минимум для части сотрудников. Какие-то организации и вовсе захотят переводить весь штат на удаленную работу, создавать распределенные команды. Небольшим компаниям это поможет сократить затраты на аренду помещений, оплату электроэнергии и прочие расходы. Ввиду сложной экономической ситуации они вряд ли смогут вкладывать средства в закупку корпоративных ноутбуков, а значит, использование личных устройств может только участиться", - считает Евгений Гнедин.
Такого же мнения придерживается и Руслан Сулейманов. По его словам, тенденция на увеличение доли сотрудников, которые используют собственные устройства для работы с корпоративными данными, является устойчивым трендом. По итогам пандемии, по мнению Руслана Сулейманова, многие компании пришли к выводу, что большая часть сотрудников может вполне эффективно работать в режиме "хоум-офиса" со своих устройств. Поэтому количество сотрудников, которые будут работать с данными компании, используя различные технологии удалённого подключения, будет расти. "Надо быть готовым к тому, что формат удалённой работы станет не какой-то преференцией и чем-то необычным, а вполне доступным форматом работы для многих категорий сотрудников", - говорит Руслан Сулейманов
Другой прогноз дает Алексей Федоров. "Скорее всего, такая тенденция будет продолжаться до тех пор, пока не закончится карантин и мы все не выйдем в офисы. Жизнь вернется в прежнее русло, люди будут меньше использовать личные гаджеты для работы, и риски снизятся", - считает эксперт.