Удаленка: новая реальность и новые риски
В начале 2020 г. ИТ-отделы вынуждены были «в пожарном порядке» модернизировать или создавать с нуля инфраструктуру обеспечения удаленной работы. Это привело к серьезному росту рисков в области кибербезопасности. Из-за нехватки времени и ресурсов многие риски были недооценены или даже проигнорированы. А злоумышленники, видя новое поле деятельности, наоборот, активизировали свои усилия.
Большинство экспертов по безопасности, ИТ-специалистов и руководителей понимают, что пандемия привела к снижению уровня безопасности. Факторы неожиданности и спешки повлияли на безопасность удаленной работы. Почти три четверти (74%) руководителей по безопасности, опрошенных Forrester Consulting, говорят, что причина многих недавних кибератак - уязвимости в технологиях, развернутых во время пандемии. Более 55% крупных компаний недостаточно эффективно предупреждают кибератаки, а также слишком медленно обнаруживают и устраняют уязвимости, говорится в исследовании Accenture «State of Cybersecurity Resilience 2021», вышедшем в ноябре 2021 г.
Согласно отчету Forrester, около 67% кибератак на предприятия нацелены сегодня на удаленных сотрудников. Стремление к удаленной работе потребовало новых инструментов, но у работодателей не было времени проверять их на предмет безопасности.
С начала пандемии COVID-19 замечен рост количества мошеннических электронных писем, попыток фишинга и спама в корпоративной электронной почте. В ответ на это «в рабочем порядке» компании закрывали бреши в безопасности, исправляли недостатки в своей ИТ-инфраструктуре и адаптировали меры и правила ИТ-безопасности к новым угрозам.
«В- --»
«Человеческому фактору», хуже формализуемому, чем внедрение средств ИБ, вообще уделялось внимания меньше, чем следует, считает Сергей Хомяков, генеральный директор компании Poly в России и СНГ. «Главная ошибка, которую могут совершить (и часто совершают) организации при переходе к удаленному или гибридному формату работы - это выраженный акцент на технологиях, - говорит он. По мнению. Сергей Хомякова для того, чтобы воспользоваться всеми преимуществами гибридной работы, необходимо «помнить не только о технологиях, но и о людях», только тогда гибридная модель принесет максимальную отдачу.
Согласно подавляющее большинство респондентов (81%) уверены, что они по-прежнему могут эффективно работать из дома, но 19% опрошенных считают, что новые меры и правила ИТ-безопасности снижают их производительность. Это вдвое выше, чем в 2020 г.
Позволяют ли корпоративные правила ИТ-безопасности эффективно работать из дома?
По данным Deloitte, большинство респондентов считают, что они по-прежнему могут эффективно работать из дома. Но 19% заявили, что новые меры и правила ИТ-безопасности снижают их производительность.
Компании могут противостоять этой тенденции, улучшая свою ИТ-инфраструктуру и меры безопасности. Также могут помочь упрощение и стандартизация правил и руководств, обучение сотрудников.
Однако представители более чем двух третей опрошенных компаний заявили, что им трудно найти правильный баланс между гибкостью и безопасностью для удаленных сотрудников. Согласно исследованию PwC «COVID-19 CFO Pulse Survey», для 41% финансовых руководителей влияние на сотрудников/снижение производительности входит в тройку основных проблем, вызванных пандемией COVID-19.
Многие сотрудники необдуманно подходят к выбору устройств для работы из дома, что создает угрозу безопасности. Они подключаются к домашним сетям, в которых находятся плохо защищенные домашние устройства. Кроме того, по данным Forrester, 80% руководителей служб безопасности и бизнеса заявили, что сталкиваются с повышенным риском безопасности удаленной работы из-за переноса критически важных функций в облако.
Ученье - свет. Но неученых - тьма
То, что компаниям необходимо вкладывать средства в более совершенные технологии ИБ и соответствующее обучение персонала кажется банальностью, поскольку, в противном случае, сотрудники становятся легкой мишенью для фишинговых атак и методов социальной инженерии, даже находясь внутри защищенного корпоративного периметра. Однако опросы, проведенные антивирусной компанией Eset и ассоциацией CompTIA несколько лет назад, показали, что более 30% сотрудников не прошли обучение по вопросам кибербезопасности в своей организации, и только половина компаний проводит его на постоянной основе.
С переходом на удаленку ситуация не улучшилась. Так, опрос, проведенный IBM в Великобритании в 2020 г., показал, что 39% нарушений, связанных с сотрудниками, были вызваны вредоносным ПО, случайно загруженным по мошенническим ссылкам. Второе место занимают фишинговые атаки, на долю которых пришлось 35% заражений.
Согласно данным упомянутого опроса Deloitte, при переходе на удаленный режим работы 42% сотрудников не прошли никакого дополнительного обучения в области ИБ.
Проводил ли ваш работодатель обязательное обучение/повышение осведомленности для безопасной работы из дома?
Это удивительно, но 42% сотрудников, переведенных на удаленный режим работы, не получили никакого дополнительного образования в области ИБ (можно было давать более одного варианта ответа).
Насколько эффективно «чисто онлайновое» обучение - вопрос спорный. Конечно, оно лучше, чем ничего, однако если базовые знания не были даны сотрудникам заранее и не были проверены в очном режиме, то эффективность дистанционного обучения ИБ «с нуля» может оказаться низкой.
Безопасность в комплексе
За последние два года появилось множество рекомендаций относительно того, как обеспечивать безопасность при удаленной работе, как в техническом аспекте, так и в организационном.
Обучение ИБ должно включать полный спектр тем, связанных с кибербезопасностью, охватывая все возможные темы: вредоносное ПО, фишинг, управление логинами и паролями, защиту данных, шифрование, безопасность домашней сети, подключение к корпоративной сети через VPN, безопасность конечных точек.
Многие сотрудники используют «теневые ИТ», решения, которые не видны ИТ-администраторам компании и ее службам ИБ. Как правило, это облачные приложения и хранилища, используемые для совместной работы над документами. До пользователей необходимо донести информацию об их потенциальной уязвимости.
В целом использование облачных сервисов должно основываться на детальной оценке рисков. На основе этих оценок рисков с учетом критичности систем и данных, передаваемых в облако, должны быть реализованы эффективные механизмы контроля безопасности с полным использованием соответствующих облачных средств, таких как средства контроля доступа, управление идентификацией и доступом, а также ведение журналов и мониторинг.
Небезопасные «конечные точки», например, на которых не установлены последние обновления, и слабая проверка подлинности при удаленном доступе - два основных элемента, которые увеличивают риск кибератак. Аутентификация по паролю без второго фактора считается слабой в контексте удаленного доступа. Соблюдение требований к надежному паролю также остается важной проблемой.
Особое внимание надо уделять доступу к критически важным системам и информации. Обычно, доступ к ним извне не разрешен или разрешен очень узкому кругу сотрудников. Для обеспечения безопасной работы таких систем (или с такой информацией) нужно внедрять дополнительные меры безопасности. Например, пользователи, которые подключаются к критическим системам, должны работать только с использованием корпоративных контролируемых устройств, а конфиденциальные данные не должны храниться локально.
Телеконференции следует проводить на проверенных платформах и защищать от несанкционированного доступа. Поскольку в ВКС передается и совместно используется средствами больший объем конфиденциальной информации, оценка уязвимости перед крупномасштабным развертыванием систем видеоконференцсвязи имеет решающее значение. Кроме того, участники телеконференции должны быть аутентифицированы как техническими, так и процедурными средствами, например, с использованием PIN-кодов и согласования фактических участников со списком приглашенных.
Должен быть реализован надежный контроль над конфигурациями на обоих концах удаленного соединения. Например, у сотрудников не должно быть административных прав на рабочих ноутбуках, должны быть установлены усиленные конфигурации безопасности и современные решения для обеспечения безопасности конечных точек, параметры безопасности подключения должны соответствовать передовым практикам, а корпоративная инфраструктура удаленного доступа - строго контролироваться. Хорошей практикой является сканирование устройств, устанавливающих удаленное соединение, на соответствие требованиям безопасности.
Следует понимать, что текущие планы - не временные меры, а новая основная операционная модель на обозримое будущее.