Разберём перечисленные ниже ситуации и как следует действовать в них.
1. Пользователь работает из дома на персональном компьютере. Обслуживает его сам. Ставит то ПО, которое ему больше нравится, не имея квалификации или опыта, чтобы проверить на безопасность. В результате его рабочее место открывает брешь в корпоративной защите. Либо пользователь заражает корпоративную сеть вирусами, либо легкомысленным поведением упрощает проведение взлома. Что делать?
Ситуация в принципе нереальная. Согласно положений Трудового кодекса именно работодатель обеспечивает работников оборудованием, инструментами, технической документацией и иными средствами, необходимыми для исполнения ими трудовых обязанностей[1]. Это справедливо и для «удаленщиков». Новые поправки к ТК РФ обязывают работодателя обеспечивать дистанционного работника необходимыми для выполнения им трудовой функции оборудованием, программно-техническими средствами, средствами защиты информации и иными средствами[2]. Правда, дистанционный работник вправе с согласия или ведома работодателя и в его интересах использовать для выполнения трудовой функции, принадлежащие работнику или арендованные им оборудование, программно-технические средства, средства защиты информации. Здесь ключевое слово «с согласия или ведома работодателя», так как ТК РФ кроме того обязывает в этом случае работодателя выплачивать работнику компенсацию за использование принадлежащих ему или арендованных им оборудования[3].
Ну, а если работник все-таки использует свой личный компьютер без согласования с работодателем? В этом случае работник нарушил не только трудовую дисциплину, установив на свой компьютер ПО, которое ему понравилось, но и политику корпоративной безопасности информации и тем самым создал предпосылки для утечки и разглашения конфиденциальной информации, принадлежащей работодателю. Это еще серьезнее[4]. Рачительный хозяин всегда заботится о своем добре, в том числе и о своих информационных ресурсах. Поэтому он, пользуясь своим правом, может и обязан контролировать правила использования своего добра. А как это сделать, если работник на «удаленке»? Нужна специальная программа, которая контролирует (мониторит) состояние удаленного компьютера. Это не возбраняется законом, но требует специального порядка: нужен локальный нормативный акт, который закрепляет за работодателем право распоряжаться своими информационными активами и обеспечивать их защиту законными методами, а работника обязывает строго соблюдать установленные правила.
2. Пользователь выходит на работу после «удалёнки», со своим корпоративным ноутбуком, в котором уже «поселились» домашние вирусы. И неумышленно переносит их в корпоративную сеть. Как это можно предотвратить?
Что мы делаем, когда надо к офисному компьютеру подключить кем-то принесенную флешку? Правильно, мы ее перед подключением обязательно проверим на наличие вирусов. Это правила хорошего тона. Но! Поздно пить боржоми, когда почки отвалились. Если работник пришел с «удаленки» с зараженным компьютером, то уже поздно что-то делать. Ведь он уже подключался к сети из дома и, естественно, если его компьютер был заражен, можно с уверенностью сказать, что и корпоративная сеть уже заражена.
Чтобы не допускать такой ситуации, необходимо постоянно контролировать состояние компьютера работника со стороны информационной сети и при наличии даже подозрения на какие-либо аномальные явления, необходимо не допускать этот компьютер к ресурсам сети. Решение, кажется, на поверхности. Надо провести инвентаризацию удаленного компьютера, создать некий его профиль и в дальнейшем с периодичностью отслеживать его состояние, настройки, конфигурацию, целостность. Проще говоря надо в режиме реального времени проводить мониторинг:
- ГДЕ находится компьютер
- КАК подключается компьютер
- ЧТО установлено на компьютере
- ЧТО запущено на компьютере
- ЧТО делает работник
Но пассивное наблюдение вряд ли даст положительный эффект. Необходимо не только контролировать, но и иметь возможность управлять рабочим местом. Администратор безопасности должен иметь инструмент позволяющий в момент подключения удаленного компьютера к информационной системе, контролировать состав аппаратного и программного обеспечения удаленного компьютера, определять тип и состав зарегистрированных USB устройств, проверять запущенные в операционной системе процессы и доступность сетевых сред, работу антивирусных средств, уметь регистрировать любые события, влияющие на безопасности рабочего места и, в частности, регистрировать любые изменения в аппаратной и программной среде, нарушения правил информационной безопасности. Такой инструмент должен позволять указать строгий перечень разрешенных к использованию «удаленщиками» устройств и программного обеспечения и проводить отслеживание нежелательных изменений в реальном времени. Другими словами, оберегать «удаленщика» от небезопасных действий.
3. Ваш сотрудник возвращается на работу в компанию, но без ноутбука, который ему выдали для работы на удаленном доступе. Объясняет, что где-то потерял его, или его украли... вместе со всеми корпоративными доступами и данными, настройками VPN, которые теперь находятся неизвестно где и у кого. Как застраховаться от угроз при потере корпоративного ноутбука?
Тяжелый случай! Но, к сожалению, такое развитие событий встречается. Рабочий компьютер, используемый для исполнения трудовых функций, является активом, принадлежащим работодателю. И работник обязан не только бережно относиться к имуществу работодателя (в том числе к имуществу третьих лиц, находящемуся у работодателя)[5], но и возместить причиненный ущерб работодателю[6]. Правда, это вряд ли позволит восстановить утраченные свойства ценной информации. Например, свойство конфиденциальности. Это свойство, как триггер, либо оно есть, либо его нет. Третьего не дано (действительно, нельзя же быть чуточку беременной). Причем, утрата этого свойства иногда носит латентный характер: обладатель информации может и не догадываться, что конфиденциальность утрачена – ведь на самой информации не написано, что с ней ознакомился кто-то, кому этого делать было нельзя. А делал-то он это скрытно. И уж если конфиденциальность утрачена, то это уже навсегда. Восстановлению конфиденциальность не подлежит.
Что же можно сделать в этой ситуации? По всей видимости, наиболее эффективным способом будет концентрация всей ценной информации в защищенном сегменте, например, на сервере в пределах защищаемой зоны. Но как в этом случае работать «удаленщику»? Здесь потребуются некоторые усилия. Организуем терминальный доступ. В пределах закрытого сегмента информационной системы выделяем сектор, где будет храниться наша информация. Затем формируем несколько виртуальных машин. Организуем доступ «удаленщика» к своей виртуальной машине. А дальше все просто. На удаленном компьютере обработка информации не производится, это все происходит на виртуальной машине в режиме терминального доступа. Следовательно, никакая ценная информация на удаленном компьютере не хранится и «потеряться» не может. Остается только защитить канал взаимодействия с помощью, например, VPN. Правда, при этом не надо забывать об усиленной аутентификации (и желательно с разделяемым секретом), мониторинге за настройками удаленного компьютера и отслеживанием его местоположения (геолокации).
Ну, а если «удаленщику» все-таки надо хранить информацию на своем удаленном компьютере? В этом случае не обойтись без специальных программ шифрования диска «на лету». Сейчас на рынке достаточно много таких программ, в том числе и реализующих отечественные ГОСТы шифрования, что позволяет обеспечить защиту информации в соответствии с нормативными документами и законом. Но и в этом случае не будем забывать о постоянном мониторинге состояния удаленного компьютера и его геолокации для оперативной возможности изменения прав доступа к корпоративным ресурсам.
4. Пользователь использует для работы публичные облачные системы. Все его данные для удобства выгружены в облако, безопасность которого может быть отнюдь не безоблачной. Аналогичная ситуация с облачными бесплатными почтовыми системами и другими сервисами. Что можно посоветовать сотруднику, кроме запрета на пользование облачными сервисами?
Ничего! Только запрет! Дело в том, что защитить открытую систему, в которую может войти кто хочет и делать что хочет по определению – нельзя! Любая защита строится на том, что каждому субъекту назначаются определенные права доступа к тем или иным ресурсам, приложениям, операциям и проверкой этих прав при выполнении операций (везде контроль и учет). Если же мы не знаем кто есть кто, то, естественно, и контролировать действия мы не можем.
Но, не будем путать работу в публичных облаках, таких как Google, с использованием услуг облачного провайдера для развертывания ИТ-инфраструктуры организации. То есть когда организация не хочет по каким-то причинам строить свою ИТ-инфраструктуру, а использует для создания своей информационной системы готовую инфраструктуру ЦОД облачного провайдера. Сейчас это очень популярно, но это суть разные вещи. Здесь уже нельзя говорить о публичном облаке, это скорее частное облако. И правила здесь другие. Да, получая услуги облачного провайдера и используя инфраструктуру его ЦОД, организация не может получить полного контроля и обеспечить самостоятельно все процессы обеспечения безопасности информации. Однако, как правило, услуги провайдера (например, на условиях IaaS) предоставляются на договорной основе. А договор в этом случае должен предусматривать обязанность провайдера выполнить свою часть защиты информации: выделение инфраструктуры организации в отдельный сегмент (пусть и виртуальный), защиту периметра, защиту гипервизора, защиту от DDOS-атак и прочее. Ну а обеспечение защиты информации в пределах выделенного сегмента – это уже головная боль самой организации.
5. Пользователь не имеет собственного компьютера и в компании не предусмотрена выдача ноутбука. У него есть планшет и крутой смартфон — посмотреть почту, ответить на сообщение в чате. А когда нужно поработать, он идет в интернет-кафе, в университет, в библиотеку или в гости к другу, у которого есть компьютер, в общем, ищет, где можно поработать за клавиатурой. Тем самым он невольно провоцирует риск распространения конфиденциальной информации, создания брешей в системе корпоративной защиты и других нежелательных ситуаций. Каким образом компания может снизить подобные риски?
Как в сказке, чем дальше, тем страшнее. Опять надо вспомнить положения Трудового кодекса. Как уже было отмечено, именно работодатель обеспечивает работников оборудованием, инструментами, технической документацией и иными средствами, необходимыми для исполнения ими трудовых обязанностей[7]. Это справедливо и для «удаленщиков»[8]. Это именно обязанность, а не право работодателя и если он этого не сделал, то в этом случае работник может обратиться в комиссию по разрешению трудовых споров, в Государственную инспекцию труда или разрешит проблему через суд[9]. Да и работа из Интернет-кафе, библиотеки или от друга может рассматриваться как нарушение трудовой дисциплины, так как указание места работы является обязательным условием трудового договора[10].
Другое дело, если работодатель принял решение о возможности использования в рабочих целях планшет или крутой смартфон работника и договорился с ним об этом (лучше в письменной форме). Это при соблюдении определенных условий (выплаты компенсации) вполне возможно. В этом случае потребуется использование специальных средств класса MDM (Mobile device management), которые предоставляют набор сервисов и технологий, обеспечивающих контроль и защиту мобильных устройств, используемых организацией и её сотрудниками. Такие MDM-решения состоят из двух частей: контрольного центра и клиентского программного обеспечения, которое включает средства шифрования, позволяющие обеспечить конфиденциальность данных, а также ряд инструментов, предназначенных для удалённого мониторинга и управления устройством.
6. Какие из программно-аппаратных средств защиты вам кажутся наиболее подходящими для гибридного формата работы? Почему?
Что русскому здорово, то немцу – смерть. Выбор наиболее подходящих средств защиты зависит от многих условий: масштаба сети, применяемых технологий обработки информации, состава самой информации и еще многих других параметров. Это конечно же решения класса CASB (Cloud Access Security Broker), разработанные в целях отслеживания, обеспечения соответствия требованиям, защиты данных и противодействия угрозам, решения типа EDR (Endpoint Detection and Response), предназначенные для защиты удаленных компьютеров (конечных точек) от сложных угроз (обнаружение и предотвращение скрытых процессов, полный мониторинг компьютера, управление рабочим местом), уже упоминаемое решение MDM (Mobile device management) по управлению мобильными устройствами и еще целый ряд различных решений. Но в любом случае, крайне необходимо организовать тщательный мониторинг состояния удаленных рабочих мест.
Сейчас на рынке имеются средства мониторинга состояния безопасности информации. Но, это, как правило, достаточно большие и дорогие комплексы, имеющие очень большой и, зачастую, избыточный перечень функций. Для их настройки и эксплуатации требуются высококвалифицированные специалисты и постоянное обращение к специализированным мониторинговым фирмам, способным правильно выработать правила обнаружения инцидентов безопасности информации. Это не всегда по карману бизнесу, особенно если он входит в SMB-сегмент. Но есть на рынке и недорогие, простые в обслуживании и не требующие специально обученных людей системы, которые имеют гибкую настройку параметров контроля и создания правил контроля для каждого компьютера, позволяет визуализировать динамику результатов мониторинга. Примером такой недорогой, но эффективной системы может служить программный комплекс «САКУРА», который является неотъемлемой частью самой информационной системы: он находится внутри ее. Это своеобразный нерв информационной системы, который моментально реагирует на любые отклонения от установленных параметров и, при необходимости, блокирует проблемный участок информационной системы. Комплекс «САКУРА» выполняет роль элемента априорной защиты, он позволяет получать актуальную информацию и историю изменения рабочих мест, анализирует «поведенческую модель» сотрудника, проводит аудит доступа к компьютеру, запрещает использование нежелательных программ и уведомляет о возможных рисках. Комплекс позволяет контролировать:
- геолокацию компьютера и структуру информационной сети
- состав программного и аппаратного обеспечения
- параметры настройки операционной системы, версионность, обновления
- установку, настройку, актуальность прораммного обеспечения
- наличие, актуальность и настройки средств защиты информации
- тип и состав подключенных USB устройств
- запущенные в операционной системе процессы
- Logon/logoff пользователей
Ну, и еще одно преимущество комплекса «САКУРА». Это не DLP-система. Комплекс не проводит контекстный анализ сообщений и обрабатываемой информации и поэтому, при установке его агента на компьютере «удаленщика», не нарушает его прав на обеспечение неприкосновенности частной жизни.
[1] ТК РФ Статья 22. Основные права и обязанности работодателя
[2] ТК РФ Статья 312.6. Особенности организации труда дистанционных работников
[3] ТК РФ Статья 312.6. Особенности организации труда дистанционных работников
[4] УК РФ Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну
[5] ТК РФ Статья 21. Основные права и обязанности работника
[6] ТК РФ Статья 248, часть 2, Порядок взыскания ущерба
[7] ТК РФ Статья 22. Основные права и обязанности работодателя
[8] ТК РФ Статья 312.6. Особенности организации труда дистанционных работников
[9] ТК РФ Статья 391. Рассмотрение индивидуальных трудовых споров в судах
[10] ТК РФ Статья 57. Содержание трудового договора
С. Вихорев,
Советник Генерального директора
ООО «ИТ-Экспертиза»