Сотрудники «на удалёнке». Чем опасна массовость и экстренность ситуации

6 мая, 2020

Сотрудники «на удалёнке». Чем опасна массовость и экстренность ситуации

Традиционно финансовые компании — ​одни из самых технически продвинутых в ИТ и ИБ. Они владеют развитыми инфраструктурами, которые поддерживают и развивают постоянно. Это приводит к тому, что внимание к вопросам удалённого доступа — ​как для внутренних сотрудников, так и для внешних подрядчиков — ​в банковском секторе всегда сильное и не ослабевает.

 

УДАЛЁННЫЙ ДОСТУП В БАНКАХ: ОРГАНИЗОВАТЬ НЕЛЬЗЯ ОТМЕНИТЬ

Возможность манёвра ресурсами технических специалистов, быстрого разрешения проблем в распределённом хозяйстве банка — ​удобна и позволяет решать задачи бизнеса лучше.

Понятно, что этот подход имеет и недостатки: система становится зависимой от надёжной работы сетевой инфраструктуры и от внешних специалистов. Существуют значимые риски информационной безопасности, связанные с доступом в периметр. Для управления данными угрозами наработаны стандартные компенсирующие меры, разработаны и поддерживаются стандарты безопасности, в т. ч. по требованиям соответствующих регуляторов. Банковские организации обязаны принимать во внимание требования нескольких регуляторов, в части, их касающейся: это и вопросы, связанные с персональными данными, и меры в соответствии с требованиями Банка России, также актуальны вопросы, касающиеся тематики ключевой информационной инфраструктуры.

Как только мы пытаемся совместить вопросы соответствия требованиям регуляторов с привычными ИТ-практиками, возникают очевидные сложности. Как минимум, это финансовые и административные затраты — ​процессы категорирования, аттестации, применения мер защиты не очень просты и значимо затратны. Кроме того, требований много, они не всегда хорошо совместимы между собой и с объективной реальностью — ​соответственно, реальности приходится «подвинуться».

Особенно это заметно в вопросах, связанных с удалённым доступом, где требования к мерам защиты и организационному их обеспечению вырастают настолько, что первой реакцией становится — ​вообще закрыть все возможности работать удалённо. При этом работа с современной инфраструктурой чаще всего подразумевает необходимость дистанционного режима. Развитые инфраструктуры, как правило, большие и распределённые, а обычно ещё и зависят от той или иной платформы виртуализации, так что непосредственное взаимодействие с техникой(оборудованием) отсутствует как таковое.

Общее направление мысли регуляторов можно только приветствовать, но практическая реализация требует изрядной гибкости ума и способности так организовать инфраструктуру и описать её формально, чтобы конфликты с формальными требованиями были минимизированы. По сути, регуляторы в мудрости своей требуют вполне разумных вещей — ​разделить зоны ответственности, ограничить их инструментально, контролировать исполнение и его качество по спектру параметров.

Эти вопросы очень заметны на фоне ограничений, связанных с эпидемической угрозой коронавируса, когда компании вынуждены переводить большое количество обычных пользователей на дистанционный режим работы. С 19 марта 2020 года мы наблюдаем 50 % рост заявок на организацию узлов удалённого доступа, причём эти заявки касаются массового перевода «на удаленку» рядовых сотрудников. Даже в этих условиях заказчикам необходимо обеспечить выполнение бизнес-задач.

ФСТЭК России выпустил в этой связи письмо от 20 марта 2020 г. N 240/84/389, в котором, с одной стороны, привёл список рекомендаций, с другой — ​выставил в них дополнительные ограничения. Оказалось, что продукт СКДПУ НТ, который мы разрабатываем, «закрывает» 14 пунктов из 14-ти в рекомендациях регулятора.

 

РИСКИ МАССОВОЙ УДАЛЁНКИ

Вполне понятно, что резкие массовые изменения, особенно если инфраструктура и процессы ранее не были подготовлены, несут серьёзные риски и надёжности, и безопасности.

Нам очень хорошо видно, практиковал ли заказчик ранее удалённый доступ для подрядчиков или части сотрудников: если да, то, по сути, компании требуется всего лишь масштабировать существующие решения или внедрить очень похожую на имеющуюся систему с минимальными изменениями. Если же ранее ничего подобного не было, приходится серьёзно вкладываться. Техническая инфраструктура требует дополнительных ресурсов и настройки, организационная часть — ​оформления и согласования документов.

Несомненно, массовое развёртывание удалённых рабочих мест — ​это серьёзное расширение периметра, влекущее за собой очевидные базовые риски. Если сотрудникам разрешается использовать собственное, «домашнее», оборудование для работы из дома — ​а это самый быстрый и относительно дешёвый вариант, — ​то требуется обеспечить соответствие этих рабочих мест стандартам безопасности — ​обновления для ОС, защита от вредоносного кода и т. п. Для собственного оборудования практически нереально отключить административные полномочия у пользователя, а также гарантировать нормальное развёртывание средств защиты — ​например, DLP.

Некоторые наши заказчики, тем не менее, вынуждены разрешать такую практику, т. к. в сложившейся ситуации с эпидемией коронавируса закупка большого количества ноутбуков не только привела к повышению цен на них, но и выбрала запасы у поставщиков, и на всех их не хватает. В результате, в ситуации экстренного перевода большого числа сотрудников на удалённый доступ подобные проблемы усугубляются и масштабом операции — ​требуются дополнительные мощности на узлах доступа, резервирование каналов связи, дополнительные лицензии на терминальный доступ, дополнительные лицензии и ресурсы средствам защиты. Ответственным сотрудникам приходится решать серьёзные проблемы в сжатые сроки, перераспределяя и вводя новые мощности, договариваясь с производителем о расширении инсталляций.

 

ВРЕМЕННЫЕ, НО НАДЁЖНЫЕ РЕШЕНИЯ

Именно срочность запросов и желание пойти навстречу нашим заказчиком привело нас к новому опыту: мы предлагаем дополнительные лицензии в аренду на сложный период, чтобы коллеги могли выполнить свои задачи. Схема проста: мы расширяем существующую инсталляцию или проектируем совместно с заказчиком новую систему. И за день-два запускаем её для первой группы сотрудников «на удалёнке».

 

Развёртывание СКДПУ НТ на инфраструктуре заказчика:

  • Развёртывание виртуальной машины, запуск и первичная настройка — ​40 минут,
  • Внесение целевых учётных записей — ​30 минут,
  • Переключение 10 сотрудников на новую схему работы (без учёта организации VPN) — ​20 минут.
  • При использовании средств центральной авторизации (LDAP, например) за это время можно подключить больше сотрудников.

 

В текущей ситуации вопросы предоставления доступа с возможностью контроля действий внутри сессии удалённой работы позволяют закрыть внушительное количество рисков безопасности в соответствии с требованиями регулятора — ​например, ограничить непосредственное взаимодействие с внутренними системами, ограничить время работы сессии, зафиксировать передаваемые данные на случай возможной проверки в будущем.

 

***

Наши решения позволяют, используя стандартные встроенные средства доступа, предоставлять возможность удалённой работы с различными информационными системами. При этом, например, мы используем собственные реализации RDP и SSH серверов, что отчасти защищает от zero-day уязвимостей соответствующих средств в среде Windows. Наши решения обращают внимание операторов безопасности на те сессии удалённой работы, которые выделяются по одному или нескольким показателям: командам, используемым приложениями, интенсивности запросов. Система реализует поведенческий анализ и фиксирует отклонения от стандартных действий, формируя с учётом уровня опасности цифровой профиль каждого пользователя. Мы обеспечиваем дополнительный автоматизированный анализ действий сотрудников на предмет аномалий, и это позволяет оператору видеть только отклонения от стандартного поведения пользователя и, таким образом, в разы сэкономить время на выявление инцидента безопасности в большом потоке действий сотрудника. Что особенно важно в условиях массового предоставления удалённого доступа.

Рисунок 1. Принципиальная схема инсталляции СКДПУ НТ в сеть предприятия

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое
26.03.2024
Binance снова ищет покупателя на свои российские активы
26.03.2024
Безумцы или сознательные соучастники. Кто потворствует кредитным мошенникам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных