Советы по безопасности при работе из дома для сотрудников и работодателей

Несмотря на старт вакцинации в 2021 году, ставший, без сомнения, главным проектом года, все же победить пандемию удастся, в лучшем случае, через 3-4 года. Поэтому многим сотрудникам все же еще долго придется работать из дома.

Уже сегодня более 70 процентов сотрудников по всему миру работают удаленно, по крайней мере, один раз в неделю и при этом увеличивается количество удаленных сотрудников, работающих полный рабочий день, по-прежнему не так много ресурсов, которые помогли бы устранить риск кибербезопасности, связанный с удаленной работой.

Пандемия коронавируса и связанная с этим изоляция многих стран означают, что многие организации и их сотрудники теперь находятся на незнакомой территории, где работают полный рабочий день из дома (WFH).

Планирование обеспечения непрерывности бизнеса означает, что теперь нужно найти способы защиты конфиденциальных данных клиентов, обеспечивая гибкость местоположения. 

Для обеспечения безопасности данных клиентов можно многое сделать на уровне инфраструктуры и на индивидуальном уровне, но правда в том, что конфиденциальная информация вашей компании защищена ровно настолько, насколько надежно самое слабое звено – ваш сотрудник. 

Необходимо помнить, что самое слабое звено может быть даже не внутри вашей организации. 

Это может быть сторонний поставщик услуг, который также удаленно работает в общедоступной сети Wi-Fi, уязвимой для атаки типа "человек посередине", или сотрудник, входящий в систему с личного устройства, которое все еще использует устаревшую или не поддерживаемую операционную систему (да-да, это камень в любителей Android, системы которая практически годами не обновляется).

 

Часть I. Советы по безопасности для сотрудников, работающих из дома

Защитите свой домашний офис

Физическая безопасность не должна выходить за рамки, когда вы работаете из дома. Точно так же, как вы закрываете офис, когда уходите на день, делайте то же самое, когда работаете из дома.  

Ноутбуки можно украсть на заднем дворе, в гостиной или в домашнем офисе. Берите ноутбук внутрь, когда идете готовить обед, и запирайте дверь в домашний офис. Обеспечьте безопасность домашнего рабочего места, как и обычного офиса.

 

Защитите свой домашний роутер

Вспомните, как давно вы обновили пароль своего домашнего роутера и делали ли это вообще? Уверен, что большинство обычных домашних пользователей не делало этого никогда, да и сомневаюсь, что ИТ и ИБ-специалисты дома регулярно меняют свои пароли. А ведь киберпреступники стремятся использовать пароли по умолчанию на домашних маршрутизаторах, потому что немногие люди беспокоятся об их изменении, оставляя свою домашнюю сеть уязвимой. 

Изменение пароля маршрутизатора со значения по умолчанию на уникальный – это простой шаг, который вы можете предпринять, чтобы защитить свою домашнюю сеть от злоумышленников, которые хотят получить доступ к вашим устройствам. 

Это хороший первый шаг, но вы можете предпринять дополнительные действия. Например, вы должны как можно скорее установить обновления прошивки, чтобы известные уязвимости не использовались и менять ваш пароль роутера не реже раз в полгода.

Убедитесь, что ваш роутер использует стойкие алгоритмы шифрования WPA2 PSK, и не использует слабые алгоритмы (WEP, WPS ver.1), которые взламываются от суток до нескольких секунд.

 

Разделение рабочих и личных устройств

Возможно, это легче сказать, чем сделать, но важно провести границы между вашей работой и семейной жизнью, особенно при работе из дома.

Хотя может показаться обременительным постоянно переключаться между устройствами для простой оплаты счета или в интернет-магазине, постарайтесь держать рабочий компьютер отдельно от домашнего.

Никогда не знаешь, скомпрометирован ли один из них. Понимаю, что это сложно, но хотя бы у ваших близких должны быть свои учетные записи, причем, естественно, это должны быть не права администратора. Безусловно, ваша учетная запись для работы тоже должна не иметь прав администратора.

Создайте на рабочей станции учетную запись с минимальными привилегиями (это позволит выполнять повседневные задачи без опаски навредить системе).

Если вы можете сделать то же самое для своих мобильных устройств, даже лучше. 

Это может помочь уменьшить объем конфиденциальных данных, раскрываемых в случае взлома вашего личного или рабочего устройства.

 

Зашифруйте свои устройства

Если ваш работодатель еще не включил для вас шифрование, вам следует включить его, так как оно играет важную роль в снижении риска потери или кражи устройств, поскольку предотвращает доступ посторонних к содержимому вашего устройства без пароля. PIN-код или биометрия. 

Для справки, шифрование – это процесс кодирования информации, поэтому доступ к ней имеют только авторизованные стороны. Хотя он не предотвращает вмешательство и атаки типа «человек посередине», он не позволяет перехватчику получить доступный контент. 

Как вы включите шифрование, будет зависеть от вашего устройства:

  • Windows: включите  BitLocker.
  • macOS: включите  FileVault.
  • Linux: используйте  dm-crypt  или аналогичный.
  • Android: включен по умолчанию, начиная с Android 6.
  • iOS: Включено по умолчанию, начиная с iOS 8.

 

Используйте поддерживаемые операционные системы

Новые уязвимости и эксплойты публикуются в CVE ежедневно, и они часто могут повлиять на старые версии операционных систем, которые больше не поддерживаются их разработчиками.Как правило, разработчики операционных систем поддерживают только несколько последних основных версий, поскольку поддержка всех версий обходится дорого, и большинство пользователей поступают правильно и обновляются. 

Неподдерживаемые версии больше не получают исправлений безопасности, поскольку уязвимости подвергают опасности ваше устройство и конфиденциальные данные.

Короче говоря, всегда используйте поддерживаемую управляемую систему и, если ваше устройство позволяет, последнюю версию. 

Вот как проверить, поддерживается ли ваша операционная система:

  • Windows: проверьте жизненный цикл Windows.
  • macOS: у Apple нет официальной политики в отношении macOS.Тем не менее, Apple постоянно поддерживает последние три версии macOS. Итак, если предположить, что Apple выпускает новую версию macOS каждый год, каждый выпуск macOS должен поддерживаться примерно в течение трех лет.
  • Linux: большинство активных дистрибутивов поддерживаются.
  • Android: обновления безопасности нацелены на текущую и последние две основные версии, но вам может потребоваться убедиться, что ваш производитель/оператор связи отправляет исправления безопасности на ваше устройство. Вы можете узнать больше о безопасности Android здесь.
  • iOS: как и macOS, у Apple нет официальной политики для iOS, но обновления безопасности обычно нацелены на самую последнюю основную версию и три предыдущих. 

Не всегда легко определить, поддерживается ли ваша операционная система, поэтому лучше использовать последнюю версию.

 

Своевременно обновляйте операционную систему

Даже если вы используете поддерживаемую операционную систему, между обнаружением уязвимости и устранением ее последствий могут быть значительные задержки. Даже если окно открыто всего на несколько дней, уязвимости нулевого дня представляют значительный риск. Просто посмотрите, как эксплойт Eternal Blue от WannaCry привел к сотням тысяч заражений. 

Чтобы свести к минимуму этот риск, убедитесь, что все устройства как можно скорее применяют исправления безопасности, в идеале с помощью автоматических обновлений.

Большинство современных устройств автоматически применяют обновления по умолчанию, но вам может потребоваться перезагрузить компьютер, чтобы завершить процесс установки исправлений.

 

Своевременно обновляйте программное обеспечение

Операционные системы – не единственное, что можно использовать для атаки. Фактически злоумышленник может использовать уязвимости в любом программном обеспечении, особо стоит отметить веб-браузеры. По тем же причинам, изложенным выше, важно поддерживать все установленные приложения в актуальном состоянии. 

Большинство современных программ проверяют и автоматически устанавливают исправления безопасности. Что касается всего остального, периодически проверяйте наличие последних версий. Тем не менее, по возможности рассмотрите возможность использования безопасного приложения SaaS вместо устанавливаемого программного обеспечения, поскольку управление безопасностью находится в руках поставщика.

 

Включите автоматическую блокировку 

Если вы отойдете от устройства в домашнем офисе, в коворкинге или в кафе, вам следует заблокировать его. Проблема в том, что мы, люди, забываем это делать. Помните, автоматическая блокировка предназначена для защиты наших оставленных без присмотра устройств. 

Убедитесь, что настроили временной интервал, который не является необоснованно большим, например 30 секунд для мобильных устройств и пять минут для ноутбуков. 

На большинстве современных устройств автоматическая блокировка включена по умолчанию.

 

Используйте надежный PIN-код/пароль на вашем устройстве

Все вышеперечисленное не имеет значения, если вы не используете надежный пароль. Старайтесь избегать всего, что легко попробовать, например повторяющихся чисел (например, 000000), последовательностей (например, 123456) или использования повторяющихся паролей.

Кроме того, не используйте ничего, связанное с вами, например, дату вашего рождения, номерной знак, адрес и т. д. Хороший PIN-код/пароль должен выглядеть случайным для всех, кроме вас.

 

Используйте антивирус

Антивирусное программное обеспечение может помочь защитить ваш компьютер от вирусов, программ-шпионов, вымогателей, руткитов, троянских программ и других видов вредоносных программ.

Антивирусное программное обеспечение, как следует из названия, – это программа, которая работает против вирусов. Он обнаруживает или распознает вирус, а затем, обнаружив присутствие вируса, работает над его удалением из компьютерной системы. Антивирусное программное обеспечение работает как профилактическое средство, так что оно не только удаляет вирус, но и предотвращает заражение вашего компьютера любым потенциальным вирусом в будущем.

Не забывайте либо включить автоматическое обновление баз сигнатур, либо делать это в ручном режиме на постоянной основе.

 

Приобретите менеджер паролей

Если ваша компания не предоставляет вам менеджер паролей, подумайте о его приобретении. Платного или бесплатного с хорошим рейтингом.

Они помогают создавать надежные пароли и запоминать их, а также безопасно делиться ими с членами семьи, сотрудниками или друзьями. 

Они также позволяют легко использовать уникальный пароль для каждого используемого вами веб-сайта.

Большинство менеджеров паролей также позволяют хранить защищенные заметки, данные кредитной карты и другие типы конфиденциальной информации. 

Некоторые даже упрощают внедрение двух- или многофакторной аутентификации.

 

Включите двухфакторную аутентификацию и используйте приложение для аутентификации

Двухфакторная аутентификация – это метод аутентификации, при котором доступ предоставляется только после успешного представления двух частей свидетельства механизму аутентификации.  

Двухфакторная проверка подлинности может значительно снизить риск успешных фишинговых писем и заражений вредоносными программами, потому что даже если злоумышленник может получить ваш пароль, он не сможет войти в систему, потому что у него нет второго доказательства (но помните, если 2FA используют для входа в систему, далее все процессы запускаются от вашей учетной записи. Открыв фишинговое сообщение, вложение будет запущено с вашей учетной записью).Для успешного входа в систему им потребуется доступ ко всему, что генерирует ваш одноразовый код, который должен быть приложением для аутентификации или ключом безопасности.

Первое и самое распространенное свидетельство – это пароль. Второй принимает множество форм, но обычно представляет собой одноразовый код или push-уведомление. 

Важно понимать, что SMS-сообщения, хотя это и удобно, не подходят для второго фактора. 

Фактически,  NIST SP 800-63 Digital Identity Guidelines явно не одобряет использование SMS.  

Лучше всего использовать приложение для аутентификации, например, Google Authenticator и Authy.

 

Включить поиск моего устройства и удаленную очистку

Возможность найти и, в идеале, удалить содержимое своего устройства – важная часть обеспечения информационной безопасности в случае потери или кражи устройства. Безопасная очистка устройства значительно затрудняет доступ к вашим данным, независимо от того, сколько времени или решимости есть у злоумышленника.

Вот как включить функцию поиска моего устройства:

  • Windows: включите, выбрав «Настройки» > «Обновление и безопасность» и «Найти мое устройство».
  • macOS: настройте iCloud на своем устройстве, выбрав «Настройки» > «Ваше имя» > «iCloud» > «Найти Mac».
  • Linux: не встроен в операционную систему и требует стороннего приложения.
  • Android: настройте учетную запись Google на устройстве, и она будет включена по умолчанию.
  • iOS: настройте iCloud на своем устройстве, выбрав «Настройки» > «Ваше имя» > «iCloud» > «Найти iPhone/iPad».

 

Очистите все устройства перед тем, как поделиться, продать или утилизировать

При одалживании, продаже, просто выбрасывая старое устройство, обязательно верните его к заводским настройкам. Это предотвратит доступ к вашим данным после того, как вы потеряете контроль над своим устройством, временно или постоянно. 

Перед тем как это сделать, не забудьте создать резервную копию или скопировать любую важную информацию на устройстве. 

Вот как вернуть ваше устройство к заводским настройкам:

Windows: следуйте этому руководству от Microsoft и при появлении запроса нажмите «Удалить все».
MacOS: следуйте руководству Apple.
Linux: следуйте руководству Arch, затем переустановите дистрибутив. 
Android: выберите «Настройки» > «Система» > «Параметры сброса» > «Стереть все данные» (сброс к заводским настройкам).
iOS: следуйте руководству Apple.

 

Используйте виртуальную частную сеть (VPN)

Виртуальная частная сеть (VPN) позволяет вам отправлять и получать данные через общие или общедоступные сети, как если бы вы напрямую подключены к частной сети. При этом устанавливается безопасное и зашифрованное соединение с сетью через Интернет и маршрутизируется через него ваш трафик. 

Это обеспечивает безопасность в общедоступных точках доступа и обеспечивает удаленный доступ к защищенным вычислительным ресурсам. 

VPN могут снизить риск определенных кибератак, таких как атаки MITM, поскольку они затрудняют отслеживание вашего трафика и перехват ваших действий. Они также могут помешать веб-сайтам узнать ваше реальное местоположение или затруднить вашему интернет-провайдеру отслеживание вашей активности. Используйте корпоративный VPN или коммерческие с хорошей репутацией (бесплатные могут перехватывать ваш трафик).

4 февраля, 2021