Традиционно финансовые компании — одни из самых технически продвинутых в ИТ и ИБ. Они владеют развитыми инфраструктурами, которые поддерживают и развивают постоянно. Это приводит к тому, что внимание к вопросам удалённого доступа — как для внутренних сотрудников, так и для внешних подрядчиков — в банковском секторе всегда сильное и не ослабевает.
УДАЛЁННЫЙ ДОСТУП В БАНКАХ: ОРГАНИЗОВАТЬ НЕЛЬЗЯ ОТМЕНИТЬ
Возможность манёвра ресурсами технических специалистов, быстрого разрешения проблем в распределённом хозяйстве банка — удобна и позволяет решать задачи бизнеса лучше.
Понятно, что этот подход имеет и недостатки: система становится зависимой от надёжной работы сетевой инфраструктуры и от внешних специалистов. Существуют значимые риски информационной безопасности, связанные с доступом в периметр. Для управления данными угрозами наработаны стандартные компенсирующие меры, разработаны и поддерживаются стандарты безопасности, в т. ч. по требованиям соответствующих регуляторов. Банковские организации обязаны принимать во внимание требования нескольких регуляторов, в части, их касающейся: это и вопросы, связанные с персональными данными, и меры в соответствии с требованиями Банка России, также актуальны вопросы, касающиеся тематики ключевой информационной инфраструктуры.
Как только мы пытаемся совместить вопросы соответствия требованиям регуляторов с привычными ИТ-практиками, возникают очевидные сложности. Как минимум, это финансовые и административные затраты — процессы категорирования, аттестации, применения мер защиты не очень просты и значимо затратны. Кроме того, требований много, они не всегда хорошо совместимы между собой и с объективной реальностью — соответственно, реальности приходится «подвинуться».
Особенно это заметно в вопросах, связанных с удалённым доступом, где требования к мерам защиты и организационному их обеспечению вырастают настолько, что первой реакцией становится — вообще закрыть все возможности работать удалённо. При этом работа с современной инфраструктурой чаще всего подразумевает необходимость дистанционного режима. Развитые инфраструктуры, как правило, большие и распределённые, а обычно ещё и зависят от той или иной платформы виртуализации, так что непосредственное взаимодействие с техникой(оборудованием) отсутствует как таковое.
Общее направление мысли регуляторов можно только приветствовать, но практическая реализация требует изрядной гибкости ума и способности так организовать инфраструктуру и описать её формально, чтобы конфликты с формальными требованиями были минимизированы. По сути, регуляторы в мудрости своей требуют вполне разумных вещей — разделить зоны ответственности, ограничить их инструментально, контролировать исполнение и его качество по спектру параметров.
Эти вопросы очень заметны на фоне ограничений, связанных с эпидемической угрозой коронавируса, когда компании вынуждены переводить большое количество обычных пользователей на дистанционный режим работы. С 19 марта 2020 года мы наблюдаем 50 % рост заявок на организацию узлов удалённого доступа, причём эти заявки касаются массового перевода «на удаленку» рядовых сотрудников. Даже в этих условиях заказчикам необходимо обеспечить выполнение бизнес-задач.
ФСТЭК России выпустил в этой связи письмо от 20 марта 2020 г. N 240/84/389, в котором, с одной стороны, привёл список рекомендаций, с другой — выставил в них дополнительные ограничения. Оказалось, что продукт СКДПУ НТ, который мы разрабатываем, «закрывает» 14 пунктов из 14-ти в рекомендациях регулятора.
РИСКИ МАССОВОЙ УДАЛЁНКИ
Вполне понятно, что резкие массовые изменения, особенно если инфраструктура и процессы ранее не были подготовлены, несут серьёзные риски и надёжности, и безопасности.
Нам очень хорошо видно, практиковал ли заказчик ранее удалённый доступ для подрядчиков или части сотрудников: если да, то, по сути, компании требуется всего лишь масштабировать существующие решения или внедрить очень похожую на имеющуюся систему с минимальными изменениями. Если же ранее ничего подобного не было, приходится серьёзно вкладываться. Техническая инфраструктура требует дополнительных ресурсов и настройки, организационная часть — оформления и согласования документов.
Несомненно, массовое развёртывание удалённых рабочих мест — это серьёзное расширение периметра, влекущее за собой очевидные базовые риски. Если сотрудникам разрешается использовать собственное, «домашнее», оборудование для работы из дома — а это самый быстрый и относительно дешёвый вариант, — то требуется обеспечить соответствие этих рабочих мест стандартам безопасности — обновления для ОС, защита от вредоносного кода и т. п. Для собственного оборудования практически нереально отключить административные полномочия у пользователя, а также гарантировать нормальное развёртывание средств защиты — например, DLP.
Некоторые наши заказчики, тем не менее, вынуждены разрешать такую практику, т. к. в сложившейся ситуации с эпидемией коронавируса закупка большого количества ноутбуков не только привела к повышению цен на них, но и выбрала запасы у поставщиков, и на всех их не хватает. В результате, в ситуации экстренного перевода большого числа сотрудников на удалённый доступ подобные проблемы усугубляются и масштабом операции — требуются дополнительные мощности на узлах доступа, резервирование каналов связи, дополнительные лицензии на терминальный доступ, дополнительные лицензии и ресурсы средствам защиты. Ответственным сотрудникам приходится решать серьёзные проблемы в сжатые сроки, перераспределяя и вводя новые мощности, договариваясь с производителем о расширении инсталляций.
ВРЕМЕННЫЕ, НО НАДЁЖНЫЕ РЕШЕНИЯ
Именно срочность запросов и желание пойти навстречу нашим заказчиком привело нас к новому опыту: мы предлагаем дополнительные лицензии в аренду на сложный период, чтобы коллеги могли выполнить свои задачи. Схема проста: мы расширяем существующую инсталляцию или проектируем совместно с заказчиком новую систему. И за день-два запускаем её для первой группы сотрудников «на удалёнке».
Развёртывание СКДПУ НТ на инфраструктуре заказчика:
В текущей ситуации вопросы предоставления доступа с возможностью контроля действий внутри сессии удалённой работы позволяют закрыть внушительное количество рисков безопасности в соответствии с требованиями регулятора — например, ограничить непосредственное взаимодействие с внутренними системами, ограничить время работы сессии, зафиксировать передаваемые данные на случай возможной проверки в будущем.
***
Наши решения позволяют, используя стандартные встроенные средства доступа, предоставлять возможность удалённой работы с различными информационными системами. При этом, например, мы используем собственные реализации RDP и SSH серверов, что отчасти защищает от zero-day уязвимостей соответствующих средств в среде Windows. Наши решения обращают внимание операторов безопасности на те сессии удалённой работы, которые выделяются по одному или нескольким показателям: командам, используемым приложениями, интенсивности запросов. Система реализует поведенческий анализ и фиксирует отклонения от стандартных действий, формируя с учётом уровня опасности цифровой профиль каждого пользователя. Мы обеспечиваем дополнительный автоматизированный анализ действий сотрудников на предмет аномалий, и это позволяет оператору видеть только отклонения от стандартного поведения пользователя и, таким образом, в разы сэкономить время на выявление инцидента безопасности в большом потоке действий сотрудника. Что особенно важно в условиях массового предоставления удалённого доступа.
Рисунок 1. Принципиальная схема инсталляции СКДПУ НТ в сеть предприятия
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных