Сотрудники «на удалёнке». Чем опасна массовость и экстренность ситуации

6 мая, 2020

Сотрудники «на удалёнке». Чем опасна массовость и экстренность ситуации

Традиционно финансовые компании — ​одни из самых технически продвинутых в ИТ и ИБ. Они владеют развитыми инфраструктурами, которые поддерживают и развивают постоянно. Это приводит к тому, что внимание к вопросам удалённого доступа — ​как для внутренних сотрудников, так и для внешних подрядчиков — ​в банковском секторе всегда сильное и не ослабевает.

 

УДАЛЁННЫЙ ДОСТУП В БАНКАХ: ОРГАНИЗОВАТЬ НЕЛЬЗЯ ОТМЕНИТЬ

Возможность манёвра ресурсами технических специалистов, быстрого разрешения проблем в распределённом хозяйстве банка — ​удобна и позволяет решать задачи бизнеса лучше.

Понятно, что этот подход имеет и недостатки: система становится зависимой от надёжной работы сетевой инфраструктуры и от внешних специалистов. Существуют значимые риски информационной безопасности, связанные с доступом в периметр. Для управления данными угрозами наработаны стандартные компенсирующие меры, разработаны и поддерживаются стандарты безопасности, в т. ч. по требованиям соответствующих регуляторов. Банковские организации обязаны принимать во внимание требования нескольких регуляторов, в части, их касающейся: это и вопросы, связанные с персональными данными, и меры в соответствии с требованиями Банка России, также актуальны вопросы, касающиеся тематики ключевой информационной инфраструктуры.

Как только мы пытаемся совместить вопросы соответствия требованиям регуляторов с привычными ИТ-практиками, возникают очевидные сложности. Как минимум, это финансовые и административные затраты — ​процессы категорирования, аттестации, применения мер защиты не очень просты и значимо затратны. Кроме того, требований много, они не всегда хорошо совместимы между собой и с объективной реальностью — ​соответственно, реальности приходится «подвинуться».

Особенно это заметно в вопросах, связанных с удалённым доступом, где требования к мерам защиты и организационному их обеспечению вырастают настолько, что первой реакцией становится — ​вообще закрыть все возможности работать удалённо. При этом работа с современной инфраструктурой чаще всего подразумевает необходимость дистанционного режима. Развитые инфраструктуры, как правило, большие и распределённые, а обычно ещё и зависят от той или иной платформы виртуализации, так что непосредственное взаимодействие с техникой(оборудованием) отсутствует как таковое.

Общее направление мысли регуляторов можно только приветствовать, но практическая реализация требует изрядной гибкости ума и способности так организовать инфраструктуру и описать её формально, чтобы конфликты с формальными требованиями были минимизированы. По сути, регуляторы в мудрости своей требуют вполне разумных вещей — ​разделить зоны ответственности, ограничить их инструментально, контролировать исполнение и его качество по спектру параметров.

Эти вопросы очень заметны на фоне ограничений, связанных с эпидемической угрозой коронавируса, когда компании вынуждены переводить большое количество обычных пользователей на дистанционный режим работы. С 19 марта 2020 года мы наблюдаем 50 % рост заявок на организацию узлов удалённого доступа, причём эти заявки касаются массового перевода «на удаленку» рядовых сотрудников. Даже в этих условиях заказчикам необходимо обеспечить выполнение бизнес-задач.

ФСТЭК России выпустил в этой связи письмо от 20 марта 2020 г. N 240/84/389, в котором, с одной стороны, привёл список рекомендаций, с другой — ​выставил в них дополнительные ограничения. Оказалось, что продукт СКДПУ НТ, который мы разрабатываем, «закрывает» 14 пунктов из 14-ти в рекомендациях регулятора.

 

РИСКИ МАССОВОЙ УДАЛЁНКИ

Вполне понятно, что резкие массовые изменения, особенно если инфраструктура и процессы ранее не были подготовлены, несут серьёзные риски и надёжности, и безопасности.

Нам очень хорошо видно, практиковал ли заказчик ранее удалённый доступ для подрядчиков или части сотрудников: если да, то, по сути, компании требуется всего лишь масштабировать существующие решения или внедрить очень похожую на имеющуюся систему с минимальными изменениями. Если же ранее ничего подобного не было, приходится серьёзно вкладываться. Техническая инфраструктура требует дополнительных ресурсов и настройки, организационная часть — ​оформления и согласования документов.

Несомненно, массовое развёртывание удалённых рабочих мест — ​это серьёзное расширение периметра, влекущее за собой очевидные базовые риски. Если сотрудникам разрешается использовать собственное, «домашнее», оборудование для работы из дома — ​а это самый быстрый и относительно дешёвый вариант, — ​то требуется обеспечить соответствие этих рабочих мест стандартам безопасности — ​обновления для ОС, защита от вредоносного кода и т. п. Для собственного оборудования практически нереально отключить административные полномочия у пользователя, а также гарантировать нормальное развёртывание средств защиты — ​например, DLP.

Некоторые наши заказчики, тем не менее, вынуждены разрешать такую практику, т. к. в сложившейся ситуации с эпидемией коронавируса закупка большого количества ноутбуков не только привела к повышению цен на них, но и выбрала запасы у поставщиков, и на всех их не хватает. В результате, в ситуации экстренного перевода большого числа сотрудников на удалённый доступ подобные проблемы усугубляются и масштабом операции — ​требуются дополнительные мощности на узлах доступа, резервирование каналов связи, дополнительные лицензии на терминальный доступ, дополнительные лицензии и ресурсы средствам защиты. Ответственным сотрудникам приходится решать серьёзные проблемы в сжатые сроки, перераспределяя и вводя новые мощности, договариваясь с производителем о расширении инсталляций.

 

ВРЕМЕННЫЕ, НО НАДЁЖНЫЕ РЕШЕНИЯ

Именно срочность запросов и желание пойти навстречу нашим заказчиком привело нас к новому опыту: мы предлагаем дополнительные лицензии в аренду на сложный период, чтобы коллеги могли выполнить свои задачи. Схема проста: мы расширяем существующую инсталляцию или проектируем совместно с заказчиком новую систему. И за день-два запускаем её для первой группы сотрудников «на удалёнке».

 

Развёртывание СКДПУ НТ на инфраструктуре заказчика:

  • Развёртывание виртуальной машины, запуск и первичная настройка — ​40 минут,
  • Внесение целевых учётных записей — ​30 минут,
  • Переключение 10 сотрудников на новую схему работы (без учёта организации VPN) — ​20 минут.
  • При использовании средств центральной авторизации (LDAP, например) за это время можно подключить больше сотрудников.

 

В текущей ситуации вопросы предоставления доступа с возможностью контроля действий внутри сессии удалённой работы позволяют закрыть внушительное количество рисков безопасности в соответствии с требованиями регулятора — ​например, ограничить непосредственное взаимодействие с внутренними системами, ограничить время работы сессии, зафиксировать передаваемые данные на случай возможной проверки в будущем.

 

***

Наши решения позволяют, используя стандартные встроенные средства доступа, предоставлять возможность удалённой работы с различными информационными системами. При этом, например, мы используем собственные реализации RDP и SSH серверов, что отчасти защищает от zero-day уязвимостей соответствующих средств в среде Windows. Наши решения обращают внимание операторов безопасности на те сессии удалённой работы, которые выделяются по одному или нескольким показателям: командам, используемым приложениями, интенсивности запросов. Система реализует поведенческий анализ и фиксирует отклонения от стандартных действий, формируя с учётом уровня опасности цифровой профиль каждого пользователя. Мы обеспечиваем дополнительный автоматизированный анализ действий сотрудников на предмет аномалий, и это позволяет оператору видеть только отклонения от стандартного поведения пользователя и, таким образом, в разы сэкономить время на выявление инцидента безопасности в большом потоке действий сотрудника. Что особенно важно в условиях массового предоставления удалённого доступа.

Рисунок 1. Принципиальная схема инсталляции СКДПУ НТ в сеть предприятия

Смотрите также