Как минимизировать IТ-риски при удаленной работе сотрудников
С 2022 года некоторые ОЦО стали отказываться от удаленной работы сотрудников из-за соображений кибербезопасности. Клуб ОЦО вместе с Дмитрием Басистым, директором департамента стратегии и развития Rubytech, попробовал разобраться, насколько выросли IТ-риски при дистанционной работе и как их можно минимизировать на практике.
Возможные IТ-риски при удаленной работе
Удаленная работа сотрудников стала привычным форматом с начала 2020 года, когда в нашу жизнь вошла пандемия коронавируса и многие компании были вынуждены в авральном порядке переводить сотрудников на работу вне офиса. За прошедшие три с лишним года такой формат работы стал стандартом «де-факто» во многих компаниях и ОЦО, однако с прошлого года некоторые организации стали отказываться от удаленки из-за возросших IТ-рисков. Чем же это вызвано?
IТ-системы, обеспечивающие удаленный доступ сотрудников. Основной набор средств для организации удаленной работы с соблюдением правил инфобезопасности вполне укладывается в два больших класса:
– средства защиты от утечек, несанкционированного доступа и других угроз;
– средства для VPN-подключения к корпоративной сети.
В системах удаленного доступа большинства ОЦО до февраля 2022 года использовались западные продукты, функционал и уровень защиты которых в полной мере соответствовали представлениям и стандартам компаний по информационной безопасности.
Ведущие западные вендоры, в том числе компании, производящие продукты для удаленной работы, в 2022 году стали массово и стремительно уходить с российского рынка, отключая российских клиентов от технической поддержки и доставки обновлений, а также от продления лицензий. Корпоративные системы без такой поддержки вендоров стали более уязвимыми. В этой ситуации у ОЦО и бизнеса есть три варианта действий.
- Перейти на отечественные IТ-решения для обеспечения удаленной работы, принимая во внимание все возможные недостатки отечественных продуктов и вендоров, которые будут устраняться уже в процессе эксплуатации систем.
- Остаться работать на IТ-системах западных вендоров, решая вопросы технической поддержки продуктов собственными силами. При этом риски, как было сказано выше, сохраняются.
- Полностью запретить удаленную работу, чтобы минимизировать риски.
Таким образом, компании, которые отказываются от удаленной работы по соображениям кибербезопасности, прежде всего опасаются того, что западные IТ-системы могут быть скомпрометированы, а отечественные продукты не смогут обеспечить 100%-ной аналогичной защиты.
Какие отечественные системы для организации удаленной работы существуют на российском рынке
Стоит отметить, что в сегменте российских продуктов для защиты рабочих мест пользователей (в том числе и удаленных) существует довольно много проверенных временем и достаточно функциональных решений. Разработка комплексного решения — это задача проектирования с учетом специфики условий, ограничений и задач конкретного предприятия, но из общих соображений можно назвать продукты семейств Kaspersky, VIPNet, Secret Net / Secret MDM, Avanpost.
Кроме того, нужно учитывать, что согласно Указу Президента РФ от 30 марта 2022 года № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», с 1 января 2025 года во всех организациях с государственным участием должно быть только российское ПО и оборудование. В связи с этим все подобные организации стремятся к названной дате это требование выполнить. Есть четкие метрики перехода на отечественное ПО: для систем, отнесенных к значимым объектам критической информационной инфраструктуры (ЗО КИИ), — с 1 января 2025 года, а по остальным системам — с 1 января 2027 года. Здесь возникает вопрос, относятся ли системы, обеспечивающие удаленную работу сотрудников, к значимым объектам критической IТ-инфраструктуры, и службы кибербезопасности каждой компании принимают такие решения самостоятельно.
Использование личных компьютеров и гаджетов для работы. Многие компании, где сотрудники продолжают работать дистанционно или в гибридном формате (офис + удаленная работа), обязывают сотрудников использовать только офисные ноутбуки для работы и обеспечивают таких сотрудников всей необходимой техникой. Это менее выгодно по сравнению с ситуацией, когда сотрудник работает на личном компьютере, однако в таком требовании есть своя логика. За состав программ и за поддержку рабочего компьютера отвечает корпоративная IТ-служба, что повышает уровень кибербезопасности и сохранности всей, в том числе конфиденциальной, информации.
Вместе с тем многие сотрудники используют личные смартфоны для просмотра рабочей почты и для рабочей переписки. Здесь должны работать как IТ-инструменты защиты рабочей информации, так и организационно-воспитательные меры. Конечно, есть IТ-системы, которые защищают гаджеты от взлома, кроме того, можно установить приложение, которое позволяет читать рабочую почту, но блокирует возможность скачивания файлов и фотографирования экрана. Однако не менее важна и так называемая гигиена инфобезопасности: использование только проверенных средств коммуникации, запрет на ведение деловой переписки в публичных мессенджерах, а также на загрузку в смартфон конфиденциальных и просто важных рабочих документов.
Когда технические возможности средств защиты заканчиваются, то в дело вступают именно организационные меры. Если хорошо построена работа с сотрудниками, с их лояльностью и вовлеченностью, то в этом случае минимизируются случаи преднамеренной утечки информации, кроме того, очень важен вопрос обучения сотрудников требованиям кибербезопасности, на чем хотелось бы остановиться особо.
Обучение сотрудников основам кибербезопасности
Как правило, ресурсные возможности у подразделений инфобезопасности невелики, и их не хватает в полной мере на должное информирование сотрудников, поэтому вопрос обучения основам кибербезопасности — это совместная работа службы инфобезопасности и HR-отдела. Задача такого обучения — обеспечение понимания сотрудниками важности вопросов кибербезопасности, что позволит минимизировать риски утечки информации.
Очень полезно проводить удаленные ВКС-сессии обучения, на которых подробно рассматривать вопросы угроз при удаленной работе, а также реальные кейсы, которые привели к нарушению кибербезопасности: что и почему произошло, какие были последствия, что нужно сделать, чтобы этого не допустить.
Как правило, у отдела инфобезопасности есть письменные инструкции, сотрудники формально расписываются в журнале, что они ознакомлены с ними, и на этом инструктаж заканчивается. Гораздо лучше и нагляднее работают видеоролики с правилами инфобезопасности, которые можно разместить, например, на корпоративном портале.
Очень эффективный инструмент — сначала ознакомить сотрудников с правилами, потом провести сессию, где собрать вопросы от сотрудников по поводу кибербезопасности при удаленной работе и дать на них подробные ответы. Очень важно проводить такие сессии регулярно, что позволит поддерживать высокий уровень информированности сотрудников.
Другой хороший инструмент — тестировать сотрудников после обучения основам кибербезопасности, а при плохом результате направлять их на повторное обучение и тестирование. Невозможность наобум ответить на контрольные вопросы и получить зачет «просто так» заставит людей более серьезно относиться к изучению правил кибербезопасности.
Также вопросы кибербезопасности обязательно должны включаться в адаптационные программы для новых сотрудников и в личные планы развития.
Многие ОЦО по-прежнему считают возможность удаленной работы неким бонусом для сотрудников, так вот для того, чтобы получить этот бонус, следует прослушать дополнительные курсы, провести серьезную работу, позволяющую понять, какие обязательства ложатся на пользователя с точки зрения безопасности. Если сотрудник не смог подтвердить, что он готов к удаленной работе, то не стоит давать ему такую возможность.
Взаимодействие руководителя ОЦО с руководителем службы кибербезопасности
Если руководитель ОЦО понимает важность инфобезопасности, то он сам будет выстраивать эффективное взаимодействие со службой кибербезопасности. В этом случае руководители ОЦО и службы инфобезопасности вместе разбирают возможные инциденты и решают, что нужно сделать, чтобы, с одной стороны, работа сотрудников была эффективной, а с другой стороны, безопасной. При этом, на наш взгляд, непринципиально, находится IТ-служба и служба инфобезопасности внутри ОЦО или нет. Важнее хороший контакт, в этом случае не должно возникать проблем.
Уровень затрат на инфобезопасность
Понятно, что есть прямые потери, связанные с ущербом от нарушений правил инфобезопасности, например кража денег со счета. Однако существуют еще и репутационные риски — например, что будет, если станет широко известно, что из ОЦО утекла конфиденциальная или коммерческая информация. Оценить репутационный ущерб сложнее, но также возможно.
Существует общее правило: затраты на поддержание определенного уровня инфобезопасности не должны превышать вероятного ущерба от нарушения этого уровня безопасности.
Наконец, нельзя не учитывать и еще один важный фактор: затраты на инфобезопасность определяются способностью и желанием руководителей компании брать риски на себя (уровнем риск-аппетита). Если все эффекты из-за инвестиций в инфобезопасность могут уйти в ноль, то, скорее всего, руководство будет готово взять эти риски на себя.
Таким образом, при оценке целесообразного уровня затрат на инфобезопасность всегда нужно соблюсти грань между необходимым и достаточным.
Внедрение витрины данных налогового мониторинга. Опыт Гринатома
Наталья Аксенова, Гринатом, - о том, как ОЦО самостоятельно разработал и внедрил ИТ-систему для налогового мониторинга
IТ-инструменты для решения задач по цифровизации ОЦО
Клуб ОЦО подготовил обзор актуальных IТ-инструментов на основе исследования трендов цифровизации, на которых делают фокус ОЦО в первой половине 2023 года. В рамках исследования мы опросили различные ОЦО, провели интервью с отдельными экспертами в области создания и внедрения IТ-решений, а также рассмотрели данные открытых российских и международных источников. В сфере цифровизации российские ОЦО долгие годы […]
