Одна из ключевых трудностей, которую необходимо было решить компаниям за короткий срок, ― обеспечить информационную безопасность на дистанционке. С какими проблемами столкнулись компании, и что делать, чтобы в будущем их избежать, рассказывают ведущие специалисты в области информационной безопасности. Встреча была организована Технопарком Сколково, а мы публикуем ее главные тезисы.
Сложившиеся обстоятельства
Массовый переход на дистанционный формат работы определил новые требования к организации систем безопасности компаний. Опрос, проведенный Check Point, показал, что 56% компаний столкнулись со сложностями при организации удаленной работы и обеспечения безопасности работы, а 55% оказались не удовлетворены текущими средствами и инструментами организации работы и возможностью масштабирования таких решений.
95% опрошенных — всего в опросе участвовали 400 специалистов по информационной безопасности из 500 компаний по всему миру — заявили, что столкнулись с проблемами при организации удаленной работы для сотрудников. В основном они были связаны с обеспечением безопасности удаленного доступа к ресурсам и документообороту компаний, с низкой грамотностью сотрудников в области кибербезопасности и с использованием личных компьютеров, на которых установлено не проверенное и не одобренное ИТ-специалистами программное обеспечение, инструменты и сервисы.
Этот же опрос показал, что в первое время карантина значительно увеличилось количество кибератак, в основном попыток фишинга через почтовые рассылки и вредоносные сайты, которые якобы содержат информацию о коронавирусе или маскируются под известные сервисы вроде Netflix.
Трудности перехода
Иван Новиков, сооснователь и генеральный директор Wallarm, рассказал о собственном исследовании компании, в котором 23 руководителя служб информационной безопасности крупных компаний спросили об основных проблемах резкого перехода на удаленную работу.
Первая трудность была связана с предоставлением защищенного доступа для сотрудников. Компаниям, у которых до этого не было собственной виртуальной сети, VPN, потребовалось очень быстро, системно и, главное, безопасно ее настроить — и научить сотрудников правильно ей пользоваться. Тем же, кто уже использовал VPN, но только на корпоративных компьютерах, пришлось решать вопрос с предоставлением доступа для личных устройств и организацией контроля и управлением за ними.
Вторая трудность была связана со срочностью внедрения новых систем — в основном систем защиты и контроля. Сама по себе нетривиальная задача усложнилась тем, что делать все приходилось очень быстро, но при этом тщательно — ведь пробоями в системах безопасности могут легко воспользоваться киберпреступники.
Это стало третьей проблемой: из-за увеличения общего интернет-трафика, большего присутствия людей в сети и уязвимости только что установленных систем число хакерских атак, по признанию респондентов, выросло более чем в два раза. В период пандемии изменились и объекты хакерских атак: нападению стали подвергаться корпоративные порталы и внутренние социальные сети компаний, корпоративные файловые хранилища, VPN-сервисы и внутренняя почта, системы электронного документооборота, порталы для поставщиков и подрядчиков, в том числе и государственная Единая электронная торговая площадка.
Четвертой проблемой стало увеличение нагрузки на уже действующие системы защиты, которые оказались к этому не готовы, а также на внутренние сервисы, которые раньше мало или совсем не использовались.
Андрей Бажин, директор по информационной безопасности ВТБ Капитал, добавил, что большой проблемой стали человеческие риски: персонал, недостаточно информированный по теме кибербезопасности, легко попадает на уловки хакеров: например, переходит по вредоносным ссылкам в письмах, отправленным якобы с корпоративного адреса. Также участились риски внутреннего мошенничества — как со стороны самих сотрудников, получивших больше доступа к ценным документам и данным, так и со стороны их домочадцев и соседей.
Также он упомянул риск потери доступа к критически важным членам команды, таким, как системные администраторы или специалисты по информационной безопасности, в случае появления срочной проблемы. Например, у них могут быть проблемы с домашним интернетом, компьютером или электропитанием.
К уже упомянутым он добавил и логистические проблемы, связанные с доставкой комплектующих из Китая — основного поставщика и производителя.
Атаки хакеров
Михаил Прибочий, управляющий директор в России и странах СНГ Лаборатории Касперского более подробно рассказал о рисках, связанных с человеческим фактором, а также о новых тенденциях в хакерских атаках. Угрозы становятся все более персональными — преступники стремятся получить доступ к личным данным, чтобы манипулировать и вымогать деньги. Атаки стали более точечными — хакеры выбирают конкретную цель (человека или корпорацию), пишут код специально под нее, готовы тратить очень много времени на внедрение.
Основными источниками заражения все еще являются ссылки в письмах — они составляют 33% случаев. При этом, по целому ряду причин, люди стали чаще на них попадаться: из-за стресса на фоне пандемии, историй с выплатами и компенсациями, увеличения общего потока писем в связи с переходом на удаленную работу.
С приходом пандемии сильно увеличилось количество заражений через сайты, посвященные COVID-19: как выяснилось, примерно 75% таких сайтов созданы хакерами. Также на 25% выросло число мошеннических звонков.
Самая главная проблема в том, что люди не уделяют должного внимания вопросам безопасности: не устанавливают антивирус на смартфоне и рабочем компьютере, открывают вредоносные ссылки и скачивают файлы из сомнительных источников. Большую опасность представляют и телевизоры с системой Smart TV — многие используют их для веб-серфинга — а также умные колонки и другие устройства, подключенные к IoT-системам. Такие устройства не имеют встроенной защиты и легко взламываются, а будучи подключенными к одной сети, становятся источником проникновения для хакеров.
Поэтому все владельцам бизнеса нужно в обязательном порядке проводить курсы информационной безопасности для своих сотрудников, периодически устраивать для них тесты (например, делать почтовую рассылку и смотреть, сколько людей кликнет на прикрепленную ссылку). Также следует убедиться, что все устройства, использующиеся для работы, в том числе и личные, были обязательно защищены антивирусом.
Решения на рынке кибербезопасности
В заключение дискуссии Александр Митусов, менеджер по внедрению цифровых решений компании МегаФон, рассказал об основных способах защитить компанию от основных угроз.
При переходе на удаленную работу большинство компаний используют три технологии: терминальные фермы или RDS (Remote Desktop Services), виртуальные рабочие места или VDI (Virtualization Desktop Infrastructures) и системы управления содержимым или CMS (Content Management System) — на последнем построены такие популярные решения как Битрикс24 и amoCRM.
Проблема в том, что все эти решения не гарантируют безопасности: так, например, протокол, использующийся в терминальных фермах, содержит критические уязвимости, позволяющие злоумышленникам получить полный доступ к компьютеру. Тем не менее, большинство компаний, которые не могут позволить себе обеспечить всех сотрудников корпоративными компьютерами для удаленной работы, выбирают именно терминальные фермы — как самое простое и бюджетное решение.
Но и корпоративные рабочие станции, защищенные VPN и клиентами мобильного доступа вроде Cisco AnyConnect, также могут подвергнуться атаке. Так, специалисты из Positive Technologies выявили уязвимости и в OpenVPN, и в решениях Cisco, и в других, казалось бы, серьезных средствах защиты.
Поэтому у каждой компании должны быть внедрены ряд обязательных технологий.
В первую очередь это DLP-системы (Data Leak Prevention), которые позволяют мониторить действия сотрудников и в случае утечки быстро найти ее источник.
Во-вторых, это межсетевой экран для веб-приложений — WAF (Web application firewall), который позволяет фильтровать трафик и блокировать сетевые атаки. Такая технология особенно актуальна для компаний, связанных с интернет-торговлей или IT-услугами.
В-третьих, это защита баз данных и мастер-данных, доступ к которым обычно и интересует хакеров. Для крупных корпораций также рекомендуется регулярно проводить тесты на проникновение, особенно с использованием социальной инженерии, и специальные «песочницы» для проверки сомнительных ссылок, строчек кода и т.д.
В заключение Александр Митусов в очередной раз напомнил об опасностях, которые таят смартфоны, и необходимости обучения сотрудников основам информационной безопасности. Учитывая, что все больше операций — финансовых, рабочих, повседневных — мы осуществляем именно на смартфонах, защита их содержимого становится важнейшей задачей. Злоумышленники легко могут получить доступ к данным на телефоне через общественные Wi-Fi сети, через почтовый клиент или через некоторые установленные приложения, 70% приложений содержат уязвимые библиотеки.
Полное видео дискуссии можно посмотреть по ссылке.