Главная
Об авторах
Публикации
Сумма технологии
Центр подготовки руководителей и команд цифровой трансформации
Сумма технологии

ОЦЕНКА УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Автор раздела:
Павел Евгеньевич Голосов
В УСЛОВИЯХ МАССОВОГО ПЕРЕХОДА НА УДАЛЕННУЮ РАБОТУ*
ОЦЕНКА УГРОЗ ИНФОРМАЦИ-ОННОЙ БЕЗОПАСНОСТИ
*В разделе были использованы материалы компании «АйТи Бастион», компании «Инфосистемы Джет», института экономики математики и информационных технологий (ЭМИТ) РАНХиГС, Центра подготовки руководителей цифровой трансформации ВШГУ РАНХиГС.
Массовый и быстрый переход в режим самоизоляции вынудил организации оперативно предоставить сотрудникам удаленный доступ к информационным системам и взаимодействовать с ними в режиме веб-конференций гораздо чаще, чем раньше. Обнаружилось, что организационные и технические меры информационной безопасности отстают по времени. В разделе собран обобщенный анализ возникающих угроз, приведены рекомендации, как их нейтрализовать.
Основные сценарии удаленной работы требуют доступа пользователя, работающего из дома, к ресурсам корпоративной сети, облака, видеоконференциям. В каждом случае необходимо конкретное программное обеспечение для удаленной работы.
В ряде организаций давно налажена удаленная работа, действует политика информационной безопасности, сформированы регламенты обучения, предоставления сотрудникам технических, программных средств, позволяющих обеспечивать приемлемый уровень безопасности данных.

В условиях удаленного доступа к ресурсам организации возможно следующее типовое решение:

  • VPN-клиент на рабочее место;
  • шлюз удаленного доступа в периметр компании;
  • многофакторная аутентификация для пользователей;
  • доступ в режиме терминала к ресурсам в рамках защищенных подключений;
  • контроль поведения пользователей и ведение журнала их действий;
  • антивирусная защита рабочих мест;
  • специальный контроль трафика от пользователей;
  • дополнительная защита почты от фишинговых сообщений.

Типичными угрозами являются взлом и заражение сети. Они возможны, если имеют место следующие обстоятельства:

  • ошибки настройки устройств доступа (компьютеров), в результате которых они оказываются незащищенными полностью или частично;

  • использование концепции Bring Your Own Device, когда пользователи либо подключаются со своих не-доверенных устройств к корпоративным ресурсам, либо используют корпоративные компьютеры, но в домашних условиях;

  • недостаточная защита конечных устройств пользователей, в том числе случаи их утраты, хищения;

  • ошибки настройки шлюза, который используется для доступа в корпоративную сеть, некорректные решения, связанные с публикацией корпоративных сервисов, пользование облачными сервисами, находящимися вне доверенной среды;

  • отсутствие контроля доступа к ресурсам организации, когда нет доверия только к идентификатору и аутентификатору (паролю) пользователя и нет возможности различить, кто именно работает; нужен второй фактор и дополнительное профилирование поведения пользователей по вторичным признакам — например, по поведению (концепция User Behavior Analytics);

  • недостаточно строгие политики информационной безопасности для контроля трафика пользователей, в том числе при работе с конфиденциальными данными, ненадежные пароли для удаленного доступа;

  • недостаточный контроль за трафиком, который передается с условно «домашних» устройств обратно в корпоративную среду, поскольку существует возможность проникновения с помощью программных средств и несанкционированного воздействия (ПСНВ);

  • отсутствие системы контроля утечек при несанкционированном копировании информации по злому умыслу или случайно с корпоративных ресурсов; передача информации злоумышленникам.
    Доверенной средой считается ИТ-периметр организации, охваченный системами и средствами безопасности. Доверенные устройства — устройства, зарегистрированные в доверенной среде.

    7.1 Удаленный доступ: угрозы и противодействие

    Любой удаленный доступ, на практике — это расширение периметра, так как в инфраструктуре компании появляются новые подключения извне. Личные станции, на которых работают пользователи и с которых обращаются к корпоративной системе, могут быть недостаточно защищены, могут быть заранее скомпрометированы, физически утеряны или целенаправленно украдены.

    К типичным угрозам непосредственно на домашнем рабочем месте пользователя, можно отнести следующие:

    • проникновение вирусов из дома в офисную сеть, сетевая или вирусная атака на системы в периметре, например атака вируса-шифровальщика.

    • заражение документов, обрабатываемых на рабочих местах пользователей;

    • заражение компьютеров пользователей из-за недостаточных СЗИ, установленных у них на местах, и работы с потенциально открытой или потенциально зараженной информацией;

    • утечка данных из организации через рабочие места пользователей даже при контроле копирования на внешние носители, например, можно сфотографировать информацию на экране;

    • недостаточно строгая аутентификация пользователей на рабочих местах (например, доступ без пароля или с очень простым паролем);

    • утеря/воровство конечного оборудования либо данных;

    • проникновение в периметр; например, ребенок делает уроки на компьютере, случайно сохраняет или удаляет документы на сервере организации;

    • проблемы связи: для удаленной работы необходима связность, много соединений могут исчерпать полосу канала или возможности оборудования (dos, denial of service — отказ в обслуживании);

    • распространение личной информации сотрудников: где они расположены, их график работы, присутствия, возможностей, — информация становится доступной для наблюдения и использования лицами, для которых она не предназначена.
    Как информация организации становится доступна на конечных устройствах, так и наоборот, возможен удаленный доступ к личной информации с удаленных рабочих мест. Это может представлять личные риски для здоровья и качества жизни сотрудников и их близких.
    Например, если школьники занимаются удаленно, они массово регистрируются на всевозможных сервисах для конференцсвязи и регулярно ими пользуются. Это вызывает заметные риски утечек персональных данных в контексте ФЗ-152 «О персональных данных». Даже просто по объему использования сервисы дистантного обучения становятся ГИС (государственными информационными системами). Кроме того, активное использование видеосвязи приводит к раскрытию достатка и сбору информации о присутствии родителей. Таким образом, нынешний формат дистанционного обучения чреват не только рисками утечек информации, но и вполне реальными угрозами потери имущества.
    Пользователь имеет полный физический доступ к устройству, установленному у него дома, может получить доступ к файловой системе устройства и скопировать туда/оттуда информацию. Также к устройству будет иметь доступ и его окружение (члены его семьи, например). В силу указанных рисков рекомендуется выдавать пользователям права на удаленный доступ вместе с оборудованием, которое предварительно настроено с соблюдением необходимых стандартов и практик безопасности. Установка обновлений, средств защиты, отсутствие у оператора административных прав, пломбы, препятствующие вскрытию, — это все хорошие практики для повышения безопасности.
    Если выдача спецоборудования для доступа в периметр нецелесообразна или такой возможности просто нет, стоит применять средства доступа со встроенным контролем защищенности со стороны пользователя или требовать, чтобы пользователь обзавелся актуальными средствами защиты.

    В связи с экстренным режимом перехода в режим изоляции будут оправданы дополнительные меры контроля активности пользователя:

    • заблаговременное ограничение доступа к межсетевому экрану;

    • введение средств документирования действий (например, при удаленном доступе администраторов) или онлайн-мониторинга;

    • ограничение доступа к данным только узкими «текущими рамками» (до абсолютно необходимого минимума);

    • использование средств, базой для которых является инфраструктура организации, а не на открытые облачные системы; популярные облачные решения, как правило, могут размещаться за границей, что приводит к потере контроля за накапливаемыми там данными.

    • проведение инспекции всей номенклатуры используемых сотрудниками гаджетов — от персональных компьютеров до мобильных устройств, от почтовых программ до мессенджеров и удобных «браузерных» программ (приложений и сервисов, запускаемых через веб-браузер) всех видов;

    • сокращение времени, которое сотрудники проводят в соцсетях во время выполнения должностных обязанностей;

    • встречный контроль, получение согласований на изменения или доступ.
    В любом случае предоставлять удаленному сотруднику доступ «везде» по умолчанию — плохая идея.
    Регулятор — Федеральная служба по техническому и экспортному контролю, Центральный Банк, Национальный координационный центр по компьютерным инцидентам предлагают подходы, призванные обеспечить надежный режим удаленного пользования инфраструктурой и данными организаций.
    Рекомендации по обеспечению безопасности объектов критической информационной инфраструктуры при реализации дистанционного режима исполнения должностных обязанностей работниками субъектов критической информационной инфраструктуры: письмо ФСТЭК России от 20.03.2020 № 240/84/389 // Федеральная служба по техническому и экспортному контролю.
    Информационное письмо о мерах по обеспечению киберустойчивости и информационной безопасности в условиях распространения новой коронавирусной инфекции (COVID-19) // Банк России.
    Центральный Банк рекомендует финансовым организациям обеспечить применение технологий виртуальных частных сетей, многофакторной аутентификации, терминального доступа (по возможности), а также мониторинг и контроль действий пользователей удаленного мобильного доступа.
    ФСТЭК России рекомендует не допускать использование сотрудниками личных средств вычислительной техники, в том числе портативных мобильных средств вычислительной техники (ноутбуков, компьютеров, телефонов). Кроме того, регулятор рекомендует определить перечень информационных ресурсов, к которым будет предоставляться удаленный доступ, назначить минимально необходимые права пользователям, исключить возможность эксплуатации удаленных рабочих мест посторонними лицами, обеспечить двухфакторную аутентификацию работников, а также организовать защищенный доступ к серверам с помощью VPN-клиентов в комбинации с антивирусной защитой.
    В таблице 1 представлены в общих чертах представлены угрозы, связанные с переходом в режим удаленной работы, далее они будут рассмотрены более подробно.
    Таблица 1
    Оценка возникающих угроз, рекомендации по минимизации последствий

    7.2 Экспертные мнения о вопросах удаленного доступа

    Стандартным архитектурным решением для организации удаленного доступа является организация одного или нескольких узлов удаленного доступа с использованием сертифицированных средств защиты: криптографической защиты сетевых потоков (VPN), межсетевого экрана, средства систем обнаружения вторжений (IDS, intrusion detection system, система обнаружения вторжений). На внешние станции, которым дается право на удаленный доступ, как правило, также устанавливаются средства защиты: антивирусные средства, средства контроля возможных вторжений. Имеет смысл принять меры по контролю известных уязвимостей, выстроить процессы обеспечения информационной безопасности, в данном случае объектами пристального внимания должны стать жизненный цикл учетных записей, паролей, ключей доступа к VPN, обновление программного обеспечения, проверка на уязвимости.
    Сотрудники службы безопасности выполняют необходимые организационные меры по управлению и учету подобных доступов, проверку работы и необходимых настроек на средствах защиты, устанавливают и контролируют порядок действий при тех или иных инцидентах, угрожающих безопасности. В системе есть привилегированные исполнители (администраторы, разработчики), которые участвуют в управлении конфигурацией. Как правило, для слежения за их действиями применяются специальные средства контроля. Для охраны информации применяются дополнительные средства предотвращения утечек (DLP), расположенные как в инфраструктуре, так и на рабочих станциях сотрудников, в том числе работающих удаленно. Реализация мероприятий в полном соответствии с требованиями регулятора требует затрат, тем более если к системе подключено много пользователей извне.
    Существует несколько вариантов аппаратных и программных решений. Это может быть доступ через web-access, через удаленный рабочий стол, защита протоколов удаленного доступа.

    7.3 Резюме

    Итак, в данном разделе представлен сложный комплекс мероприятий, которые целесообразно проводить заранее, часть из них подразумевают регулярное исполнение. Рекомендуем использовать VPN-подключения. Производители коммерческих продуктов предлагают VPN-решения для доступа. Лучше выбирать продукты, которые сертифицированы и одобрены регуляторами. Если такой возможности нет, допустимо установить коммерческие решения, но только те, которые хорошо известны ответственному специалисту по ИБ в организации. Если в компании есть профильные специалисты, отвечающие за инфраструктуру и безопасность, возможно применять бесплатные решения для организации VPN-подключений, например OpenVPN или его аналоги. Специалисты должны будут обеспечить их грамотное развертывание, эксплуатацию и необходимые организационные мероприятия по управлению доступом и ключами.
    Если в организации налажен процессный подход к моделированию угроз, реализации и модернизации используемых моделей, ситуация неопределенности просто не возникает, и организация в целом легко перестраивается с учетом нового формата взаимодействия как с контрагентами, так и подрядчиками, а также и своими сотрудниками, внедряет новые методы защиты (VPN, антивирус, DLP, аутентификацию, инспекцию потоков, мониторинг, контроль), ориентируясь на изменившуюся модель угроз.
    Соответственно, недостаточно принять собственно меры, перечисленные в данном разделе, рекомендуется обратить внимание на системный подход к стандартизации и популяризации моделей защиты крупных и малых организаций и внедрить указанные модели на уровне отраслевых стандартов, назначить персональных ответственных за систему организации защиты. Также важно наладить образовательный процесс, с тем чтобы все сотрудники понимали, что такое системный подход к защите информации.
    Это поможет справиться с новыми задачами, возникшими сейчас, в условиях кризиса, но и с любыми изменениями, которые возникнут в будущем.
    Предыдущая часть
    2. Перемены: вызовы, адаптация, развитие
    Читать дальше
    4. Трансформируемся: продукты, проекты, изменения