Как защитить устройства и данные компании в гибридном режиме

Пропустим абзац про «пандемия изменила мир»: люди работают удалённо. Вакцины и веранды не вернули сотрудников в офис, и 90% топ-менеджеров приняли гибридный режим как данность. Новая реальность приносит новые проблемы: как защитить конфиденциальность данных и устройств компании, когда все не находятся под одним сервером? Этому и посвящён наш текст.

Под редкими новостями об антивирусах комментарии на VC полны удивления: а кому в 2к21 они нужны? Действительно, потребительских атак — например, скринеров, вымогающих денег за разблокировку — стало в разы меньше. Основных причин две: рост общей компьютерной грамотности пользователей и переключение внимания хакеров на бизнес: данные компаний банально стоят дороже.

По исследованию Microsoft, 39% малого и среднего бизнеса в России столкнулись с целенаправленными кибератаками. Ключевых целей три: персональные данные (база клиентов/пользователей), учётные данные (логин/пароль для входа в сервисы) и, конечно, финансовые и платёжные данные. При этом соотношение примерно одинаково: на каждый тип информации приходится около трети атак.

Важно понимать: данные дороже денег. Базу клиентов можно продать конкурентам, конфиденциальной информацией можно шантажировать владельцев, а бизнес-ассеты — использовать для обмана пользователей. Совсем недавно это случилось с «ДоДо Пиццей»: мошенники скопировали сайт пиццерии для создания фишинговых страниц и кражи денег. Буквально на днях «слили» больше миллиона сканов паспортов российских клиентов Oriflame. Подобные ситуации грозят не только краткосрочным, но и долгосрочным падением прибыли: с потерей репутации уходят и потенциальные клиенты.

Несмотря на стабильный рост подобных кейсов, в вирусы и злоумышленников бизнесу верить неохота. Может, оно и к лучшему: вероятность того, что данные попадут в общий доступ по вине нерадивого сотрудника, выше. Особенно актуальным этот момент стал сейчас: если в закрытом для внешних угроз офисе найти «утечку» ещё относительно легко, то в гибридном режиме работы с его бесконечным количеством разных устройств, сетей и часовых поясов контур растягивается недозволительно широко.

И если закрыть всех на одной физической территории уже не получится, то онлайн это сделать немного легче. Собрать сотрудников, устройства и сервера и постараться максимально закрыть всё для входа и выхода: с таким количеством неизвестных легче вообще никому не доверять. Это называется Zero Trust Security Model (модель безопасности нулевого доверия), и всё больше компаний на неё переходят. Вот почему это стоит сделать вам.

Модель нулевого доверия (Zero Trust) запрещает всё, что не разрешено, и считает любое нестандартное действие сотрудников вредоносным. Работает по принципу полётов во время пандемии: есть гости из «белого списка» стран и все остальные, которых либо не пускают, либо держат на карантине. Неудобно, долго, раздражает туристов: зато ограничивает количество угроз и скорость их распространения.

Эта модель стала настолько популярна, что в США её недавним президентским указом обязали принять все государственные агентства. Её ключевая особенность: недоверие участникам не только снаружи, но и внутри периметра компании. Если от большинства вирусов и фишинговых атак компанию может защитить софт, то от человеческой ошибки могут защитить только более умные (и менее доверчивые) люди. Поэтому вместе со рвом и стенами вокруг вашего замка каждому его жителю выдаётся щит и меч.

Параллельно защите от атак бизнес, следующий Zero Trust, пытается минимизировать возможные потери. В ход идут градация уровней доступа (к финансовой информации) и сокращение привилегий (доступ только к разрешённым сервисам и приложениям, остальные — по штучным запросам). Ключи и пароли сложные или одноразовые, хранятся в менеджере паролей у руководителя компании или IT-сотрудника.

Один из плюсов Zero Trust модели: приоритет эффективных мер перед «театром безопасности». Ресурсы тратятся соответственно ценности защищаемых данных, а не «размазаны» равномерно. Параллельно с сервисами вроде VPN 2FA в команде появляется осознанное понимание того, как и почему данные могут оказаться в общем доступе. Иконка антивируса в трее больше не усыпляет бдительность: ответственность всё так же лежит на сотрудниках.

Так как модель нулевого доверия — скорее порядок принципов, нежели чем набор программ, его сложно реализовать с нуля. Необходимый софт кажется дорогим или ненужным, а сама идея — слишком комплексной для реализации. Поэтому мы выделили основные шаги, которые можно реализовать без привлечения IT-специалиста.

Проведите инвентаризацию софта. Создайте белый и жёлтый список программ: в белый список добавьте софт, разрешённый всем, в жёлтый — только определённым группам сотрудников. В идеале — соберите ссылки на дистрибутивы в одном месте (например, сервере компании): программы будет легче устанавливать, а вы будете знать, что нерадивые сотрудники не качают exe-шки с недостойных сайтов.

Проведите ревизию облаков. Проверьте настройки конфиденциальности всех облачных сервисов вроде Notion, Google Документы, Miro. Многие из них индексируются поисковиками: вспомните недавнюю ситуацию с Trello. Также приучите сотрудников «шарить» не на всех, а только на почтовый домен компании или по приглашению.

Соберите коммуникацию в одном месте. Важные файлы «уходят» в переписках, поэтому важно их ограничить до одного-двух каналов — в идеале с возможностью управления. Важно учитывать, что беседы нельзя «залочить» — если телеграм удобнее Teams, сотрудники будут общаться в нём. Вместо жёстких ограничений лучше использовать мягкую силу: например, вести в нужном приложении важные для компании рассылки.

Подключите 2FA и MFA. Двух- и мультифакторная авторизация сильно (но не полностью) ограничивает число тех, кто может зайти в сервисы вроде соцсетей, таск-менеджеров и онлайн-банкинга: помимо постоянного пароля человеку нужен моментальный код. Для генерации таких кодов используйте приложения, а для смс-подтверждений заведите виртуальный номер, который не стоит где-либо «светить».

Разделите рабочий и гостевой Wi-Fi. Гибридный режим предполагает хаотичное появление сотрудников — и устройств — в офисе. Разделите Wi-Fi на 2 канала (в идеале — на 2 независимых роутера): рабочий для одобренных девайсов и гостевой для внешних и мобильных устройств. Доступ к важным сервисам залочьте только на рабочую сеть.

Сегментируйте команду и данные. Думайте о защите не компании, а конкретных пластов информации. Как легче всего добраться до персональных данных ваших клиентов? Какой сервис или сотрудник может быть слабым звеном? Визуализируйте все входы и выходы на схеме и постарайтесь ограничить каждый из них.

Надеемся, наша инструкция будет вам полезна. Дополнительные вопросы можете задать в комментариях или в личных сообщениях — обязательно ответим. Мы постараемся регулярность писать на VC о кибербезопасности малого и среднего бизнеса и новых стандартах в этой сфере. Подписывайтесь!