Возможно ли обеспечить безопасность при переходе не удалённую работу?

В 2021 Thales Data Threat Report указывается, что 82% организаций в мире обеспокоено рисками и угрозами безопасности, возникающими при переводе сотрудников на дистанционную работу.

Достаточно часто приходится читать (например, вот в этой статье), что в условиях массового перехода сотрудников на удалённую работу; что вызвано не только пандемией Сovid 19, но и объективными процессами в экономике и социальной сфере, происходящими в последние годы; невозможно обеспечить уровень безопасности, достигаемый при работе в локальных корпоративных сетях.

При этом обычно упускается из вида то обстоятельство, что большинство проблем связанных и несанкционированным доступом и кражей данных возникает из-за неверных или злонамеренных действий людей, а не из-за несовершенства тех или иных систем. Определяющую роль в любой системе играет человеческий фактор.

На первый взгляд может показаться, что корпоративная сеть, физически размещённая в одном помещении, не включающая в себя радиоканалов и имеющая единственный шлюз в интернет, гораздо более безопасна, чем сборище различных устройств, подключёнными как получится и в самых разных точках по всему земному шару.

Мы наблюдаем психологический стереотип, укоренившееся представление о том, что чем локальнее, тем безопаснее. Современные методы защиты данных при передаче через интернет обеспечивают тот же или даже более высокий уровень безопасности, чем при передаче в локальных сетях.

При этом, физически закрытых корпоративных сетей в природе уже почти не существовало ещё задолго до пандемии. Облака и SaaS не оставили от технологии локальных рабочих мест с контролируемым доступом в интернет камня на камне. В 2019 году облачные сервисы использовал 91% компаний . „Мобилизация” и создание безопасных каналов связи с отдельными сотрудниками и удалёнными подразделениями началась очень давно, методы обеспечения безопасности удалённой работы с тех пор неплохо отработаны.

Суть не в том, как далеко сотрудник находится от офиса, а в том, насколько его рабочее место соответствует системе корпоративной безопасности. И с точки зрения безопасности самым лучшим вариантом для компании является стандартное устройство, полностью контролируемое удалённо и работающее только с определёнными приложениями.

- Будет ли готов работодатель обеспечить такими устройствами сотрудников за свой счёт?

- Правильно ли использовать разные девайсы для работы и для всего остального?

- Как это скажется на производительности труда и способности генерировать новые идеи?

Эти вопросы решаются в каждой компании отдельно, но нельзя не видеть, что общая тенденция – единое персональное устройство и для работы, и для личных целей.

Были времена, когда работник просто не мог позволить себе купить собственный компьютер и мог работать только на корпоративном. Такое положение можно принять за крайнюю, отправную точку процесса. И видно, что процесс идёт в направлении всё большей и большей автономизации и мобилизации. И, соответственно, в перенесении расходов на оснащение и содержание рабочих мест с работодателя на работника. Пандемия такой переход только ускорила.

Следуя этой тенденции, ответственность за безопасность и затраты на её поддержание также будут переноситься от компаний к сотрудникам, при этом менее важными становятся технические задачи, а более важными – юридические и психологические.

Сотрудник, работающий на контролируемом компанией устройстве, может и не знать о всех возможных угрозах и способах противодействия им. Все его действия могут быть легко отслежены и зафиксированы. «Инструктаж по технике безопасности» в этом случае сводится к минимуму, а вредоносные действия могут быть достаточно легко предотвращены или же их будет легко описать и сформировать соответствующую претензию. В 2021 Remote Workforce Security Report указывается, что 64% американцев не возражают против того, чтобы работодатель отслеживал то, что они делают на устройствах, предназначенных для работы.

Сотрудник, работающий на собственном устройстве, должен гораздо больше знать о том, чего опасается и с чем борется компания, чем работающий на контролируемом. Он должен иметь чёткие и достаточно развёрнутые инструкции относительно того, чего не следует делать – создание таких инструкций и специальных трудовых договоров — это отдельная большая работа для технической, включая поддержку, юридической и кадровой служб компании.

Unsplash

Показательно в этом смысле название статьи в Forbes The Hidden Cost Of Remote Work. CEO и совладелец OpenVPN разъясняет необходимость VPN в современных условиях, однако очевидно, что расходы на организацию, обучение и поддержку удалённых сотрудников могут оказаться гораздо большими, чем траты на приобретение каких-то особых технологических решений, например, платных VPN или программных средств управления удалёнными устройствами, таких, например как Security MaaS360® with Watson™ от IBM.

Согласно 2021 State of Remote Work Security Report обучение пользователей являются ключевой проблемой для 57% команд, работающих над обеспечением безопасности удалённой работы в 2021 году. Безопасность домашних и общедоступных сетей Wi-Fi – для 52%. Это многое должно сказать всем, кто представляет, насколько слаба может быть защита таких сетей.

В условиях взрывного роста количества удалённых рабочих мест, в выигрыше оказываются, компании, изначально строящие свою деятельность по моделям, предполагающим удалённую работу интернациональных коллективов, поскольку им не надо перестраиваться. Jake McMahon, основатель и CEO Mr.WolfeGroup: «Мы изначально набираем тех, кто может самостоятельно, или с минимальной поддержкой, обеспечить необходимый уровень безопасности при удалённой работе. Безопасность начинается с HR-департамента».

Естественно, при передаче ответственности сотрудникам становятся неактуальными многие классические принципы и методы борьбы за кибербезопасность (вот здесь они достаточно ясно и кратко сформулированы). Гораздо труднее проводить проверки, поскольку используется разная техника, разное программное обеспечение – надо применять различные методы для каждого отдельного случая. И темна будет юридическая сторона этого мероприятия, ваша проверка может быть квалифицирована как попытка взлома компьютера частного лица в другой стране или массовая рассылка фишинговых писем.

Не стоит забывать, что чем специалист более квалифицирован, тем больше он может нанести вреда. А чем он более удалён, тем сложнее будет призвать его к ответственности. Требуется несколько иной и более тщательный подход к предотвращению хищений интеллектуальной собственности и результатов совместной работы. Эта дополнительная нагрузка ложится на тимлидов и им мало кто может с этим помочь в условиях, когда их тим разбросан по всему свету.

Вообще, в любой системе, в независимости, концентрированного или распределённого, открытого или закрытого типа, невозможно обеспечить 100%-ую надежность. В своё время возникали большие проблемы с безопасностью таких простых, привычных и проверенных технологий, как, например, оплата онлайн. «Cогласно данным исследовательской компании Gartner, опубликованным в феврале 2002 г., 16% взрослых пользователей интернета, оплачивавших покупки кредитными картами, стали жертвами мошенников, которые незаконно использовали номера их карт, в то время как 8% опрошенных заявили о пропаже идентификационных данных.»

Заметно, что с тех пор ситуация поменялась, и поменялась качественно. Любые проблемы в области безопасности временны, как временны и решения этих проблем. Обеспечение безопасности при массовой удалённой работе сейчас находится в стадии, когда проблема выявлена и усиленно решается.

Материал подготовлен компанией TextMagic Ltd, поставщик услуг связанных с рассылкой текстовых сообщений, разрабатывает и продвигает веб-и интернет-SMS коммуникационные решения для предприятий, учреждений, разработчиков и физических лиц.