Как избежать утечки данных, если сотрудники работают удалённо
Многие компании столкнулись с вынужденным переводом сотрудников на удаленную работу. При этом возникают проблемы, связанные с обеспечением сотрудников необходимыми ресурсами для работы и с потенциальными рисками утечки данных в этих условиях.
Не во всех предприятиях есть квалифицированный персонал, способный настроить удаленный доступ для сотрудников и сохранить при этом все данные компании в безопасности.
Эта статья будет полезна владельцам небольших компаний, оказавшихся в такой ситуации. Мы расскажем о способах организации удаленного подключения к офисным ресурсам, не требующих специального оборудования и дополнительных серверов.
Откуда берутся проблемы безопасности
Когда ваши сотрудники работают в офисе, необходимые рабочие ресурсы располагаются на их компьютерах или в локальной сети. Таким образом никто посторонний не может получить к ним доступ, находясь за пределами офиса.
Когда сотрудники работают удаленно, доступ к рабочим ресурсам происходит через сеть Интернет, и здесь возникает масса возможностей для утечки данных, вследствие чего их получат третьи лица.
Многие полагают, что их данные не представляют интереса для злоумышленников, и поэтому легкомысленно относятся к проблемам безопасности. В действительности существуют хакерские системы, которые перебирают все компьютеры, к которым можно получить доступ через сеть Интернет, и пытаются внедриться в эти компьютеры. Цель такой атаки – не украсть чьи-то данные, а именно получить доступ к компьютеру. Получив доступ, злоумышленники смогут в дальнейшем использовать этот компьютер, чтобы осуществлять с него другие атаки (возможно, от имени «взломанного» пользователя).
Ниже мы расскажем об основных типах утечки данных и самых простых мерах, которые стоит принимать для обеспечения безопасности, а потом расскажем подробнее о вариантах организации удаленной работы, сопутствующих рисках и способах их устранения.
Потеря логина и пароля
Важно следить за тем, чтобы у посторонних людей не было возможности украсть учетные данные ваших сотрудников. Попросите их выполнять следующие правила:
- Записывая логин и пароль на бумаге, хранить ее в надежном месте.
- Пользуясь компьютером или телефоном в общественном месте, блокировать оставленное без присмотра устройство (использовать пароль для доступа к устройству).
- Избегать пересылки логинов и паролей в незашифрованном виде. Нельзя быть уверенным в безопасности своих данных после того, как они отправлены кому-то еще, потому что невозможно проследить за мерами безопасности, которые предпринимают другие люди. К тому же существует вероятность ошибки и отправки сообщения не тому адресату.
Подбор логина и пароля специальными программами
Злоумышленники используют специальное программное обеспечение, которое подключается к удаленному открытому ресурсу и пробует получить доступ к нему, перебирая распространенные пароли. Поэтому не стоит использовать в качестве паролей слова из естественного языка, последовательности цифр, удобные для набора сочетания клавиш (например, qwerty). К сожалению, удручающе большое количество пользователей выбирают себе именно такие пароли. Предложите своим сотрудникам поискать свои пароли в списках самых распространенных паролей: Самые популярные пароли.
При использовании простых паролей данные находятся практически в открытом доступе. Чтобы обезопасить корпоративные данные, попросите своих сотрудников придумывать длинные и сложные пароли, содержащие спецсимволы помимо цифр и букв. Также стоит использовать разные пароли, регистрируясь в разных сервисах, и почаще менять пароли.
Уязвимости в сетевом оборудовании или программном обеспечении
Уязвимость – это слабое место системы, которое злоумышленник может использовать, чтобы внедриться в нее. Используя уязвимости, хакеры меняют поведение программ и присваивают себе права для просмотра ваших данных.
Уязвимости вкрадываются в программное обеспечение на любом этапе его разработки: они могут возникнуть из-за недочета в проекте системы или быть результатом ошибки программиста.
С такого рода уязвимостями трудно бороться, не обладая специальными знаниями. Вы можете напомнить своим сотрудникам, что важно устанавливать обновления для операционной системы и приложений, когда они предлагают это сделать. Разработчики создают обновления, исходя из имеющихся сведений о вредоносных программах.
Сетевое оборудование также предоставляет злоумышленникам возможности для атаки. Одна из основных причин в том, что пользователи редко задумываются о необходимости позаботиться о безопасности сетевого оборудования. Например, вы, скорей всего, сможете найти в Интернете логин и пароль от своего маршрутизатора по его модели: большинство пользователей не меняет установленные по умолчанию учетные данные.
Типовые схемы работы из дома
- Доступ к файловому серверу. Для удаленной работы с файлами можно использовать облачное хранилище, скопировав туда нужные файлы. Такую возможность предоставляют Google Drive, Dropbox, Yandex Disk, Облако Mail.ru, Microsoft OneDrive, iCloud и другие сервисы. Выбирая сервис, обратите внимание, в каком случае им можно пользоваться бесплатно, а в каком – необходимо покупать доступ.
- TeamViewer. Используя TeamViewer, можно подключиться со своего домашнего компьютера к рабочему столу офисного компьютера и получить доступ ко всему, что там находится. Также TeamViewer предоставляет режим передачи файлов, что удобно, если есть необходимость пересылать объемные файлы. Программа отличается простотой в настройке и удобстве использования, но здесь также необходимо обратить внимание, в каком случае ее можно использовать бесплатно. Программа TeamViewer бесплатна для личных и некоммерческих целей, а также в качестве пробной версии для бизнес-пользователей. Чтобы использовать приложение на постоянной основе в коммерческих целях, приобретите подписку.
- Подключение к удаленному рабочему столу с помощью RDP (Remote Desktop Protocol). Эта возможность предоставляется Windows, но в данной статье мы не будет рассматривать настройку доступа по RDP, так как это требует продвинутых навыков уровня профессионального системного администратора.
- Доступ к сети компании по VPN. Это хороший вариант для компаний, обладающих специальным персоналом. В рамках данной статьи мы не будем его подробно рассматривать.
Уязвимости схем и способы их устранения или хотя бы уменьшения
Доступ к файловому серверу
Неправильная настройка доступа
Доступ к облачному хранилищу можно настроить таким образом, чтобы работать с ним могли только указанные пользователи. В противном случае злоумышленники получат доступ к вашим файлам: смогут читать их, редактировать и удалять.
Настройка прав доступа к документу на примере Google Drive:
Обратите внимание, что вы можете предоставить разные права вашим сотрудникам. Необязательно давать всем доступ к редактированию файлов. Выберите минимальные необходимые права для каждого сотрудника.
Перехват паролей
Когда вы предоставляете доступ пользователю по его почтовому адресу, злоумышленник может получить ваши файлы, взломав почту этого пользователя (например, подобрав его пароль).
Хакеры проводят фишинговые атаки, рассылая пользователям Интернета письма, призывающие их перейти по ссылке и ввести свои учетные данные (фишинг – это тип мошенничества, при котором злоумышленники вводят пользователя в заблуждение и заставляют его раскрыть свой пароль, номер кредитной карты или другую конфиденциальную информацию). Такие письма часто выглядят так, как будто их отправителем является банк, платежная система или еще какая-нибудь внушающая доверие организация.
Существуют разные типы фишинговых атак. Атаки могут быть случайными или прицельными. При проведении прицельных фишинговых атак осуществляется сбор пользовательских данных по всевозможным каналам, включая профили в социальных сетях и на различных сайтах. Таким образом, если пользователь везде использует одинаковые или похожие пароли, в случае утечки данных с одного сайта скомпрометированными оказываются и все остальные учетные записи этого пользователя. Это значит, что злоумышленник сможет получить доступ к данным, хранящимся на файловом сервере, к которому у этого пользователя есть доступ.
Один из самых известных случаев утечки данных из облачного хранилища был результатом прицельной фишинговой атаки. Тогда злоумышленники похитили около 500 личных фотографий знаменитостей, хранившихся на сервере iCloud компании Apple с помощью подбора паролей. После этого случая Apple ввела систему уведомлений, оповещающих пользователей о подозрительной активности, и посоветовала использовать более сложные пароли.
Сообщите своим сотрудникам, которые получат доступ к файлам в облачном хранилище, о необходимости установить сложные пароли, которые они больше нигде не используют, и регулярно их менять, а также проявлять бдительность при получении подозрительных рассылок.
Не используйте облачное хранилище для передачи критичных данных! Любую систему можно взломать, и киберпреступники постоянно придумывают новые способы как это сделать. Данные, утечка которых нанесет серьезный урон вам или вашей компании (например, данные банковских счетов, паспортные данные), не стоит помещать в облачное хранилище, даже если вы предприняли все меры для его защиты.
Уязвимость на сервере
Даже если вы ограничили доступ к облачному хранилищу узким кругом надежных пользователей со сложными паролями, вы не можете быть уверены в том, что посторонние лица не получат доступ к серверу облачного хранилища.
В 2010 году произошел первый случай массовой утечки данных из облачного хранилища. Компания Microsoft объявила, что неавторизованным пользователям удалось скачать данные из облачного сервиса Business Productivity Online Suite. Это произошло из-за ошибки в конфигурации в центрах обработки данных, расположенных в США, Европе и Азии.
Во избежание утечки конфиденциальных данных на сервере стоит хранить только файлы, защищенные паролями. У документов некоторых форматов (например, у документов, созданных в Microsoft Office) есть возможность установить такую защиту. Расскажем, как это сделать, на примере документа Microsoft Word 2016:
- Нажмите на вкладку ФАЙЛ слева вверху;
- Выберите в левом меню Сведения;
- Нажмите на картинку Защита документа;
- В выпадающем меню выберите пункт Зашифровать с использованием пароля;
- Введите сложный пароль, нажмите OK;
- Снова введите пароль и нажмите OK.
Теперь для открытия этого документа понадобится ввести пароль.
Также на сервер можно помещать файлы в защищенных паролями архивах.
Чтобы избежать утери файлов, посоветуйте своим сотрудникам регулярно копировать все файлы с сервера к себе на компьютер.
Доступ к рабочему компьютеру через TeamViewer
От существующих аналогов TeamViewer отличается простотой в настройке. Чтобы подключиться к удаленному рабочему столу, необходимо установить программу и настроить ее по инструкциям. Программу можно скачать с сайта https://www.teamviewer.com, а инструкции взять здесь: https://www.teamviewer.com/ru/res/pdf/first_steps_permanent_access_ru.pdf.
Основная возможная проблема безопасности при использовании TeamViewer – это утечка логина и пароля для подключения к удаленному компьютеру. Если все ваши сотрудники придумают сложные пароли и будут надежно хранить свои учетные данные, скорей всего, этого будет достаточно для защиты безопасности.
Впрочем, даже программное обеспечение TeamViewer можно взломать. В 2016 году хакерам из Китая удалось это сделать при помощи троянской программы-бэкдора, разработанной кибергруппой Winnti. Такая программа изменяет код приложения, дописывая туда свои команды.
Специалисты TeamViewer, отвечающие за безопасность, обнаружили вторжение вредоносного ПО до того, как были украдены пользовательские данные. После этого команда TeamViewer провела глобальное сканирование своей системы, чтобы очистить ее от всех бэкдоров, которые могли остаться после атаки.
С подобными случаями рядовые пользователи ничего не могут сделать. Остается только посоветовать всегда сохранять бдительность при удаленной работе, внимательно подходить к выбору поставщиков программного обеспечения и своевременно устанавливать обновления.
Доступ к рабочему компьютеру через RDP
RDP (Remote Desktop Protocol) – это технология, которая позволяет подключить через Интернет ваш домашний компьютер в офисную сеть так, как если бы он стоял в офисе и ему были доступны все сетевые ресурсы.
На этом способе не будем подробно останавливаться. Настроить доступ через RDP, не обладая специальными навыками, сложно, и этот способ не является абсолютно безопасным: существуют те же проблемы с перехватом учетных данных и подбором слишком простых паролей. Также к утечке данных может привести уязвимость ОС Windows – данные передаются напрямую, и злоумышленник может получить доступ к порту удаленного рабочего стола через сеть Интернет.
Доступ к сети компании по VPN
Сделать удаленную работу по RDP более безопасной можно с помощью настройки VPN. Безопасность при использовании VPN (Virtual Private Network) обеспечивается благодаря созданию защищенного шифрованием «туннеля» между вашим домашним компьютером и офисной сетью.
Если вас интересует настройка удаленного доступа по RDP с VPN, можете изучить следующие материалы: Пример настройки подключения к домашнему компьютеру по RDP, Подключение к рабочему столу Windows через VPN-подключение.
Заключение
Удаленная работа может привести к утечке данных вследствие неосторожности сотрудников или чьих-то злонамеренных действий. Однако, даже не имея в своем штате квалифицированного персонала для настройки удаленного доступа к рабочим местам, вы можете существенно повысить безопасность, выполнив несложные рекомендации, которые мы описали в этой статье.