ИБ и удаленная работа: как Orange Business Services действует в условиях карантина

Эпидемия стала настоящим вызовом для бизнеса любого масштаба — как в России, так и за рубежом. Десятки миллионов человек, которые раньше работали из офисов, перешли на удаленный режим. Многие компании стараются побыстрее завершить переход на удаленку, забывая о кибербезопасности. Ольга Баранова, операционный директор Orange Business Services в России и СНГ, рассказывает о том, как Orange удалось перейти на дистанционный режим без ущерба как для бизнес-процессов, так и для информационной безопасности.

Во время эпидемии около 88% компаний отправили большую часть своих сотрудников на удаленный режим. Многие организации использовали удаленку и раньше, но, конечно, не в таком масштабе. Мы встретили карантин подготовленными, поскольку ввели дистанционный режим задолго до эпидемии.

Пять лет назад в Orange Business Services протестировали дистанционный режим работы. Сначала мы отобрали несколько десятков добровольцев, кто хотел проверить все на собственном опыте. Эксперимент прошел удачно, и эту практику расширили на всю компанию, разработав внутреннюю политику относительно удаленки. Важная часть политики — положения информационной безопасности (ИБ) для удаленщиков. После этого каждый сотрудник получил возможность не более двух дней в неделю работать удаленно, не приезжая в офис. До карантина примерно половина сотрудников компании пользовалась этой опцией постоянно.

Работающим дистанционно сотрудникам выдали цифровые ключи доступа к корпоративным ресурсам, плюс мы ввели проверку внешних соединений и мониторинг активности пользователей. Уровень доступа удаленных сотрудников отличается в зависимости от того, использует человек корпоративное или личное устройство. В первом случае уровень доступа выше, чем во втором.

Большинству сотрудников быстро перейти на удаленку помогло существование “антикризисного” плана и политики по удаленной работе, о которой говорилось выше.

Распоряжение по подготовке к переходу на удаленный режим работы из дома поступило от руководства примерно за три недели до объявления общего карантина — важно было успеть выполнить подготовительные мероприятия, чтобы снизить до минимума вероятность заражения сотрудников. Сейчас 95% штата переведено на домашний режим, и только 5% сотрудникам приходится ездить в офис. Эти 5% — дежурные специалисты, обслуживающие корпоративное и клиентское оборудование, представители отдела кадров и те специалисты, кто отвечает за работу с контрагентами и партнерами, которые не перешли на удаленный режим.

Ниже рассказываем по пунктам, что было сделано.Ниже рассказываем по пунктам, что было сделано.

Глобальный переход на удаленный режим удалось выполнить всего за 14 дней — это очень небольшой срок для такой крупной организации, как наша. При этом мы еще и помогали переходить на удаленный режим работы клиентам и партнерам. Прямо сейчас выполняется около 120 проектов по организации удаленки с российскими и зарубежными компаниями. Это ритейл, банки, промышленные предприятия и представители многих других отраслей.

Человек — самое уязвимое звено в системе информационной безопасности, поэтому сейчас киберпреступники утроили усилия для атаки на удаленных пользователей. Ну а фокус в Orange сместился с корпоративной сети (она хорошо защищена) на удаленных пользователей. Мы делаем все, чтобы безопасность удаленной работы была не ниже безопасности работы в офисе.

Одно из условий нормальной работы “удаленщика” — широкий интернет-канал. Пропускной способности должно хватать не только на работу с документами, софтом и системным ПО, но и для видео-аудио конференций. Но качественного и быстрого интернет-соединения недостаточно, оно должно быть еще и безопасным. Для того, чтобы сделать его таким, нужно использовать защищенный доступ через VPN. Это защищенный туннель, который строится от пользователя в корпоративную сеть через VPN шлюз. Шлюзом называется группа серверов, которые терминируют туннели от внешних пользователей. Работа с внутренней сетью ведется только через шлюз. Удаленщикам выдаются цифровые ключи, которые позволяют аутентифицировать пользователя (аутентификация - процесс подтверждения, что человек тот, за кого себя выдает). Используя все это, сотрудник с точки зрения информационной безопасности не выходит за рамки корпоративной сети, где бы он ни находился.

ИБ на выдаче ключей не заканчивается. Мы используем и другие системы корпоративной безопасности, специализированное ПО и оборудование. Важнейший ресурс — центр мониторинга киберугроз (Security Operation Center или SOC). SOC, фактически, это отдельная организация, целый комплекс технологий, процессов и людей. Главные ее цели — сбор и анализ событий с IT систем и своевременное уведомление владельцев IT систем об инцидентах ИБ (например, вирусная активность, подборы паролей). Очень важно предотвратить саму возможность прорыва киберпреступников в защищенную зону. Для этого необходимо постоянное наблюдение за инфраструктурой и своевременное реагирование на самые, на первый взгляд, незначительные события и аномалии в IT системах и на сети предприятия.

Сейчас работа SOC смещена в сторону удаленного доступа. Ведется анализ событий, мониторинг подключений извне. На основе выявленных подозрительных активностей формируются новые правила, которые дают возможность администраторам информационной безопасности быстро реагировать на возникающие угрозы. Один из главных трендов в киберугрозах — это увеличение объема фишинг-рассылок. Их проводят киберпреступники для того, чтобы обмануть пользователей. Например, заставить их перейти по ссылкам, за которыми скрываются скрипты с вредоносным ПО для получения контроля над оборудованием и данными, или же перейти на фейковые страницы с предложением выполнить аутентификацию для кражи логинов и паролей.

За пять лет удаленной работы мы накопили массу опыта. На его основе можно сформировать рекомендации по переходу на дистанционный режим работы.

Разработать план на случай кризисных ситуаций. Не только карантина, но и любых других. Должно быть четкое понимание действий сотрудников компании в случае появления серьезных проблем. Представьте, например, что на работу не могут выйти 30, 50, 95% сотрудников. Чем это грозит бизнесу, что нужно делать, чтобы нивелировать проблему, какие шаги предпринять? Подобные ситуации и ответные действия компании должны быть прописаны в плане.

Также нужно понимать, как восстанавливаться в случае наступления инцидента кибербезопасности. Пример — делать бэкапы, иметь актуальные данные для быстрого восстановления затронутых инцидентом IT-систем. План позволяет не поддаваться панике, а действовать согласно разработанным ранее правилам. В Orange есть специальная политика Business Continuity Management & Crisis Management. В ней четко расписаны планы действий в той или иной чрезвычайной ситуации. Решением AFNOR Certification подтверждено соответствие системы менеджмента нашей компании требованиям стандарта ISO 9001:2015.

Постоянно проводить подготовку сотрудников по информационной безопасности, а также организовать горячую линию для удаленщиков. Например, человек, который сидит в офисе, получив странное (подозрительное) письмо, может проконсультироваться с коллегой, который сидит рядом, или с руководителем. А вот в домашних условиях это сделать сложнее — личного контакта нет, а на рабочую нагрузку накладывается стресс от изменения режима работы, влияние каких-то внешних факторов вроде шума и т.п. Поэтому внимание сотрудника рассеяно, он может допустить ошибку и случайно открыть фишинговое письмо, запустив выполнение зловредного ПО или перейти на поддельный сайт и ввести свои учетные данные. Соответственно, корпоративная сеть может оказаться скомпрометированной. Теоретическая подготовка поможет сотруднику понять, с какой угрозой он столкнулся, а горячая линия позволяет быстро ликвидировать угрозу.

Сместить фокус отдела информационной безопасности на работу с системами удаленного доступа. Меры могут быть не только техническими, но и организационными, что было показано выше. К последним как раз и относятся консультации, тренинги и т.п. Что касается технических инструментов, то службе информационной безопасности нужно усилить контроль за событиями в сети, анализировать необычные действия пользователей на корпоративных устройствах, выявлять попытки взлома корпоративных ресурсов на ранней стадии.

Проапгрейдить информационные системы компании, чтобы они могли справиться с возросшей нехарактерной для обычной жизни нагрузкой. Строго рекомендуется использовать доступ в сеть предприятия через VPN, чтобы все данные передавались по защищенному от внешних вмешательств туннелю. Удостовериться, что антивирусное ПО имеет действующую подписку на сигнатуры, а операционная система получает все необходимые патчи безопасности. Также не лишним будет шифрование диска ноутбука для исключения утраты чувствительной информации при краже устройства.