Кибербезопасность для бизнеса: защита данных в эпоху удаленной работы

Дмитрий Родионов

Технический директор Riverstart

Работа из дома традиционно считается менее безопасной по сравнению с привычным офисным форматом. Причина очевидна: сотрудники подключаются к корпоративным системам с собственных устройств по неподконтрольным компании сетям, и никто не знает, не открывается ли таким образом лазейка в IT-инфраструктуру, которой могут воспользоваться киберпреступники.

Как развитие удаленной работы влияет на кибербезопасность

Сейчас 59% начальников по информационной безопасности (ИБ) положительно относятся к удаленному формату работы, в то время как в весной 2020 года «удаленку» считали небезопасной 61% руководителей российских организаций.

Нельзя сказать, что смена настроения произошла из-за отсутствия реальных угроз — объем кибератак в последние годы только растет. По данным центра мониторинга внешних цифровых угроз ГК «Солар», за 2023 год в публичный доступ попали данные почти 400 российских организаций. Это означает, что в прошлом году в России каждый день происходила как минимум одна утечка данных.

На теневых ресурсах постоянно появляются предложения о продаже архивов внутренней документации: сканов документов, информации с рабочих компьютеров, исходного кода программных продуктов. Причем объем растет от года к году: по данным другого исследования, в сравнении с 2022 годом в 2023 году число подобных объявлений увеличилось на 42%, а за первые месяцы 2024 года в даркнет утекли данные 170 компаний — это 40% от всего числа инцидентов за 2023 год. По данным исследования Positive Technologies, чаще всего предметом воровства становятся персональные данные, причем в 2023 году процент вырос относительно 2023 года.

При этом, по данным компании Kaspersky, 70% утечек данных происходит через ноутбуки, планшеты или мобильные телефоны — те самые устройства, с которых работники подключаются из дома, кафе и многих других мест, где сейчас привыкли работать сотрудники.

Все это формирует реальность, в которой компании не могут отказаться от удаленного режима, чтобы привлекать работников, и вынуждены планировать свою стратегию, исходя из постоянного присутствия киберугроз.

Зачем хакеры атакуют компании

По данным исследователей ГК «Солар», главная цель сегодняшних киберпреступников — заражение компании шифровальщиком, который превращает информацию на корпоративных серверах и компьютерах в мусор.

Такие злоумышленники пытаются заработать на выкупе — некоторые организации готовы платить десятки и даже сотни миллионов, чтобы вернуть данные в рабочий вид. К примеру, одна из хакерских группировок, промышляющих атаками на российские компании, требует от жертв до 10% их годового дохода, а рекордная сумма выкупа за всю историю кибератак в России составила 1 млрд рублей.

На втором месте среди мотивов киберпреступников — политические цели (хактивизм). В этом случае хакеры стремятся причинить как можно больший вред, даже не пытаясь заработать на своих жертвах. Одна из самых громких подобных историй — утечка из сервиса Яндекс.Еда в 2022 году, когда в сеть попали данные заказов миллионов пользователей.

Топ-3 целей преступников завершают направленные атаки, которые организуют профессиональные группировки (advanced persistent threat, APT). Такие хакеры составляют всего около 20% от общего числа атакующих российские компании.

Источник данных Solar JSOC CERT

Низкий порог входа в мир киберпреступности — важная причина взлета числа кибератак, которые мы наблюдаем в последние годы. На теневых форумах можно взять в аренду шифровальщик, купить данные о взломанной корпоративной системе, заказать рассылку фишинговых писем-приманок и провести вредоносную кампанию в полуавтоматическом режиме.

Распространение удаленной работы дополнительно упрощает хакерам задачу. Бизнесу стоит готовиться к худшему: рано или поздно киберпреступники «постучатся» и к вам. Так что инвестиции в информационную безопасность — критически важная статья бюджета, особенно если в компании много удаленных сотрудников.

Какие киберугрозы возникают при удаленной работе

Сотрудники используют для работы собственные ноутбуки, смартфоны, планшеты. Компания не может быть уверена, что эти устройства адекватно защищены от киберугроз. При подключении к корпоративным системам из домашних и общественных сетей взломщики могут перехватить данные, в том числе пароли для доступа в защищенные сегменты.

Если злоумышленники получат в свое распоряжение учетные данные сотрудников, они смогут подключаться к инфраструктуре под их именем — при удаленном доступе обнаружить такого самозванца сложнее. И тогда киберпреступники могут выступить от лица компании или ее руководства и поручить сотрудникам выполнить какие-либо действия: провести платеж, отключить систему безопасности, сообщить важные данные. Сейчас, благодаря развитию нейросетей, можно не только написать сообщение, но и подделать голос и даже выдать себя за другого человека по видеосвязи при помощи дипфейков.

Чтобы перечислить все угрозы безопасности, которые сегодня направлены на компании, понадобится целая серия статей. Мы рассмотрим главные риски, актуальные для удаленной работы. Они связаны с вмешательством в каналы коммуникации, проникновение в корпоративную инфраструктуру и воздействие на IT-сервисы:

• Внедрение вредоносного ПО для перехвата закрытых данных.
• Проведение DDoS-атак для нарушения работы сайтов, веб-приложений, корпоративных систем.
• Организация фишинговых рассылок, позволяющих узнать логины и пароли к IT-системам и обойти средства безопасности.
• Применение социальной инженерии — ошибок человеческого фактора — для проникновения в закрытые инфраструктуры и установки сторонних приложений.
• Атаки на веб-сервисы с использованием уязвимостей ПО, манипуляций с веб-запросами или комбинации нескольких методов для вмешательства в работу сайтов и IT-сервисов.
• Атаки ботнетов — сетей зараженных устройств, которые рассылают спам, подбирают пароли, внедряют вредоносные приложения.

Разберем три направления работы, о которых компании стоит позаботиться в первую очередь, чтобы нивелировать эти риски.

Совет №1: обеспечьте защищенное подключение к корпоративным ресурсам

Первое, о чем необходимо позаботиться, — это создание безопасного доступа к рабочим системам и хранилищам данных, с которыми ваши сотрудники должны взаимодействовать в удаленном режиме.

Корпоративные IT-сервисы не должны быть доступны из «большого» интернета, как обычный сайт. Кроме того, сотрудники не должны подключаться к ним по обычным каналам связи, в которые теоретически могут вмешаться посторонние лица.

Используйте корпоративный VPN

Виртуальная частная сеть — это технология, создающая защищенный канал связи поверх обычного. Доступ к корпоративной инфраструктуре будет закрыт для обычных интернет-пользователей, а сотрудник сможет подключаться из любой точки, не создавая угрозы перехвата данных.

Компании предпочитают обращаться к корпоративным VPN-решениям от известных разработчиков, как, например, «С-Терра», «Инфотекс», «Код безопасности». Часто такие продукты объединяют в себе функции нескольких систем безопасности: антивирус, межсетевой экран, средства мониторинга и контроля доступа для централизованного управления политиками безопасности.

Другой вариант — использовать продукт с открытым кодом. Преимущество такой системы в том, что при необходимости ее можно гибко доработать под особенности компании и ее специальные запросы. Наиболее популярные среди таких решений — OpenVPN Access Server, Wireguard VPN и другие.

Внедрите многофакторную аутентификацию (MFA)

Системы многофакторной аутентификации добавляют еще один слой безопасности к обычным паролям. Тогда для авторизации в системе нужно ввести код из СМС или из письма, которое пришло на сторонний email. Такой метод помогает сохранить конфиденциальность, даже если преступник как-то получит пароль от аккаунта сотрудника.

На рынке есть множество решений для многофакторной аутентификации, которые можно интегрировать в корпоративные системы. Главные критерии выбора — это:

• Доступные методы аутентификации — СМС, пуш-уведомление, звонок и другие.
• Возможность интеграции с корпоративными системами — VPN, межсетевыми экранами, рабочими приложениями и прочим.
• Централизованные инструменты управления, чтобы настроить политику безопасности, мониторинг и формирование отчетности.
• Возможности масштабироваться и выдержать растущее количество пользователей и устройств.
• Шифрование данных аутентификации на всех этапах.

Организуйте IAM — централизованное управление доступом к инфраструктуре

Централизованное управление доступом (Identity and Access Management, IAM) — это комплекс технологий, который помогает компании контролировать, кто и как может работать с корпоративными ресурсами.

Внедрение этого подхода начинается с аудита текущих систем и процессов управления доступом. Компания должна определить слабые места, уязвимости и риски, а потом может создать политику управления доступом и прописать в ней правила, по которым доступ можно предоставить, изменить или отозвать.

Лучше следовать принципам минимального доступа и необходимости знаний (Least Privilege, Need-to-Know) — сотрудникам не нужно выдавать лишние права, которые не требуются для их работы.

Следующий шаг — выбор подходящего IAM-решения. Крупнейшие представители на этом рынке — это, например, Microsoft Azure AD, Google Identity, IBM Security, Oracle Access Management. Как и в случае решений для многофакторной аутентификации, важно убедиться, что решение поддерживает интеграцию с системами и сервисами, которые вы в компании используете.

Внедрение IAM-решения откроет возможности для безопасной и удобной работы с корпоративной инфраструктурой. Какие это возможности:

• Централизованная система единого входа (Single Sign-On) — сотрудники смогут использовать один набор учетных данных для доступа к разным системам и не запоминать множество паролей для каждой.
• Автоматическое предоставление и отзыв доступа у пользователей — при изменении должности или увольнении сотрудника IT-службе не придется вручную обновлять настройки доступов.
• Регулярный аудит и мониторинг — автоматические проверки существующих прав и анализ активности пользователей снимают с IT-подразделения еще часть рутинной работы.
• Соблюдение регуляторных требований — некоторые IAM-системы позволяют в несколько кликов настроить права доступа, например, в соответствии с требованиями законодательства страны.

Совет №2: следите за событиями в корпоративной сети

Невозможно говорить о безопасности, если компания не знает, что происходит в ее инфраструктуре.

Раньше сотрудникам IT-подразделений приходилось вручную разбираться с логами событий, отслеживать признаки подозрительной активности и принимать решения о блокировке действий. Сейчас значительную часть работы на себя берут автоматические системы.

В зависимости от бюджета и размера организации нужны разные средства контроля. Если у компании около сотни сотрудников или того меньше, она может обойтись небольшой системой мониторинга и антивирусами на рабочих компьютерах. Холдинги с дочерними обществами и филиалами по всей стране частенько поручают функции безопасности отдельным компаниям. Но принцип построения защиты един.

Проконтролируйте рабочие компьютеры сотрудников

Компания должна иметь возможность вовремя заблокировать подозрительную программу или отследить попытку скопировать конфиденциальный документ. Решением может быть антивирус или полноценная система, которая находит и предотвращает вторжения.

Антивирусы

Корпоративные антивирусы предлагают больше возможностей по сравнению с программами для частных пользователей. Такие продукты, как Kaspersky Endpoint Security for Business, Symantec Endpoint Protection, ESET Endpoint Security и другие, позволяют создать многоуровневую защиту от угроз. Часто они включают в себя антиспам, противодействие фишингу, базовую защиту от угроз нулевого дня с использованием технологий машинного обучения, определением вредоносной активности по базам данных и результатам анализа поведения.

IDS-системы

На практике средней и крупной компании уже не хватит возможностей антивируса, потому что придется учитывать более серьезные угрозы. В этом случае бизнесу стоит использовать IDS/IPS, то есть intrusion detection/prevention systems — системы обнаружения и предотвращения вторжений. IDS-системы обнаружения могут распознать вторжение в сеть еще до того, как злоумышленник сможет как-то вам навредить, причем в реальном времени.

Есть два основных подхода:

1. На основе сигнатур: система знает шаблоны атак, и если она находит код, который похож на вредоносный, то считает его подозрительным и отправляет на дополнительную автопроверку или даже ручную проверку.
2. На основе аномалий: есть базовые профили с прописанным набором базовых действий, например порогом использования интернет-канала. Если действия становятся отличными от «нормальных» для профиля, IDS бьет тревогу.

Используйте отечественные решения от разработчиков, которые уже зарекомендовали себя на рынке.

Обеспечьте мониторинг корпоративной сети

За эту часть безопасности отвечают системы, которые в комплексе составляют центр мониторинга событий кибербезопасности (Security Operations Center). Такие решения отлавливают в корпоративном трафике попытки просканировать инфраструктуру, получить извне или передать наружу какие-либо данные, скачать и развернуть сторонние программы, в том числе шифровальщики.

Позаботьтесь о резервном копировании

Разверните в компании системы резервного копирования, которые будут сохранять накопленную информацию по расписанию. Современные решения практически не нагружают инфраструктуру и каналы передачи данных, защищая данные от шифрования и удаления. Среди них есть, к примеру, Veritas Backup Exec, Veeam Backup & Replication, Commvault, NetBackup.

Данные резервных копий могут храниться на локальных серверах, в облаке или в гибридной системе, которая объединяет оба варианта. Многие системы используют технологии дедупликации, отслеживания изменений информации и сжатия данных, чтобы сократить объем хранимых данных и ускорить копирование. Безопасность обеспечивается шифрованием и ограничением доступа. Если что-то случится, данные можно будет быстро восстановить с помощью заранее созданных планов.

Продумайте план действий на случай кибератаки

Если взломщик все же сможет проникнуть в инфраструктуру, все ответственные лица должны четко знать, что им делать:

• IT-специалисты должны изолировать угрозу — отключить пораженные компьютеры и сетевые сегменты.
• Юристы — оценить, нужно ли сообщать об атаке регуляторам и правоохранительным органам.
• Руководители — определить ближайшие действия, чтобы инцидент не причинил вреда бизнес-репутации.

Кроме того, по итогам каждой атаки нужно проводить расследование — постинцидентный анализ — и работу над ошибками, чтобы события не повторились.

Краткий план анализа:

1. Соберите информацию: логи серверов, сетевых устройств, систем безопасности и приложений, сделайте снимки (образы) пострадавших систем и опросите сотрудников.
2. Оцените ущерб: определите, какие данные пострадали, оцените финансовые и репутационные потери.
3. Выясните, как злоумышленники получили доступ к системе, через какую уязвимость. Изучите, как они вошли в систему, что они делали и как из нее ушли.
4. Составьте план восстановления и устранения уязвимостей. Определите, из каких резервных копий или других источников будете восстанавливать данные, какие уязвимые компоненты будете обновлять и какие меры безопасности будете предпринимать, чтобы ситуация не повторилась — какие не сработали, а каких вовсе не было в компании.
5. Продумайте PR-план для восстановления репутации.
6. Запланируйте расписание периодических проверок систем безопасности и обучение сотрудников с проверкой знаний.

Совет №3: повышайте осведомленность сотрудников

Возможно, наиболее эффективная статья затрат — это развитие кругозора сотрудников, чтобы они сами распознавали уловки злоумышленников и не попадались на них.

Исследователи компании Positive Technologies подсчитали, что более половины атак на компании и почти все атаки на физические лица начинаются с социальной инженерии: звонка из «службы безопасности банка», фишингового письма с обещанием моментального выигрыша, а в последнее время — поддельных голосовых сообщений.

Центробанк сообщал о распространении такой мошеннической схемы, где злоумышленники получают доступ к перепискам жертвы и делают нарезки из голосовых сообщений, чтобы выдать себя за друга, родственника или начальника. А сейчас такие голосовые сообщения могут создавать с помощью синтезаторов голоса и нейросетей. В некоторых случаях мошенники имитировали даже видеозвонки, используя фото из социальных сетей и нейросеть.

Так преступники могут обойти систему безопасности стоимостью в несколько миллионов рублей — достаточно убедить сотрудника отключить ее на своем компьютере. Чтобы этого не произошло, компании нужно доносить до персонала информацию о том, какие существуют угрозы, как хакеры могут пытаться ввести человека в заблуждение и что делать, если такая атака случится в реальности.

Проводите регулярное обучение сотрудников правилам кибербезопасности

Целью кибератаки может стать любой работник, поэтому и обучаться должны сотрудники всех отделов, а не только те, которые имеют доступ к закрытым данным или, например, финансовым системам.

Как правило, такие программы обучения состоят из теоретической части и упражнений на тренажере, а проходят такие курсы с привлечением сторонних экспертов или в специальных обучающих системах. Главное, чтобы материалы были максимально близки к рабочим реалиям вашей компании, а само обучение — периодически повторялось.

Время от времени стоит проводить учебные кибератаки на компанию. Результаты таких учений покажут, кому из сотрудников требуется дополнительное обучение.

На российском рынке представлено сразу несколько решений для обучения кибербезопасности и тестирования навыков противостояния киберугрозам: Phishman, Kaspersky Security Awareness Platform, Solar Dozor и другие. Все они направлены на то, чтобы сотрудники привыкали распознавать фишинг и попытки мошенничества, формировали насмотренность и лучше разбирались в существующих угрозах.

Внедрите эффективные политики безопасности

Сотрудники IT-службы должны вовремя деактивировать учетные записи увольняющихся сотрудников и следовать модели нулевого доверия — в соответствии с ней пользователь получает ровно тот набор прав, который ему нужен для работы, не больше.

Также можно автоматически настроить смену паролей каждые несколько месяцев и автоматически запретить сотрудникам использовать простые пароли вроде qwerty123. Занятно, что на 2022 год «Qwerty123» и «123456» — самые используемые россиянами пароли.

Проводите аудит безопасности и тестирование на проникновение (пентест)

Эти регулярные мероприятия покажут слабые участки в вашей системе безопасности и помогут службе ИБ смоделировать кибератаку без угрозы инфраструктуре.

Интересный пример, как регистратор доменных имен GoDaddy проверил подготовку своих сотрудников. Это было в период самоизоляции, всем сотрудникам пришел email такого содержания: поскольку новогодние корпоративы отменяются, компания решила выплатить всем денежный бонус к празднику в размере $650, для получения нужно заполнить форму. К письму была прикреплена форма, в которой требовалось указать подробные данные о себе.

Скриншот письма сотрудника GoDaddy

Из всего коллектива 500 сотрудников передали свои данные через форму. Через несколько дней служба безопасности прислала им письмо о том, что они не прошли тест на фишинг, и компания направляет их на повторный курс по безопасности.

Многие посчитали, что жестоко обещать и не дать премию в такое сложное время. Но, с другой стороны, ранее компания GoDaddy столкнулась с крупным взломом данных: данные 28 000 клиентов утекли в открытый доступ вместе с юзернеймами и паролями. Директор принял решение таким жестким способом акцентировать внимание сотрудников на теме кибербезопасности и повысить уровень их подготовки.

Хочешь безопасности — готовься к кибератаке

Опросы осени 2024 года показывают, что компании, в отличие от сотрудников, стремятся вернуться к привычным форматам. Очевидно, что киберугрозы, связанные с удаленной работой, в немалой степени этому способствуют. Однако бизнес-центры вряд ли снова заполнятся, как в 2019 году. Такие перспективные отрасли экономики, как IT, во многом приняли новую, гибридную рабочую реальность. Это значит, что формат работы будет фактором, влияющим на выбор работодателя: при прочих равных сотрудники будут стремиться туда, где им дают больше свободы.

Вне зависимости от отрасли и отношения к удаленной работе компаниям стоит озаботиться безопасностью — рано или поздно киберугрозы могут стать реальностью для любого бизнеса. Даже если у вас все сотрудники сидят в офисе, вы не знаете, как организованы дела у ваших партнеров, контрагентов, поставщиков сторонних сервисов.

Чтобы быть готовым к негативным сценариям, нужно тратить ресурсы на защиту, и эта статья может стать опорным шагом, с которого вы сможете начать.