![](https://habrastorage.org/webt/mk/jr/yt/mkjrytjpoazvcmyunmifqyplcbc.jpeg)
Нынешние условия удалёнки дарят возможность совмещать работу c живописными видами из любой точки мира. Правда, бонусом с тропическим бризом вы получаете тележку с дополнительными рисками безопасности для корпоративных данных. Для того чтобы успешно практиковать работу в условиях all inclusive необходимо разобраться, с какими рисками можно столкнуться, работая удалённо.
Рассматривая риски информационной безопасности, свойственные удалённой работе, может показаться, что всё до смешного просто, банально и неоднократно изучено. Тем не менее такие условия работы могут сильно бить по бдительности (релакс-атмосфера, отсутствие начальника за плечами и пр. :), поэтому утечке данных быть. Действительно, поспешный режим перевода работников на удалёнку, предоставил лакомые кусочки бизнеса для чёрных шляп.
Утечки в цифрах
Перед тем как перейти к самим рискам, предлагаю обратиться к статистике, чтобы убедиться, что этот вопрос ещё актуален:
Согласно исследованию, проведённому Positive Technologies количество атак за 2021 год возросло на 20% относительно того же периода 2020 года, наибольший процент похищенных данных составляют персональные данные, учётные данные и коммерческая тайна. Среди методов атак лидируют социальная инженерия и вредоносное программное обеспечение.
За текущий год уже были «громкие» утечки, например, крупнейшая база скомпрометированных данных — 3,2 млрд пар адресов электронной почты и паролей на одном из хакерских форумов, база основана на утечках с Linkedln, Netflix и Bitcoin и т.д. сообщает cybernews. Также нередки случаи утечек данных из медучреждений, содержащие чувствительную информацию о пациентах.
Риски информационной безопасности в режиме удалённой работы
1. Безопасность устройства
Вот мы и добрались до самой главной части моего повествования. Мысленно перенесёмся на Бали и вот, находясь в уютном номере отеля, вы с серьёзным видом собираетесь работать на благо компании и берёте свой рабочий ноутбук. Использовать собственный ноутбук или гаджет означает подвергнуть корпоративные данные рискам. При работе на личном устройстве информация покидает защищённый периметр, и злоумышленники могут воспользоваться уязвимостями вашего компьютера, появившимися, например, ввиду устаревшей версии ПО. Отсюда вытекает первое правило – никаких BYOD (bring your own device), только в случае, если в компании применяется UEM (unified endpoint management) – единая система контроля пользовательских устройств или VDI (virtual desktop infrastructure) – виртуальные рабочие места. Хотя, как это не парадоксально, большинство используют свои личные устройства для работы, поэтому есть несколько простых правил, делающие этот путь более безопасным:
- Использовать актуальную версию ПО
- Не хранить корпоративную информацию на устройстве, вместо этого использовать облачные решения, виртуальные рабочие места
- Использовать антивирусные решения
- Шифрование данных на устройстве. При утрате устройства данная опция позволит выиграть время и удалённо сбросить данные, сделать их неактуальными
![](https://habrastorage.org/webt/ay/2t/ov/ay2tovpg0b8edyona-konkajrw0.jpeg)
2. Выход в интернет
Итак, следующее, что вам потребуется – это подключение к интернету для дальнейшей работы. В зависимости от того, насколько вам повезло с интернетом в отеле, есть два, не очень безопасных, варианта. Поэтому из двух зол придётся выбирать меньшее:
- Wi-fi. Следует избегать общедоступные сети Wi-fi, они заведомо небезопасны. Так, например, данные, отправленные в незашифрованном виде могут быть перехвачены и украдены злоумышленниками. То же самое касается и платного доступа к Wi-fi, предлагаемым отелем, который также имеют пользователи (и злоумышленник), оплатившие данную опцию. В данном случае вы платите вовсе на за безопасность. Это такая же публичная сеть, только с меньшим числом пользователей. Общедоступные сети Wi-fi уязвимы из-за:
- отсутствия встроенных средств контроля безопасности на маршрутизаторе
- отсутствия автоматического обновления ПО до новой версии
- наличия распространённого IP-адреса маршрутизатора и т.д. Имеется ещё большое множество настроек безопасности беспроводной сети, рассмотрение которых требует отдельной статьи, но отсутствие каждой из них несёт в себе потенциальную угрозу вашим корпоративным данным
Что необходимо предпринять при подключении к Wi-fi в отеле:- сверить имя сети SSID, с тем которое указано в отеле, так как злоумышленники могут создать «двойник» – подконтрольную сеть с схожим названием
- подключаться с использованием VPN для шифрования трафика
- не забыть проверить, включён ли брандмауэр
- USB-модем и SIM-карта. На случай если вы предпочтёте отказаться от предоставляемого отелем Wi-fi, есть альтернативный вариант. Относительно безопасности USB-модемов и SIM-карт всё тоже не очень радужно. Об этом читайте в исследованиях Positive Technologies здесь и подробнее здесь. Большинство атак были возможны благодаря методам социальной инженерии (в особенности фишинга). Поэтому если знать, как не попасться на крючок, этот вариант выхода в интернет я нахожу безопаснее.
![](https://habrastorage.org/webt/27/dk/re/27dkrel6pqynjj3nlftidz2ou4w.jpeg)
3. Безопасность в интернете
Наконец, получив выход в интернет, вы начинаете работать. Как вдруг вам на почту приходит письмо от «коллеги» с ссылкой на конференцию на привычной вам платформе. Перейдя по ссылке, вы увидели ожидаемый дизайн и оформление сайта, а также форму входа. Недолго думая, вы ввели туда свои данные. Для вас всё прошло незаметно, но на самом деле ваши учётные данные утекли к злоумышленникам. С помощью полученной комбинации почты и пароля злоумышленники могут предпринять попытки взлома ваших других аккаунтов. Из этого следует несколько правил, способных защитить информацию:
- Не использовать корпоративную почту для регистрации на различных сайтах, чтобы не допустить её утечки, а также чтобы не получать рассылки с различных источников. Получив подобного рода письмо, вы сразу сможете определить, что оно фишинговое, так как на сервисе вы не регистрировали данный адрес электронной почты. Лучше оставить почту только для взаимодействия с коллегами, заказчиками
- Проверять почтовый адрес отправителя письма. Если вы сомневаетесь в идентификации отправителя, лучше сверить адрес его электронной почты с проверенным адресом того человека, за которого он себя выдаёт
- Проверять доменные имена сайтов, на которые указывают ссылки. Фишинговые сайты создаются с доменами, максимально схожими на оригинальные сайты. Злоумышленники, например, могут заменить или удвоить букву в домене
- Не использовать одинаковые или схожие пароли для аккаунтов. Чем сложнее просматривается ваша логика создания паролей, тем лучше. Также применяйте многофакторную аутентификацию
Для большей убедительности, злоумышленники могут направить зловредную ссылку в мессенджере под видом коллеги или приближённого вам лица. Они действительно могут писать с аккаунта вашего знакомого, который раннее попался на такую же фишинговую атаку, и его данные от аккаунта попали в руки к злоумышленникам. Тем не менее, вы всегда можете проверить доменное имя и, если сомневаетесь, то лучше связаться со знакомым в ином мессенджере или по телефону, чтобы убедиться в факте отправки сообщения.
![](https://habrastorage.org/webt/lk/al/3q/lkal3quyuc2bdxjdztrwfyuqskg.jpeg)
4. Физическая безопасность
На солнечном Бали риски поджидают на каждом шагу. Поэтому не стоит забывать правила физической безопасности, необходимость которых возникает в режиме удалённой работы. Предположим у вас есть сосед по номеру, которого вы не очень хорошо знаете, в таком случае стоит внимательнее относится к корпоративным данным, чтобы не допустить утечки информации. Не оставляйте носители информации на видном месте, исключите возможность подсматривания данных с экрана монитора. То же самое стоит делать в общественных местах за пределами номера. Будьте бдительны во время телефонных переговоров, не стоит обсуждать конфиденциальную информацию, ведь это может привлечь злоумышленников.
![](https://habrastorage.org/webt/yp/va/7z/ypva7zylila5bffs98wf2t6kh2g.jpeg)
Таким образом, режим удалённой работы дарит злоумышленникам больше возможностей для совершения своих тёмных делишек, но, следуя перечисленным правилам и держа руку на пульсе в вопросе новых уязвимостей и методов атак, можно спокойно работать удалённо. А, заодно, и мир посмотреть.
Если в вашей компании имеется политика безопасности, описывающая правила удалённой работы, не будет лишним с ней ознакомиться. Если же данной политики не имеется, то не стоит затягивать с её разработкой. Несмотря на все перечисленные тут угрозы, которые таятся в условиях удалённой работы, такой режим способен придать бизнесу гибкость, а также сократить ежегодные траты компании на устройство рабочих мест работников. Тем не менее, на реализацию данного режима работы также требуются финансы, поэтому важно найти баланс в этом вопросе. Но, в любом случае, для сохранения вашего бизнеса, не стоит пренебрегать правилами информационной безопасности.
Представленный здесь список рисков и угроз не является исчерпывающим и, по моему мнению, он ограничивается только фантазией и изощрённостью злоумышленников. О том, какие ещё риски могут поджидать сотрудников на удалёнке, пишите в комментариях)
Комментарии (15)
vikarti
16.12.2021 06:30Советы для кого? Для пользователя или для руководства компании?
С чего это пользователю заботится о защите корпоративных данных больше чем своих личных?NativCS Автор
16.12.2021 12:25Советы универсальны, работать удалённо может как и пользователь, так и руководство.
Данные советы подойдёт и для защиты своих данных.
Заботиться о защите корпоративных данных придётся, так как придётся соблюдать политики безопасности компании
msamoylov
16.12.2021 21:31+1Не пишите больше ничего инфобезе, пожалуйста.
NativCS Автор
17.12.2021 01:19Аргументируйте свою позицию, пожалуйста.
msamoylov
17.12.2021 09:56Ваше представление о инфобезе поверхностно. На уровне разговоров доярок о политике.
NativCS Автор
17.12.2021 12:37Начнём с того, что Ученье – свет, а неученье – тьма, поэтому следуя Вашей логике - нужно бросать дело, если оно не получается, а ведь так можно ничему не научится за всю жизнь.
Поэтому писать об информационной безопасности буду :) но чтобы успешнее это делать нужна конструктивная критика, не переходя на личности. Что по Вашему мнению не хватает в статье (будет лучше, если укажите примеры) что следует убрать.
Далее о поверхностных знаниях. Эта статья не для специалиста по безопасности, который работает удаленно. Он сам лучше знает как всё обезопасить, а статья для рядового пользователя и здесь рассмотрено то, что по силам ему решить. Помимо перечисленного в тексте есть ещё много чего, что можно было бы рассмотреть, но тогда есть вероятность отклониться от темы. Поэтому не было смысла затрагивать appsec, например. Задача- просветить рядового пользователя, а не полностью погружаться во все риски ИБ.
msamoylov
17.12.2021 16:40Чтобы просвещать кого-то куда-то надо разбираться самому. Отсутствие понимания и экспертности видно уже в комментариях про почтовые заголовки. Учить вас указывая на очевидные нелопости по тексту не вижу смысла.
ifap
Мсье не в курсе, что адрес отправителя ни о чем не говорит, от слова совсем?
AjnaGame
Тс... у них безопасность!
NativCS Автор
Зависит от текста письма.
Предположим вам пришло письмо от вашего сисадмина, с просьбой залогиниться на каком-то сервисе, якобы в целях повышения безопасности и т.д. - не важно. Письмо соответствует корпоративному оформлению и прочее... Но вот только письмо это не сисадмин отправил, а выдаст это электронная почта отправителя. Зная точную почту сисадмина, например общались с ним вчера и уверены, что именно с ним, то сравнив адрес мошенническое письмо можно выявить
ifap
Серьезно? Дайте Ваш адрес — я Вам с него пришлю любое письмо. И эти люди учат нас
ковырять в носубезопасности… facepalm.bmpNativCS Автор
:)
NativCS Автор
В случае, если Вы знаете методы осуществления и способы как подобное выявлять, будет неплохо, если поделитесь этим в комментариях)
Описанный метод в статье, к слову, тоже имеет место быть
ifap
Метод элементарный: прямо в почтовом клиенте указываю любой адрес, хоть bayden@whitehouse.gov, хоть daddy.kabaev@kremlin.ru А если еще и в Reply-to свой реальный адрес указать, то даже получу ответ на это письмо. Выявить такое можно лишь просмотром служебных заголовков, из которых будет видно, что письмо ушло не с smtp.whitehouse.gov а smtp.fisher.com Если, конечно, целевой SMTP-сервер не забыли настроить запрашивать авторизацию или я его предварительно не поимел.
NativCS Автор
Благодарю :)