Вне зависимости от того, сколько еще продлятся эпидемия, карантин и прочая самоизоляция, идея «удаленки», будучи удачно вброшена в массы, стала материальной силой, она уже овладевает умами владельцев бизнесов…и, скорее всего, в перспективе, масса сотрудников так и останется в своем домашнем филиале офиса, и некоторое их количество также отправится работать по домам в перспективе…
Хорошо это или плохо?
С точки зрения владельца бизнеса – скорее, хорошо, чем плохо: представим себе, что какой-нибудь «отдел снабжения» или «маркетинга» - практически в полном составе уходит с площадки по домам. В большей части случаев такого типа специалистам совершенно все равно, где находиться: им лишь нужны коммуникации, им нужен персональный компьютер или ноутбук, возможно нужно МФУ и телефон, собственно – и все, рабочее место готово! А в центральном офисе – уходит арендуемая под «удаленный» отдел площадь, уходят (или существенно уменьшаются, если работодатель компенсирует эти расходы сотруднику) расходы на электроэнергию, потребляемую данным отделом, уменьшаются коммунальные расходы, расходы на разные «плюшки», в виде чая, кофе и т.п. мелочевки, и т.д., и т.п. И это хорошо, ведь, «сэкономленное – все равно, что заработанное». Да и сотрудник доволен – не тратится время на перемещение из дома в офис и обратно, опять же, экономия денег…
А что не хорошо?
Что не хорошо в плане организации трудового процесса:
- Не хорошо то, что сотрудник, фактически, находится «в расслабленном состоянии», вне эффективного контроля со стороны руководства. В самом широком смысле этого определения. То, что в «домашнем офисе» рабочее время будет расходоваться совершенно не так продуктивно, как «в офисе» (как минимум, поначалу) - это аксиома. Так оно было, везде, у всех и всегда.
Что не хорошо с точки зрения обеспечения безопасности информации:
- Не хорошо то, что нелояльный (во всех смыслах данного определения) сотрудник имеет значительно больше возможностей (как минимум – потенциальных) для реализации своих враждебных намерений. Ситуация значительно ухудшается, если используется не корпоративный компьютер, а личный, никакими средствами защиты информации, соответствующими корпоративным политикам в этой области (если они вообще есть, эти политики), не снабженный. В этом случае - «дыра в безопасности» становится совершенно черной дырой. Собственно, то же относится и к неумышленным действиям («О, теперь я могу закачать и смотреть на рабочем месте этот сериал!..Ой, что это такое на экране?!.. Оно само!..»)
- Не хорошо то, что, как я писал ранее, корпоративный компьютер, из относительно комфортной среды корпоративной сети – переносится в потенциально враждебную среду, в «домашнюю сеть», в которой могут находиться контролируемые злоумышленниками устройства (компьютеры, смартфоны, маршрутизаторы,..), функционировать вредоносное ПО, и вообще черт-знает-что в ней может твориться…
Это как минимум.
В общем случае, компьютер, вынесенный за периметр предприятия (а, значит, и информационные активы в целом) становятся практически «сидячей уткой» для злоумышленников. Да, для парирования угроз нерационального использования рабочего времени и утечек информации, в общем случае, необходимо и достаточно применить любую толковую комплексную DLP-систему, например, «СёрчИнформ КИБ» (краткое описание ее функционала, применительно к задачам контроля «удаленного персонала» можно прочесть здесь - но, например, в случае использования личного ПК – как ее установить и обеспечить гарантированную работоспособность? Как гарантированно помешать пользователю использовать, например, средства альтернативной загрузки ОС? Ну, хорошо, DLP имеется – а как она отработает ситуацию, в которой злоумышленник (нелояльный сотрудник) просто снимет на время жесткий диск и переставит его в «док-станцию», аккуратно сняв всю информацию, не оставляя следов в системе?.. А что, например, делать в том самом случае с компьютером во враждебном окружении? Как минимум, необходимо поместить всю «казенно-домашнюю» систему в некий «внутренний сегмент», за граничный маршрутизатор…. И т.д., и т.п…
Решение.
На мой взгляд, в общем случае, одно из оптимальных решений проблем информационной безопасности, усугубляющихся в случае вывода сотрудников за периметр корпоративной сети предприятия, состоит в следующем:
1. Мы разделяем систему на:
1.1. «Тонкий клиент», решающий ровно две задачи: обеспечение функционирования терминала пользователя и построение защищенного канала передачи данных от этого терминала до корпоративных ресурсов;
1.2. Виртуальную рабочую среду, в которой он (сотрудник) решает свои производственные задачи. Будет ли это реализовано на базе терминального сервера, какой-то реализации VDI, MS Azure, решений Mail.ru или Yandex – в данном случае принципиально неважно. Важно лишь то, что все действия пользователя совершаются в контролируемой предприятием среде, и все данные, которыми он оперирует – обрабатываются и перемещаются в соответствии только с теми правилами, что реализованы в данной среде, для уровня доступа и операций данного сотрудника. И только.
2. Тонкий клиент должен быть защищен от враждебного воздействия извне (как умышленных враждебных действий, так и от некомпетентных действий его пользователя). Абсолютно. Вот, например, такой клиент.
Разумеется, я прекрасно отдаю себе отчет в том, что построение и развертывание такой системы для предприятия – это «несколько сложнее», чем инсталлировать и настроить на компьютерах сотрудников VPN-клиенты, поднять на маршрутизаторе VPN-сервер и настроить соответственно маршрутизацию и сетевые экраны (некоторые поступают еще проще, и потом мы наблюдаем сервера 1С, «торчащие хвостом в Интернет»). Да, руководитель небольшого предприятия, с его «приходящим ИТ-шником») – скорее всего, пожмет плечами, если не просто рассмеется на «эти фантазии» …
Да – это неудобно, и требует и разработки таких систем, и обучения ИТ-персонала работе с ними, убеждения владельцев бизнеса в том, что это нужно именно им – и прежде всего, и много чего еще…
Но – не пришло ли время, когда пора уже перестать «расслабляться», и вывести из оборота критерий «максимальной простоты и удобства для конечного пользователя» - во всяком случае, в области информационной и финансовой (в итоге-то) безопасности?
В конечном-то итоге, ущерб, наносимый субъектам предпринимательской деятельности – это ущерб не только для владельцев бизнеса, не только для наемных работников, это ущерб для всей экономики государства, поскольку разрушается бизнес, не платятся налоги, падает деловая активность...
Коль уж государство регламентирует порядок работы платежных систем, информационных систем критической инфраструктуры – почему бы государству не регламентировать и не стимулировать обеспечение безопасности и на более «низовом» уровне? Разумеется, само по себе государство, скорее всего, и палец о палец не ударит – но, поскольку тема «удаленки» становится все актуальнее, почему бы предприятиям, которые могут разработать такие системы (и заработать на их продажах) – не стимулировать государство к активному участию в этих процессах?