Как переживали экстренный переход на «удалёнку» ИТ- и ИБ-специалисты из различных областей экономики России? Что они планируют делать для обеспечения информационной безопасности, если ситуация повторится в сезон ОРВИ? Ответы кроются в совместном опросе CTI и Cisco, результатами которого делимся с вами.
- Введение
- Новая реальность, с которой столкнулись ИБ-профессионалы
- Как организовали удалённую работу
- Как обеспечивали ИБ в дистанционном офисе
- Новые реалии и испытания
- Выводы
Введение
Весной 2020 года подавляющее большинство российских организаций столкнулось со срочной и нетривиальной задачей: перевести сотрудников на дистанционную работу. Параллельно специалисты в области информационной безопасности начали продумывать способы защиты не только корпоративных сетей, но и личных устройств, которые стали использоваться для выполнения ежедневных рабочих задач.
Далеко не всем удалось поддерживать приемлемый уровень безопасности. Например, аналитики выяснили, что у 70 % компаний на «удалёнке» нет объективной картины внутренних инцидентов.
Озадачившись проблемой, мы даже подготовили специальный материал — «Бесплатная защита удалённого доступа сотрудников в период пандемии коронавируса (COVID-19)», в котором собрали предложения от российских и зарубежных разработчиков ИБ-продуктов.
Однако что собой представляет эта новая реальность для профессионалов по защите информации? Попробуем взглянуть на ситуацию их глазами.
Новая реальность, с которой столкнулись ИБ-профессионалы
Последние несколько лет ландшафт корпоративных информационных технологий в России активно меняется и для крупного, и для среднего бизнеса: личные смартфоны и портативные ПК внутри периметра (принцип BYOD), доступ к корпоративным ресурсам с пользовательских устройств, работа в облаке, применение интернета вещей (IoT) и реализация других проектов по цифровизации.
В то же время COVID-19 значительно изменила ландшафт киберугроз, ведь большое число людей перешло на удалённый режим работы, и даже если конечные устройства у них были корпоративными и защищёнными при помощи средств безопасности, домашнее сетевое оборудование просто не успело пройти аудит ИБ, т. к. всё надо было сделать очень быстро. Из-за необходимости обеспечения работы сотрудников с внутренними системами многим компаниям пришлось срочно открывать удалённый доступ, который специалисты по ИБ недолюбливают, а киберпреступники, наоборот, обожают. Немудрено, что с начала марта 2020 года количество атак на незакрытые порты RDP, самого популярного протокола для удалённого подключения, резко выросло во всём мире. Кроме того, удалённо подключая ПК к корпоративной сети, сотрудники забывают о прочем оборудовании, подсоединённом к их домашнему роутеру, да и вообще не думают о его надёжности.
Одним словом, изменившаяся ситуация принесла новые испытания для служб информационной безопасности. Злоумышленники очень оперативно перестроились в период пандемии, а службы ИБ в большинстве своём не были готовы.
Рисунок 1. Большинству ИБ-специалистов пришлось работать сверхурочно
Лучше всего справились компании, которые уже не первый год трансформируют свой ИТ-ландшафт и давно реализовывают стратегию мобильных рабочих мест. Эти организации относительно спокойно прошли проверку самоизоляцией — без излишних финансовых и трудовых затрат.
COVID-19 не только значительно подстегнула темп функционирования ИТ-служб на стороне защиты, но и прибавила возможностей для стороны нападения, чем приверженцы этого лагеря постарались немедленно воспользоваться. По данным наших защитных систем, число попыток внешних атак увеличилось в среднем на 20 %.
В нашей компании мы были в определённой степени подготовлены к переходу на дистанционный режим работы, стратегию по предоставлению дистанционного рабочего места реализуем не первый год. Но, как и многие наши коллеги, не были готовы к настолько стремительному погружению в столь сжатые сроки. Наша ИТ-служба работала в режиме форсажа. Задача была понятна — необходимость обеспечить экстренный выход компании на дистанционную работу, не жертвуя информационной безопасностью в угоду скорости.
— Денис Липский, архитектор ИТ-инфраструктуры FBK Grant Thornton
Как организовали удалённую работу
Все компании первоначально старались максимально расширить возможности имевшихся систем безопасности, и это играло ключевую роль при выборе вариантов и способов масштабирования и переконфигурирования средств защиты для удалённых рабочих мест.
Рисунок 2. Оценка ситуации с использованием пробных версий ПО
Многие вендоры оперативно отреагировали на запросы бизнеса и предоставили пробные лицензии в неограниченном количестве на длительный период. 47 % компаний докупали лицензии, при этом большая часть заказов пришлась на средства защиты коммуникаций (VPN), но также весомую долю составляли облачные средства обеспечения безопасности, которые можно было быстро начать использовать. Отдельно стоит отметить рост спроса на системы DLP для осуществления оперативного контроля за рабочим временем сотрудников.
Рисунок 3. В основном на настройку ПО требовалось 2—5 дней
Большинство респондентов отметило сжатые сроки внедрения. Более 50 % компаний обеспечили защиту своей инфраструктуры и данных в течение недели. Фактически многие службы ИБ и ИТ работали неурочно. Для выдерживания сроков привлекались сторонние эксперты, в результате чего системные интеграторы отмечают рост продаж аутсорсинговых услуг и привлечение экспертов как по ИТ-, так и по ИБ-проектам.
Рисунок 4. Оценка скорости ответа от вендора
44 % респондентов отметили высокую оперативность содействия вендоров и интеграторов, но 18 % выразили неудовлетворённость временем реакции в момент, когда им требовалась помощь. Данные опроса отражают потребность в экспертной квалифицированной помощи как по причине отсутствия собственных компетенций, так и при повышенной загрузке служб ИБ в условиях сложившейся экстренной ситуации.
Рисунок 5. Оценка сложности переконфигурации оборудования
Обеспечение доступности ИТ-ресурсов для удалённых сотрудников повлекло за собой изменение маршрутизации трафика, а также корректировку правил сетевого доступа и перенастройку политик безопасности в системах обеспечения ИБ. Помимо защиты конечных устройств 64 % участников опроса смогли быстро обеспечить переконфигурирование имеющихся средств защиты без потери производительности и эффективности.
Интересно, что многие компании стали по-новому использовать уже имеющиеся у них средства защиты. Например, отсутствие возможности установить DLP на домашний компьютер сотрудника заставило переложить функцию учёта рабочего времени на VPN-клиент или периметровый межсетевой экран. Сервис защищённого DNS переориентировался изо вспомогательного в основной инструмент защиты личных устройств сотрудников, которые не могли на них поставить традиционные корпоративные средства ИБ. А системы анализа сетевых аномалий стали не только бороться с угрозами во внутренней сети, но и помогать следить за продуктивностью удалённых сотрудников.
— Алексей Лукацкий, бизнес-консультант по безопасности, компания Cisco
В итоге оправдались инвестиции в использование широко известного и зрелого ПО, что позволило компаниям сэкономить и оперативно модернизировать сетевые решения и подсистемы ИБ в целях минимизации рисков и нейтрализации возможных угроз.
Как обеспечивали ИБ в дистанционном офисе
Рост ИТ-преступности за январь—июнь 2020 года составил 91,7 % по сравнению с аналогичным периодом прошлого года, а удельный вес указанных противоправных деяний в общей структуре преступности на территории РФ достиг 22,3 % (по данным МВД России за первое полугодие 2020 года). Примерно половина убытков от кибератак — расходы на восстановление данных и инфраструктуры, а остальное — это затраты, которые понесла компания-жертва вследствие остановки бизнес-процессов.
Основными проблемами обеспечения ИБ в период самоизоляции являлись размытие защищаемого периметра и активное использование личных устройств для выполнения рабочих обязанностей.
Рисунок 6. Большинство сотрудников использует собственные устройства
Более 50 % сотрудников опрошенных компаний использовали личные устройства. Помимо удобства, увеличения гибкости и эффективности взаимодействия, в период изоляции собственные мобильные устройства стали основным рабочим инструментом. В результате злоумышленники активно использовали скомпрометированные учётные данные для доступа к корпоративным сервисам, ценным сведениям и документам.
Также стоит отметить, что помимо недоверенных устройств сотрудники использовали для подключения к интернету свои домашние роутеры, которые в большинстве своём не настроены должным образом и уже давно являются объектами хакерских атак. Тема защиты BYOD и данных на мобильных устройствах ощущается остро и становится в текущих реалиях серьёзной проблемой для служб ИБ.
Компаниям необходимо использовать комплексную защиту мобильных устройств, которая позволит предотвращать усложнённые кибератаки, сможет противостоять как внешним, так и внутренним угрозам, а также обеспечит доступ в корпоративную сеть только с проверенных безопасных устройств, но при этом сохранит конфиденциальность частной информации.
Подтвердили свою важность и обретают всё большую актуальность системы повышения осведомлённости в вопросах безопасности (Security Awareness).
Стоит отметить, не все компании подходят к обеспечению информационной безопасности с должным пониманием, в том числе и к организации дистанционной работы. Коронакризис хорошо обнажает пробелы в информационной безопасности, в это время злоумышленники наращивают агрессивность в попытках воспользоваться возникающими возможностями. Сейчас особенно важно быть в диалоге со службой информационной безопасности, преодолевая сообща новые вызовы, которые преподносит нам текущая ситуация в мире.
— Денис Липский
Новые реалии и испытания
Все сходятся во мнении о том, что «мир больше не будет прежним»: согласно многим опросам, около 30 % сотрудников уже сейчас переведено на постоянную удалённую работу в большинстве организаций.
Рисунок 7. Оценка количества сотрудников на удалённой работе
Не прекращаются разговоры про вторую волну и осенний карантин; с 28 сентября часть сотрудников мэрии Москвы переведена в режим домашнего офиса, а вслед за ними и руководители компаний получили рекомендации о переводе сотрудников на «удалёнку». Поэтому необходимо разумно оценить новые риски для ИБ и меры по их минимизации, заранее подготовить инфраструктуру и организовать эффективную удалённую работу сотрудников.
Рисунок 8. Большинство компаний пересмотрят ИБ-риски
«Самоизоляция» теперь надолго вошла в перечень рисков для безопасности, переоценку которых запланировали более 86 % служб ИБ, причём это позволит явно определить слабые и сильные стороны, а также выработать планы дальнейших действий.
Помимо удалённого доступа к ресурсам корпоративной сети можно отметить рост интереса заказчиков (на Западе больше, в России поменьше) к большему использованию облачных сервисов и приложений, которые позволяют не только организовать работу из дома во время самоизоляции, но и начать выстраивать полноценную стратегию удалённого и мобильного доступа. К таким сервисам я бы отнёс и офисные приложения (тот же Office 365), и облачные CRM (например, Salesforce.com или «Битрикс24»), облачные АБС, средства коммуникаций и групповой работы (например, Webex или Slack) и т. п.
— Алексей Лукацкий
В период пандемии существенно увеличилось количество успешных атак, приведших к финансовым и репутационным потерям организаций из различных отраслей, поэтому пересмотр рисков и моделей угроз является важным аспектом, напрямую влияющим на стратегические цели компании.
Пережитая «зима», грозящая вернуться в ближайшее время, навсегда изменила подход к организации работы сотрудников. Теперь у любого предприятия нет своего собственного периметра. Онлайн-продажи, мобильность, возможность гибко перестраивать модель взаимодействия с клиентами — основа конкурентной борьбы за лояльность и рост оборота компаний. Самоизоляция внесла коррективы в работу ИБ-служб и ещё больше ускорила переход на модель Zero Trust. Специалистам приходится оперативно менять устоявшиеся парадигмы и подходы.
По данным опроса, 73 % компаний планируют модернизировать ИБ-решения. Больше всего это затронет подсистемы защиты каналов связи, обеспечения доступа в интернет, антивирусной фильтрации, анализа защищённости и управления уязвимостями. Это, конечно же, связано с тем, что во многих компаниях теперь действует гибридный формат работы сотрудников — сочетание удалённой работы с традиционной.
Рисунок 9. Обратная связь ИБ-специалистов об используемых решениях
51 % компаний отметил, что они недовольны используемыми решениями. Удалённая работа показала, что некоторые продукты не справляются с ней и работают менее эффективно. Например, в классической архитектуре на агентах DLP-систем активируется не вся функциональность, а при массовом переходе на удалённый режим работы пришлось задействовать все функции, что повлияло на производительность ПК и загрузку каналов передачи данных.
Выводы
Опрос специалистов показал потребность в наличии гибких решений по защите информации. На первое место выходят многофункциональные продукты, а не узкоспециализированные. Также стоит отметить, что использование облачных технологий в области обеспечения ИБ уже становится необходимостью и всерьёз повышает защищённость бизнеса: 54 % компаний рассматривают возможность использования облачных ИБ-решений, хотя до пандемии этот показатель был на порядок ниже. Зафиксированное недовольство существующими продуктами по информационной безопасности и намерение их усовершенствовать со стороны большей части респондентов позволяют ожидать волны модернизации корпоративных ИБ-систем.