Компания «Аладдин» почти безболезненно перевела всех сотрудников на удаленную работу. Но руководители отметили ряд трудностей – это обеспечение персонала техникой, обучение применению сервисов для общения и совместных действий. На первый план также вышла информационная безопасность при дистанционном доступе. Шифрование данных и внедрение механизмов многофакторной аутентификации пользователей помогли решить эту задачу на начальном этапе. Однако специалисты не исключают угроз хакерских атак в дальнейшем.

Отвечает директор компании

Эксперт: Денис Суховей, директор департамента развития технологий компании «Аладдин Р.Д.»

Наша компания – ведущий производитель ИТ-продуктов на отечественном рынке, поэтому удаленный доступ к своим сервисам мы используем очень давно и активно. 

Справка: «Аладдин Р.Д.» — ведущий российский разработчик продуктов и решений для обеспечения информационной безопасности. Компания – эксперт в области аутентификации, электронной подписи и защиты конфиденциальных сведений на дисках и в системах управления базами данных. Входит в топ-10 крупнейших российских ИБ-компаний, по исследованию CNews Analytics.

Сейчас более 90% сотрудников работают удаленно. Это все специальности нашей компании. Строго обязательно – технические специалисты и писатели, разработчики ПО и аппаратных средств, аналитики, тестировщики. А также бэк-офис, управление финансами и штат генерального директора. В нынешних условиях мы достаточно просто перешли рубеж ухода персонала на дистанционную работу.

У всех удаленных сотрудников установлено и настроено VPN-соединение с цифровыми сертификатами для аутентификации пользователей. Для решения этой задачи мы применяем продукт одного отечественного популярного производителя.

Фото: freepik/vgstockstudio

Фото: freepik/vgstockstudio

В силу направления нашей деятельности (ИТ, безопасность информации, производство) большинство сотрудников работают на ноутбуках, именно это облегчило подготовку и реализацию перехода персонала на удаленку. Тем не менее, около 10% выполняют задачи на своих домашних компьютерах, но с соблюдением правил информационной безопасности.

Все топ-менеджеры компании утвердили у руководства рабочий план на 1, 2, 3, 4 недели. Каждый сотрудник еще до перехода знал цели и объем задач для их достижения. 

Безусловно, для повседневного рабочего общения мы используем целый набор сервисов:

  • традиционная электронная почта для формальных сообщений и согласования рабочих вопросов;
  • мессенджеры: Telegram, Whatsаpp (при этом у нас используется резервный корпоративный мессенджер Zulipchat на случай глобальных сбоев общепринятых чат-порталов);
  • сервис видеоконференций: Jitsi Meet, выбран нами за простоту и неприхотливость в использовании;
  • агрегатор совместной работы над документами Nuclino, позиционирующий себя как легкое решение для корпоративного wiki-портала в онлайн.

Описанные сервисы применяются в нашей компании в силу экономичности и простоты использования. Это особенно ценно при необходимости оперативного перехода всей фирмы на удаленную работу персонала.

Полезные сервисы! Обзор WireCRM – интерактивного приложения для создания систем учета, контроля, общения.

Сложностей организационного характера было много, однако нужно особенно выделить трудности в области защиты информации.

Фото: freepik/rawpixel-com

Фото: freepik/rawpixel-com

Основная особенность дистанционной работы – необходимость выноса корпоративных ноутбуков за пределы контролируемой зоны компании или работа сотрудников на своих компьютерах. И в том, и в другом случае резко увеличивается риск утечки служебной, конфиденциальной и критичной информации:

  1. Если ноутбук оказался вне офиса, он может быть утерян, сворован, забыт в общественном месте и т.п. Все это причины, по которым злоумышленник может получить доступ к сведениям на этом оборудовании.
  2. Работа из дома на своих компьютерах также осложняется «слабостью» защиты роутеров домашних сетей. Это понимают злоумышленники, и тенденции взлома только усиливаются.

Перед службой безопасности возникает дилемма: с одной стороны, нужно обеспечить удаленную работу людей с корпоративной конфиденциальной информацией. С другой стороны, сам по себе «переезд на дистанционку» создает множество рисков утечек корпоративных секретов и служебные данные.

В нашей фирме многие годы практикуется незыблемое правило: «Все ноутбуки и рабочие станции, обрабатывающие служебную информацию, должны быть оснащены средствами шифрования и контроля доступа к закодированным сведениям».

Для решения этой задачи мы используем Secret Disk – средство, обеспечивающее надежную защиту данных на дисках ноутбуков и персональных компьютеров. Кодирование реализовали в прозрачном режиме, оно не требует от пользователя никакого участия. Часть удаленных сотрудников и вовсе может не знать о работе защитных механизмов, продолжая использовать информацию обычным способом.

Фото: freepik/racool-studio

Фото: freepik/racool-studio

Мало обезопасить данные, нужно идентифицировать пользователя для разрешения доступа к ним, для этого мы применяем строгую двухфакторную аутентификацию с помощью USB-токенов JaCarta PKI. Использование этих продуктов в связке значительно уменьшает риск утечки конфиденциальной информации и не усложняет рабочий процесс удаленного персонала.

Часть сотрудников работает на удаленке значительно эффективнее, чем в офисе. Например, разработчики ПО и аналитики, задания которых по желанию специалистов могут быть распределены по времени суток. Однако, работники, деятельность которых связана с постоянными коммуникациями (внутренними и внешними), испытывают повышенную нагрузку и дискомфорт в решении собственных задач.

Вынужденная самоизоляция, безусловно, – тренировочное испытание для всех компаний. Большая часть организаций не решилась бы на такие меры в обычной ситуации. Результаты «тренировки» будут у всех, но вот какие фирмы ими воспользуются? Я думаю, оптимизируются и получат существенную пользу от происходящего те предприятия, которые уже сейчас обучаются в применении современных сервисов для дистанционной работы и значительном усилении мер защиты своей конфиденциальной информации.

Читайте также о плюсах и минусах удаленной работы, с точки зрения работодателя.

Комментирует технический специалист

Эксперт: Дмитрий Шуралёв, специалист по работе с технологическими партнёрами «Аладдин Р.Д.»

Возможность удаленной работы у нас была всегда, и многие сотрудники пользовались дистанционным доступом при необходимости, например, в командировках. В этом смысле срочных мер по развертыванию решений принимать не пришлось, просто немного их масштабировали на весь персонал.

Технически для доступа в корпоративную сеть мы используем VPN из стандартного пакета Microsoft Windows Server обязательно с реализацией двухфакторной аутентификации по токенам JaCarta, производимым самой компанией.

Фото: freepik/onlyyouqj

Фото: freepik/onlyyouqj

Авторизовавшись в сети, сотрудник заходит по протоколу RDP на свое рабочее место, для доступа к нему также используется двухфакторное распознавание. Только так можно защититься от подбора пароля и с большой долей уверенности считать, что вошел в систему действительно наш сотрудник. Компьютеры в основном используются личные, у кого нет такой возможности, могли взять корпоративный.

Регламент и отчетность такая же, как и при работе в офисе, все необходимые ресурсы доступны.

Главная сложность для «не технических» должностей – это первичная настройка домашнего компьютера. Но с этим, конечно, помогает ИТ-отдел.

Мнение эксперта! Директор IT-компании советует при организации удаленной работы обратить внимание на технические моменты.

Комментирует руководитель направления

Эксперт: Максим Чирков, руководитель направления развития сервисов электронной подписи «Аладдин Р.Д.»

Сложившаяся ситуация с пандемией застала врасплох не только организации, которые и не рассматривали возможность дистанционной работы сотрудников, но и тех, у кого подсистемы удалённого доступа используются успешно и достаточно давно.

Сложно представить среднюю, а тем более крупную компанию, в которой для высшего менеджмента и разъездного персонала отсутствует возможность работать из любой точки планеты. Однако процент таких сотрудников от общего числа в штате традиционно был невысок, а организация перевода на дистанционку всей фирмы (или же почти всей) неминуемо влечёт за собой расширение в разы мощностей оборудования для решения этой задачи.

Например, некоторые крупные российские холдинги столкнулись с нехваткой производительности серверов доступа при тестировании одновременного подключения даже расчётного числа пользователей.

Если проблему с оборудованием можно решить достаточно оперативно, то модернизация бизнес-процессов для «новых удалённых пользователей», их обучение и поддержка требует существенных людских и временных ресурсов.

Самый простой сценарий – это организация VPN до корпоративной сети и в рамках этого соединения подключение, например, с помощью RDP, к своему рабочему столу (ОС Windows) на своём рабочем месте. Для реализации такой схемы часто достаточно только настройки компонентов, которые уже входят в состав использующихся в компании клиентских и серверных операционных систем.

Предположим, технически возможность удалённого доступа в организации обеспечена. После остро встаёт вопрос информационной безопасности. Если «театр начинается с вешалки», то предоставление доступа (тем более дистанционного) – с аутентификации субъекта.

Уже даже не специалистам в области ИБ ясно, что парольное распознавание является очень уязвимым. Простые и сложные пароли, записанные на бумажке, отсутствие строгой парольной политики и «золотые пароли» (использующиеся как в корпоративных системах, так и на общедоступных порталах сети Интернет) – всё это ведёт на практике к росту инцидентов несанкционированного доступа от имени легитимных пользователей при удалённой работе.

В то же время есть давно зарекомендовавшие себя механизмы многофакторной аутентификации с применением криптографических методов. Например, USB-токены и смарт-карты с сертификатом пользователя на доступ к корпоративным системам с применением, например, VPN или Web (HTTPS). Закрытые ключи в данных устройствах защищены PIN-кодами, и при попытке их подобрать злоумышленником система сама заблокируется без возможности дальнейшего ее использования для атаки. Работу со смарт-картами и USB-токенами можно настроить как уже с имеющимся программно-аппаратным ИТ-оснащением организации, так и при помощи специализированных продуктов.

Многие производители таких продуктов в сложившейся ситуации предлагают выгодные условия на приобретение своих средств (вплоть до предоставления временных бесплатных лицензий). Например, существует готовое решение от «Аладдин Р.Д.» для организации безопасной удалённой работы сотрудников.

При количестве пользователей более 50 на выпуск средств доступа, поддержание и сопровождение клиентов тратятся существенные временные и людские ресурсы, которые целесообразно оптимизировать и задействовать в других задачах. В этих случаях рекомендуется применять корпоративные системы учёта и управления жизненным циклом средств аутентификации. Функционал их достаточно обширен, но выделить хотелось бы одну очень актуальную опцию.

Фото: freepik/ungvar

Фото: freepik/ungvar

С помощью данных систем можно быстро организовать выпуск USB-токенов, смарт-карт всем пользователям посредством механизмов самообслуживания. Таким образом, сотрудник оперативно получает необходимую аутентификационную информацию в соответствии с политикой, заданной администратором ИБ, без очного привлечения к этой процедуре последнего. При организации единовременного выпуска сотен и тысяч USB-токенов/смарт-карт такие механизмы экономят колоссальные ресурсы ИТ- и ИБ-подразделений, так необходимые для решения прочих задач.

Также нужно уделить внимание конфиденциальности обрабатываемых сведений сотрудниками в удалённом режиме работы. Если на корпоративном оборудовании (ноутбуках), использующемся из дома, вполне оправданно применение средств защиты информации при хранении (шифрование данных) и контроля утечек, то на личном оборудовании работников без должной настройки и администрирования указанные программы могут показать низкую эффективность. Ситуация усугубляется, если удалённому пользователю по долгу работы необходимо обрабатывать сведения, защищаемые в соответствии с законодательством Российской Федерации, например, персональные данные и т.д.

Несмотря на мобилизацию участников рынка информационной безопасности в части оперативной помощи своим партнёрам и заказчикам в вопросах дистанционного доступа, к сожалению, нужно ожидать волну атак и утечек данных. С прецедентами перехода на «удалёнку» в масштабах страны мы ранее не встречались, а оценка рисков, выявление всех актуальных угроз и их минимизация в каждом конкретном проекте требует несколько большего времени, чем мы сейчас имеем в распоряжении.