Главная / Статьи / Организация удаленной работы: Советы и опыт партнеров портала iEcp.ru

Организация удаленной работы: Советы и опыт партнеров портала iEcp.ru

21 апреля 2020
Организация удаленной работы: Советы и опыт партнеров портала iEcp.ru

В статье собраны советы, предостережения и практики перехода на удаленную работу от ведущих разработчиков решений для работы с электронной подписью: компании «КриптоПро», «Аладдин Р.Д.», «Актив».

Сложившаяся неблагоприятная санитарно-эпидемиологическая обстановка диктует ускоренные темпы цифровизации. Перевод в онлайн большинства услуг, сервисов и бизнес-процессов стал не просто шагом в сторону комфорта и скорости, теперь это еще и вопрос сохранности жизни и здоровья пользователей. Один из критически важных сейчас этапов трансформации – это возможность организовать удаленную работу. Избавление от привязки к офису будет полезно и после перехода в штатный режим.

Редакция Единого портала Электронной подписи собрала советы и рекомендации по организации удаленной работы, которые интересны тем, что составлены компаниями, имеющими успешный опыт разработки и вывода на рынок решений по работе с электронной подписью: КриптоПро, «Аладдин Р.Д.», «Актив».

Материал будет полезен как профессионалам, связанным со сферами ЭП, ИБ и ИТ (электронной подписи, информационной безопасности и информационных технологий), так и тем, кто далек от указанных терминов. Ведь спикеры поделятся не только экспертными рекомендациями по технической настройке удаленного рабочего процесса, но и общими советами по организации «дистанционки» и адаптации к ней. Также особое внимание следует уделить перечисленным в статье решениям для работы с электронной подписью. Каждое из них имеет свои отличительные особенности, что позволит подобрать оптимальной вариант для каждой компании, исходя из ее нужд.

Темы, предложенные экспертам для подготовки комментария:

  • ТОП-3 причин «Почему важно перейти на удаленный режим работы»
  • ТОП-3 рекомендаций «Как сохранить рабочий настрой»
  • ТОП-3 ошибок «Какие ошибки могут допускать работодатели и сотрудники (и как их избежать)»
  • ТОП-3 продуктов «Какие 3 главных специализированных продукта для организации удаленной работы предлагает ваша компания»
  • Кейс «Каким образом ваша компания перешла на удаленный режим работы?».

Комментарии предоставили:

Комментарий компании КриптоПро

Автор: Луцик Павел Иванович, директор по продажам и развитию бизнеса

Луцик Павел Иванович, директор по продажам и развитию бизнеса

Примечание редакции портала iEcp.ru: ТОП-3 причин, рекомендаций и ошибок будут актуальны для каждого читателя, ТОП-3 продуктов и кейс,  подготовленные Павлом Ивановичем, рекомендуются к ознакомлению руководящему составу компаний и специалистам по организации информационной безопасности и прочим сотрудникам, экспертным в технической части, в том числе представителям государственных органов и подведомственных организаций, операторам персональных данных, субъектам КИИ, финансовым организациям.

ТОП-3 причин «Почему важно перейти на удаленный режим работы»

  1. Самая очевидная для всех причина - переход на удаленный режим работы поможет остановить пандемию COVID-19, существенно сократив социальные контакты, присущие офисной работе, до нормализации ситуации.
  2. Обязательный для большинства компаний переход на удаленный режим работы во многих случаях без преувеличения поможет сохранить бизнес, предоставив возможность продолжить решать производственные и иные ключевые задачи по разработке продуктов и оказанию услуг, что в свою очередь позволит компании остаться на плаву.
  3. Как следствие предыдущего пункта - переход на удаленный режим работы позволит во многих случаях сохранить рабочие места, обеспечив сотрудников необходимым объемом задач и соответствующим финансовым доходом.

ТОП-3 рекомендаций «Как сохранить рабочий настрой»

  1. Не оставайтесь в домашней одежде. Да, соблазн остаться в плюшевом халате и мягкой пижамке велик. Но так мозг получает сигнал, что можно быть расслабленным, а это мешает сфокусироваться и переключиться на важные вещи. Достаточно одеться так, будто вы собираетесь выйти из дома, и вы заметите, как быстро изменится ваше восприятие, а мысли станут более собранными.
  2. Обустройте рабочее место. Оно должно быть максимально изолировано от отвлекающих факторов, быть эргономичным, хорошо освещенным и по возможности напоминать ваше рабочее место. Используйте мышку, наушники, стикеры с напоминаниями и прочее, к чему вы привыкли в офисе. Так на физическом уровне ваш организм настроится на рабочий лад, будет разделять место для работы и отдыха, а вероятность скатиться в работу 24/7 или прокрастинацию станет меньше.
  3. Придерживайтесь графика. Четко определите начало и конец рабочего дня, время обеда. Должна быть четкая точка отсчета. Вставайте в одно и то же время: это гарантирует, что вы сохраните рабочий режим и настрой. Не забывайте делать перерывы. Поддерживайте ритуалы, которые привыкли совершать по дороге на работу, например, чтение новостей или прослушивание музыки.

ТОП-3 ошибок «Какие ошибки могут допускать работодатели и сотрудники (и как их избежать)»

Ошибки сотрудников:

  1. Ваше присутствие дома воспринимается как постоянная готовность к диалогу. И многие сотрудники не могут этому противостоять. Приготовьтесь время от времени просить домашних не отвлекать вас до ближайшего перерыва. Со временем, они привыкнут, а напоминания станут не нужны.
  2. В четырех стенах необходимости в физической активности становится гораздо меньше, а это чревато снижением общего тонуса организма. Поэтому хотя бы раз в час вставайте с места, обходите свои владения, а лучше сделайте небольшую зарядку. Это отличная возможность привести свое тело в тонус, тем более, что душ всегда в шаговой доступности. А чтобы не забывать двигаться, можно поставить себе напоминание в телефоне.
  3. После окончания рабочего дня велик риск «зависнуть» в выполнении задач. Это может привести к быстрому «выгоранию», особенно если семья уже ждет вас обратно. Составьте список дел на следующий день и отправляйтесь к домашним заботам. Поиграйте с детьми или почитайте им книжку, займитесь самообразованием или посмотрите интересный фильм. Помните, сохранение баланса между работой и отдыхом поможет вам поддерживать душевное спокойствие и бодрость духа, а вашим близким – принять необходимость обеспечить вам личное пространство на время рабочего дня.

Ошибки работодателей:

  1. Преждевременное сокращение сотрудников. Реорганизовав рабочие процессы и переведя сотрудников на удаленный доступ, в большинстве случаев можно обеспечить необходимый объем задач и как следствие сохранить в штате большую часть сотрудников.
  2. Работодатели зачастую не обращают особого внимания на защиту персональных данных своих сотрудников и клиентов, а также иной критичной информации, передаваемой сотрудниками при удаленной работе по незащищенным каналам связи, в том числе через сеть Интернет. При выборе соответствующих технических решений по организации удаленного доступа особое внимание необходимо уделить вопросам обеспечения выбираемыми решениями необходимого уровня безопасности, а также наличия у них сертификатов ФСБ, требуемых во многих случаях по законодательству.
  3. При удаленном доступе предоставляется такой же уровень доступа к ресурсам и информационным системам, как и при локальной работе в офисе. Важно понимать, что модель угроз и нарушителя для работы в офисе и удаленной работы – это две большие разницы. Поэтому перед настройкой удаленного доступа важно провести такое моделирование и в соответствии с ним определить необходимые меры защиты, доступные удаленно ресурсы и права доступа к ним различных групп пользователей.

ТОП-3 продуктов «Какие продукты для организации удаленной работы, предлагает ваша компания» 

Компания КриптоПро, разработчик средств криптографической защиты информации и электронной подписи, предлагает следующие специализированные продукты для организации удаленной работы:

1. КриптоПро NGate – это сертифицированный ФСБ России по классам КС1, КС2, КС3 высокопроизводительный VPN-шлюз на базе протокола TLS, который позволяет безопасно и быстро организовать защищённый доступ удалённых пользователей к корпоративным ресурсам через незащищённые сети с учетом требований законодательства РФ по информационной безопасности. Шлюз КриптоПро NGate отличает гибкость настроек доступа, так сотрудники компании могут осуществлять вход на серверы предприятия с любых устройств, различными способами, включая использование браузера.

Примечание редакции портала iEcp.ru: VPN (англ. Virtual Private Network) - «виртуальная частная сеть»), обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх другой сети (например, сети Интернет).

2. КриптоПро CSP 4.0/5.0 – это сертифицированный ФСБ России криптопровайдер, который при совместном использовании со службой Microsoft RDG (Remote Desktop Gateway), входящей в состав современных серверных ОС Windows, способен обеспечить защищенный доступ к удаленному рабочему столу ОС Windows по протоколу RDP с применением российских криптографических алгоритмов и соответствием требованиям законодательства РФ по информационной безопасности. При этом, в качестве клиентского компонента для подключения к удаленному рабочему столу используется входящая в состав ОС Windows команда MSTSC.

Примечание редакции портала iEcp.ru: Remote Desktop Gateway (англ. Шлюз удаленных рабочих столов).

3. Программно-аппаратный комплекс (либо услуга) КриптоПро DSS, предназначенный для централизованного, защищенного хранения закрытых ключей пользователей, а также для удаленного выполнения операций по созданию электронной подписи (ЭП) с использованием ПАКМ КриптоПро HSM.

Основные преимущества КриптоПро DSS:

  • создание электронной подписи любого формата электронного документа;
  • возможность работы с квалифицированной электронной подписью;
  • широкий охват платформ и устройств, с которых пользователь может работать;
  • снижение стоимости развертывания и владения инфраструктурой ЭП, т.к. нет необходимости установки средства ЭП на каждое стационарное рабочее место пользователя, а управление всей инфраструктурой сосредоточено на одном сервере;
  • снижение риска компрометации ключей пользователей за счёт их централизованного защищённого хранения;
  • Визуализация (отображение) подписываемых электронных документов.

Кейс, описывающий переход компании КриптоПро на удаленный режим работы

В этой части статьи мы расскажем о том, как наша компания перешла на удаленный режим работы и в частности об используемых нами способах организации безопасного удаленного доступа к рабочему месту с помощью продуктов КриптоПро и Microsoft, которые вы можете применить у себя как отдельно, так и в составе пакета.

SSL/TLS VPN

Использование VPN позволяет предоставить и разграничить доступ к сетевой инфраструктуре компании. Для этих целей мы используем высокопроизводительный VPN-шлюз КриптоПро NGate и VPN-клиенты для Microsoft Windows, Apple macOS, Linux, а также iOS и Android. Дистрибутивы и документация доступны на нашем сайте.

Remote Desktop Gateway

Брокер удаленных подключений Microsoft Remote Desktop Gateway предназначен для получения доступа только к рабочим местам сотрудников на Microsoft Windows.

Защита трафика при этом обеспечивается установкой КриптоПро CSP на Gateway и клиентские компьютеры (на которых запускается клиент удаленного доступа).

Инструкция по настройке находится в нашей Базе Знаний.

Оба варианта предоставляют возможность аутентификации пользователей по логину/паролю (через Active Directory) или с помощью сертификатов/смарт-карт.
Для сервера используется серверный сертификат, который мы получили в нашем УЦ.
Сертификат этого удостоверяющего центра уже включен в дистрибутивы КриптоПро CSP — пользователям не приходится самостоятельно настраивать доверие к сертификату сервера.

Для реализации описанных выше инструментов в вашей Организации, предлагаем вашему вниманию пакет «Защищенный удаленный доступ», который позволит вам реализовать защищенный удаленный доступ к корпоративным информационным ресурсам в соответствии с требованиями законодательства РФ по ИБ и использовать его в течение первых трех месяцев без оплаты.

В состав пакета входят следующие компоненты, которые могут быть использованы как совместно, так и отдельно друг от друга:

  1. Сертифицированный ФСБ России шлюз удаленного доступа КриптоПро NGate в виртуальном исполнении, включающий в себя бесплатную трехмесячную лицензию на 50 одновременных подключений и реализующий удаленный доступ к произвольным ресурсам с применением российских криптографических алгоритмов. В качестве клиентского компонента может использоваться любой браузер, поддерживающий ГОСТ (для подключения к веб-ресурсам), либо нелицензируемый VPN-клиент КриптоПро NGate Client (для подключения к произвольным ресурсам, в том числе с мобильных устройств). По запросу возможно увеличение количества одновременных подключений и/или срока временной лицензии. Скачать ISO-образ дистрибутива КриптоПро NGate для установки в виртуальной среде и документацию на КриптоПро NGate можно здесь.
  2. Сертификат аутентификации сервера (необходим для функционирования шлюза КриптоПро NGate), предоставляемый бесплатно и удаленно на три месяца. По запросу сертификат может быть выдан на более длительный срок. Подробности получения сертификата шлюза можно прочитать здесь.
  3. Сертифицированный ФСБ России криптопровайдер КриптоПро CSP 4.0/5.0, включающий в себя бесплатную трехмесячную лицензию. Совместное использование данного криптопровайдера со службой Microsoft RDG (Remote Desktop Gateway), входящей в состав современных серверных ОС Windows, способно обеспечить защищенный доступ к удаленному рабочему столу ОС Windows по протоколу RDP с применением российских криптографических алгоритмов. В качестве клиентского компонента для подключения к удаленному рабочему столу используется входящая в состав ОС Windows команда MSTSC. Скачать дистрибутив и документацию на КриптоПро CSP 4.0/5.0 можно здесь.

Предлагаемые для удаленного доступа компоненты нетребовательны к системным и аппаратным ресурсам и могут быть оперативно развернуты специалистами организации по документации. В случае необходимости в дальнейшем возможно проведение бесшовной миграции шлюза КриптоПро NGate с виртуального исполнения на более производительное и отказоустойчивое аппаратное, с сохранением настроек и политик безопасности.

Предоставляемый пакет будет особенно полезен следующим организациям, для которых удаленный доступ должен быть защищен в соответствии с требованиями законодательства по ИБ:

  • Государственным органам и подведомственным организациям для организации доступа к государственным и муниципальным информационным системам;
  • Операторам персональных данных для организации доступа к информационным системам персональных данных;
  • Субъектам критической информационной инфраструктуры (КИИ) для организации доступа к значимым объектам КИИ;
  • Финансовым организациям для организации доступа к информационным системам.

При организации удаленного доступа рекомендуем воспользоваться соответствующими рекомендациями отечественных регуляторов по мерам обеспечения информационной безопасности на время удаленной работы:

Комментарий компании «Аладдин РД»

Автор: Чирков Максим Олегович, руководитель направления развития электронных сервисов компании «Аладдин Р.Д.».

Чирков Максим Олегович, руководитель направления развития электронных сервисов компании «Аладдин Р.Д.»

Примечание редакции портала iEcp.ru: ТОП-3 причин, рекомендаций и ошибок будут понятны и полезны каждому читателю, ТОП-3 продуктов и кейс

ТОП-3 причин «Почему важно перейти на удаленный режим работы»

1. Выполнение требований нормативных актов Президента, Правительства и глав субъектов Российской Федерации. 
2. Для нашей компании (как и для многих ИТ- и ИБ-компаний) основной ресурс – это сотрудники. Допущение вспышки любого заболевания в организации чревато серьезными последствиями и вне кризиса, а при текущем положении дел может быть губительно для любой, даже крепко стоящей на ногах компании. 
3. Сокращение издержек на обслуживание офиса.  

ТОП-3 рекомендаций «Как сохранить рабочий настрой»

  1. Четкое планирование рабочего дня. Кому-то комфортно быть максимально приближенным к обычному расписанию работы, так как за время «жизни» в офисе внутренние часы адаптировались к этому ритму, и «ломать» и «перестраивать» этот механизм в текущей ситуации явно не стоит. Кому-то комфортно изменить график, чтобы оптимально совмещать работу, домашние и личные дела. В любом случае лучше придерживаться четкого разделения времени работы и прочих дел.  
  2. Организация дома (на даче) четко выделенной рабочей зоны (стол, кресло и т.д.). Некоторым моим друзьям помогает переодевание в одежду, в которой они обычно находятся на работе. И даже рабочие туфли (тапочки) помогают некоторым эмоционально настроиться на рабочий лад.
  3. Договориться с семьей (с тем, с кем проходит самоизоляция). Очень важно, чтобы все проживающие вместе понимали, что в такой-то диапазон времени человек находится на работе, хоть эта работа и расположена вынуждено на кухне, в столовой или спальне. При удаленной работе привычная домашняя обстановка перестает быть привычным местом отдыха – становится рабочим пространством. Поэтому важно выделить не только рабочую зону, но и определить время выхода из «рабочей обстановки».

ТОП-3 ошибок «Какие ошибки могут допускать работодатели и сотрудники (и как их избежать)»

  1. Потеря самоорганизации каждого конкретного сотрудника компании. Важно понимать, что «мы – команда, и мы идем к общим результатам вместе», несмотря на то, что каждый у себя дома.
  2. Избыточная эмоциональность в решении тех или иных рабочих вопросов. Длительное пребывание в режиме самоизоляции на сотрудников с разными психотипами влияет по-разному. Домашняя обстановка может размывать психологические барьеры и пробуждать застарелые рабочие и личностные конфликты в коллективе.  
  3. Нарушение «живого» рабочего контакта. Важно проводить регулярные аудио- и видео-конференции для сохранения человеческих коммуникаций. Также многие вопросы эффективнее решать именно в таких форматах, а не в «многокилометровых переписках».

ТОП-3 продуктов «Какие продукты для организации удаленной работы, предлагает ваша компания»

1) JaCarta PKI (USB-токены или смарт-карты) – средство строгой двухфакторной аутентификации и безопасного хранения пользовательских данных

Назначение
  • Строгая двухфакторная аутентификация пользователей при загрузке компьютера (служебного ноутбука или домашнего ПК);
  • Установление безопасного удалённого VPN-соединения с корпоративной сетью предприятия, в том числе с использованием протокола RDP;
  • Обеспечение юридической значимости электронных документов, формируемых с использованием офисного ПО;
  • Безопасное хранение пользовательских данных и объектов (паролей, цифровых сертификатов, ключевых контейнеров популярных программных СКЗИ) в собственной защищённой энергонезависимой памяти;
  • Работа с усиленной квалифицированной электронной подписью в режиме хранения контейнеров программных СКЗИ (КриптоПро CSP, VipNet CSP и др.).
Преимущества
  • Обеспечивается надёжная строгая двухфакторная аутентификация удалённых пользователей в корпоративной сети, в том числе на удалённом рабочем столе, с безопасным хранением ключевых пар и сертификатов на USB-токене или смарт-карте JaCarta PKI:
    • Закрытый ключ, используемый для аутентификации и выработки ключей шифрования, безопасно генерируется внутри устройства и никогда его не покидает, т.е. является неизвлекаемым, его невозможно склонировать
  • Обеспечивается надёжная защита от несанкционированного удалённого подключения злоумышленников в корпоративную сеть по VPN:
    • Даже если USB-токен или смарт-карта JaCarta PKI будут украдены, злоумышленник, не зная PIN-кода для JaCarta PKI, не сможет получить удалённый доступ к сети предприятия;
    • Устройства обладают защитой от подбора PIN-кода и будут автоматически заблокированы после нескольких попыток последовательного ввода неправильного PIN-кода;
    • При утрате устройства пользователь может быстро уведомить администратора, и тот, в свою очередь, заблокирует возможность подключения к корпоративной сети с использованием этого USB-токена или смарт-карты (сертификата на устройстве);
  • Обеспечивается надёжная защита от кражи конфиденциальных данных в канале связи от дома до офиса, так как ключи шифрования формируются с использованием неизвлекаемого ключа, хранимого в токене;
  • Обеспечивается возможность удалённой работы с УКЭП (усиленной квалифицированной электронной подписью) в системах дистанционного банковского обслуживания, на порталах гос. услуг, в системах электронного документооборота при работе совместно с программными СКЗИ КриптоПро CSP, VipNet CSP и др.

2) JaCarta Management System (JMS) - корпоративная система управления жизненным циклом средств аутентификации и электронной подписи

Назначение
  • Регистрация, выпуск, синхронизация, блокировка, удаление USB-токенов и смарт карт в системе;
  • Автоматический выпуск в соответствии с политиками средств аутентификации и электронной подписи на USB-токены и смарт-карты пользователей. Отслеживание времени жизни указанных средств, автоматическое их обновление, временная блокировка или отзыв, восстановление из резервных копий (в зависимости от типа токенов и установленных политик);
  • Взятие под управление USB-токенов и смарт-карт со средствами аутентификации и электронной подписи, выпущенных другими системами;
  • Поэкземплярный учёт СКЗИ.
Преимущества
  • Возможность оперативного выпуска любого количества USB-токенов и смарт-карт для передачи их сотрудникам, переходящим на режим удалённой работы;
  • Возможность автоматизации процессов обслуживания USB-токенов и смарт-карт без необходимости для сотрудников нарушать режим самоизоляции. Запись, удаление, приостановка, блокировка, перевыпуск сертификатов и другие операции, назначенные администратором на сервере, происходят в процессе синхронизации USB-токенов и смарт-карт автоматически.

Или

JaCarta Authentication Server (JAS) - автономный сервер аутентификации с поддержкой OTP- и U2F-токенов, а также программных токенов и SMS для мобильных устройств

Примечание редакции портала iEcp.ru: OTP (англ. one time password) – пароль действительный для одного сеанса аутентификации. U2F (Universal 2nd Factor) — открытый протокол двухфакторной аутентификации конечных пользователей онлайн-сервисов.

Назначение
  • Усиленная аутентификация по OTP, U2F, программным токенам или SMS.
Преимущества
  • Возможность существенного улучшения защищённости целевых систем за счёт добавления второго фактора аутентификации – OTP, U2F или SMS;
  • Оперативность и простота встраивания в подавляющее большинство целевых систем за счёт использования стандартных протоколов интеграции;
  • Отсутствие необходимости в доставке аппаратных USB-токенов и смарт-карт пользователям, находящимся в режиме самоизоляции;
  • Экономия средств на аппаратные USB-токены или смарт-карты (в случае использования программных токенов или SMS).

3) Secret Disk - система защиты информации, обеспечивающая шифрование и надёжную защиту конфиденциальной информации от утечек и компрометации на корпоративных ноутбуках и домашних рабочих станциях

Назначение
  • Прозрачное шифрование дисков/папок/файлов;
  • Двухфакторная аутентификация пользователей;
  • Контроль доступа к защищённой информации;
  • Контроль подключения USB-носителей к защищённому компьютеру;
  • Шифрование файлов/папок на USB-носителях;
  • Создание криптоконтейнеров для двухстороннего обмена файлами или файловыми архивами.
Преимущества

Используя Secret Disk, организация обеспечит простое, экономичное и эффективное противодействие угрозам утечки служебной и конфиденциальной информации

  • При утере/краже корпоративного ноутбука;
  • При работе со служебной/секретной информацией на домашнем компьютере;
  • При переносе информации на USB-носителях;
  • При обмене файлами/архивами файлов через недоверенные каналы связи, в т.ч. публичные файлообменные сервисы.

Описание основных этапов и «подводных камней» перехода на удаленный режим работы, в том числе для организаций, численность сотрудников которых более 50, от компании «Аладдин Р.Д.»

Сложившаяся ситуация с пандемией застала врасплох не только организации, которые и не рассматривали возможность удалённой работы сотрудников, но и тех, у кого подсистемы удалённого доступа используются успешно и достаточно давно. Сложно представить среднюю, а тем более крупную компанию, в которой для высшего менеджмента и разъездных сотрудников отсутствует возможность работать из любой точки планеты. Однако процент таких сотрудников от общего числа работников традиционно был невысок, а организация перевода на дистанционную работу всей компании (или же почти всей) неминуемо влечёт за собой расширение в разы мощностей оборудования для решения данной задачи. Например, некоторые крупные российские холдинги столкнулись с нехваткой производительности серверов доступа при тестировании одновременного подключения даже расчётного числа пользователей. Если проблему с оборудованием можно решить достаточно оперативно, то модернизация бизнес-процессов для «новых удалённых пользователей», их обучение и поддержка требует существенных людских и временных ресурсов.

Самый простой сценарий удалённого доступа – это организация VPN до корпоративной сети и в рамках этого соединения подключение, например, с помощью RDP, к своему рабочему столу (ОС Windows) на своём рабочем месте. Для реализации такой схемы зачастую достаточно только настройки компонент, которые уже входят в состав использующихся в компании клиентских и серверных операционных систем.

Предположим, технически возможность удалённого доступа в организации обеспечена. Далее остро встаёт вопрос информационной безопасности. Если «театр начинается с вешалки», то предоставление доступа (тем более удалённого) – с аутентификации субъекта. Уже даже не специалистам в области ИБ ясно, что парольная аутентификация является очень уязвимой. Простые пароли, сложные пароли, записанные на бумажке, отсутствие строгой парольной политики и «золотые пароли» (использующиеся как в корпоративных системах, так и на общедоступных порталах сети Интернет) – всё это ведёт на практике к росту инцидентов несанкционированного доступа от имени легитимных пользователей при удалённой работе. В то же время есть давно зарекомендовавшие себя механизмы многофакторной аутентификации с использованием криптографических методов. Например, USB-токены и смарт-карты с сертификатом пользователя на доступ к корпоративным системам с использованием, например, VPN или Web (HTTPS). Закрытые ключи в данных устройствах защищены PIN-кодами, и при попытке подобрать эти коды злоумышленником устройство самостоятельно заблокируется без возможности дальнейшего его использования для атаки. Работу с USB-токенами и смарт-картами можно настроить как уже с имеющимся программно-аппаратным ИТ-оснащением организации, так и при помощи специализированных продуктов. Стоит отметить, что многие производители данных продуктов в сложившейся ситуации предлагают выгодные условия на приобретение своих средств (вплоть до предоставления временных бесплатных лицензий). Например, предложение от «Аладдин Р.Д.» для организации безопасной удалённой работы сотрудников.

При количестве пользователей более 50 на выпуск средств доступа, поддержание и сопровождение клиентов тратятся существенные людские и временные ресурсы, которые целесообразно оптимизировать и задействовать в других задачах. В этих случаях рекомендуется применять корпоративные системы учёта и управления жизненным циклом средств аутентификации. Функционал их достаточно обширен, но выделить хотелось бы одну очень актуальную функцию. С помощью данных систем можно организовать в кратчайшие сроки выпуск USB-токенов и смарт-карт всем пользователям посредством механизмов самообслуживания. Таким образом, пользователь оперативно получает необходимую аутентификационную информацию в соответствии с политикой, заданной администратором ИБ, без очного привлечения самого администратора ИБ к этой процедуре. При организации единовременного выпуска сотен и тысяч USB-токенов/смарт-карт механизмы самообслуживания экономят колоссальные ресурсы ИТ- и ИБ-подразделений, так необходимые для решения прочих задач.

Также необходимо уделить внимание конфиденциальности обрабатываемых сведений сотрудниками в удалённом режиме работы. Если на корпоративном оборудовании (ноутбуках), использующихся из дома вполне оправданно применение средств защиты информации при хранении (шифрование данных) и средств контроля утечек, то на личном оборудовании работников без должной настройки и администрирования вышеуказанные средства могут показать низкую эффективность. Ситуация усугубляется, если удалённому пользователю по долгу работы необходимо обрабатывать сведения, защищаемые в соответствии с законодательством Российской Федерации, например, персональные данные и т.д.

Несмотря на мобилизацию участников рынка информационной безопасности в части оперативной помощи своим партнёрам и заказчикам в вопросах удалённого доступа, к сожалению, стоит ожидать волну атак и утечек данных, так как с прецедентами перехода на «удалёнку» в масштабах страны мы ранее не встречались, а оценка рисков, выявление всех актуальных угроз и их минимизация в каждом конкретном проекте требует несколько большего времени, чем мы сейчас имеем в распоряжении.

Комментарий компании «Актив»

Автор: Андрей Игнатов, менеджер продуков Рутокен компании «Актив»

Андрей Игнатов, менеджер продуков Рутокен компании «Актив»

При работе из офиса мы можем быть уверены, что человек за компьютером - сотрудник предприятия. Однако при удалённой работе всё не так - сотрудником будет считаться тот, кто всего лишь знает пароль от учетной записи. А если пароль украден, то злоумышленник сможет долго выдавать себя за легального пользователя.

Для защиты от этой угрозы используется двухфакторная аутентификация (2ФА) на основе криптографических токенов или смарт-карт. Первый фактор выражается во владении пользователя физическим устройством - токеном, который перед аутентификацией необходимо подключить к компьютеру. Далее необходимо ввести PIN-код для доступа к токену. Знание этого PIN-кода будет являться вторым фактором аутентификации.

Если токен будет утерян или украден, то злоумышленник всё равно не сможет получить доступ к ПК пользователя или сети предприятия, поскольку не знает PIN-код. Подобрать PIN-код практически невозможно, так как после нескольких неудачных попыток ввода, токен будет заблокирован. Напротив, знание PIN-кода бесполезно без наличия токена. А в случае кражи и токена, и PIN-кода сотруднику будет достаточно уведомить администратора своей компании и доступ с использованием данного токена будет немедленно заблокирован.

Компания «Актив» для безопасной организации удаленного доступа с реализацией двухфакторной аутентификации предлагает решения Рутокен.

Токены и смарт-карты Рутокен

С помощью токенов линейки Рутокен ЭЦП можно внедрить двухфакторную аутентификацию для удаленного доступа по протоколам RDP (Remote Desktop Protocol) и VDI (Virtual Desktop Infrastructure). Причем не нужно приобретать никакого дополнительного программного обеспечения - всё необходимое уже входит в состав дистрибутивов Windows и систем VDI. Инструкции по внедрению есть на сайте dev.rutoken.ru.

Для защиты передаваемых данных при доступе сотрудников к сети предприятия используется технология виртуальных частных сетей (VPN), которая осуществляет шифрование всего трафика между домашним компьютером и сервером VPN в сети предприятия.

Рутокен VPN

Программный продукт Рутокен VPN помимо защиты передаваемых данных позволяет организовать двухфакторную аутентификацию удаленных сотрудников с помощью уже упоминавшихся токенов и смарт-карт линейки Рутокен ЭЦП. Подключение к VPN возможно только при подключении токена к ПК и вводе его PIN-кода. При отключении токена связь автоматически разрывается.

Таким образом, сотрудник всегда будет знать, подключен ли он к сети предприятия или нет, и не выполнит по ошибке на своем компьютере действия, которые поставят безопасность сети под угрозу (например, не станет запускать программу, полученную из непроверенных источников и, возможно, содержащую вирус).

Ключевыми особенностями Рутокен VPN является простота настройки и низкая нагрузка на системных администраторов как при внедрении, так и в работе.

До 1 мая 2020 года можно приобрести комплект для организации VPN, состоящий из 5 токенов Рутокен ЭЦП PKI,  по специальной цене и получить сервер бесплатно.

Одно устройство - много возможностей

Одна из главных сложностей при удаленной работе - невозможность быстрого подписания бумажных документов. Весь документооборот (как внутренний, так и между компаниями-контрагентами) стремительно мигрирует в сторону электронного. А вместо классических подписей на бумаге используются электронные подписи.

Если у вас есть токен или смарт-карта Рутокен, то вы можете не только безопасно подключаться к рабочему месту и другим корпоративным ресурсам, но и использовать устройство для электронной подписи.

Токены и смарт-карты используются для надежного хранения ключей и сертификатов, а также вычисления усиленной и квалифицированной электронной подписи с использованием российских и международных алгоритмов.

Доступ к хранилищу токена блокируется PIN-кодом, ключи электронной подписи невозможно извлечь из памяти токена, а значит злоумышленник не сможет сделать его копию и подписывать им свои документы без ведома владельца.

Большинство систем документооборота и офисных приложений позволяют использовать Рутокен для подписания электронных документов напрямую, или с помощью криптопровайдера (к примеру, КриптоПро CSP).

При этом сотрудник не привязан к конкретному ПК - поскольку всё необходимое для подписания электронных документов находится на токене, то работать можно на любом компьютере, к которому подключен токен.

Таким образом, одно устройство Рутокен позволит сотруднику удаленно выполнять свои служебные обязанности: подключаться к серверам и ресурсам в сети предприятия и подписывать электронные документы.

Читайте также:

02 апреля 2020

Об обновлении КЭП без явки в офис УЦ во время пандемии коронавируса

С целью предотвратить разрушительные последствия пандемии COVID-19 в России введен ряд ограничительных мер, в том числе в некоторых регионах установлен режим самоизоляции. Как в сложившихся условиях получить КЭП, срок действия которой подходит к концу?