В области безопасности удаленного доступа все чаще и чаще приходится иметь дело с «щекотливыми» темами: где начинается сфера личной жизни сотрудника и где она заканчивается? Как предприятие может обеспечить защиту рабочих мест всех сотрудников, обращающихся к сети извне?

Многие атаки на корпоративную инфраструктуру исходят от собственных сотрудников. Недовольство занимаемой должностью, потребность в деньгах или скорый переход в конкурирующую компанию — все это побудительные причины злоупотребления внутренними данными компании.

В прошлом году ведомство по охране конституции федеральной земли Баден-Вюртемберг установило, что две из трех цифровых атак на безопасность ИТ предпринимали именно сотрудники пострадавших организаций. В этой связи серьезной проблемой является интеграция командированных сотрудников или сотрудников домашних офисов: с одной стороны, необходима максимальная гибкость, с другой — мобильный доступ к чувствительным корпоративным данным, ресурсам и важным для предприятия приложениям требует максимальной безопасности и доступности.

Может быть, для защиты данных стоит запретить мобильным сотрудникам частное использование электронной почты и Internet? Ведь многие утверждают, что такая открытость таит непредсказуемые риски. И что же делать? Запрещать или разрешать — внутреннее дело самого предприятия. Безусловно, когда сотрудникам запрещается слишком многое и вдобавок ограничивается сфера их личных интересов, продуктивности работы это не способствует. Постоянный технический мониторинг также не решает проблему.

К решению проблемы можно подойти более эффективно — путем разумных директив, объяснений и использования правильных технологий. Например, все сотрудники компании Watchguard в Германии подключены к центральному офису в Сиэтле и должны обращаться к находящимся там корпоративным данным; при этом важнейшая мера безопасности по-прежнему заключается в простом соблюдении нескольких правил. Нельзя забывать и о том, что людям определенных профессий невозможно в полной мере выполнять свои служебные обязанности, если работодатель технически ограничивает их в средствах связи.

ЧАСТО И ЧЕСТНО ГОВОРИТЬ О БЕЗОПАСНОСТИ

К защите от упомянутых опасностей существуют два подхода — технический и человеческий. Важная составная часть любой концепции обеспечения безопасности заключается в том, что предприятие рассматривает своих сотрудников не как потенциальных врагов, а как союзников в борьбе за безопасность. Все служащие должны быть вовлечены в разработку и соблюдение политики безопасности, поскольку доверительные отношения между коллективом и предприятием являются альфой и омегой эффективного брандмауэра.

Основные правила таковы: использование компьютера в личных целях ни в коем случае не должно мешать системам и работе, необходимо придерживаться предписаний, касающихся обеспечения безопасности, и уведомлять о происшествиях. Кроме того, сообщения личного характера рекомендуется особым образом отмечать. И, наконец, некоторые темы, к примеру политические заявления с учетной записи компании или порнография, должны быть абсолютным табу.

Тренинги, в процессе которых каждому пользователю объясняется, почему на предприятии есть правила безопасности и какие последствия может повлечь их нарушение, способствуют пониманию и глубокому осознанию общекорпоративных директив. Сотрудников следует проинформировать, например, о размерах экономического ущерба вследствие системного отказа.

Безопасность должна планироваться и контролироваться, она требует наличия правил и знаний в следующих областях:

  • что нужно делать и чего нельзя;
  • инструменты и их правильное применение;
  • права и обязанности;
  • обращение с конфиденциальными данными;
  • общение с коллегами, руководителями и сотрудниками других предприятий.

К экстренным случаям необходимо готовиться заранее. Чтобы при кризисе избежать ущерба, необходимо разработать руководство о действиях в чрезвычайных обстоятельствах. Сотрудники должны не умалчивать о происшествиях, а оповещать о случившемся своих коллег. Такую информацию можно обнародовать анонимно, без упоминания имени пострадавшего, чтобы попадающие в похожую ситуацию лучше понимали происходящее и не наступали бы на те же грабли.

ЗА ВСЕ В ОТВЕТЕ АДМИНИСТРАТОР?

Высшее руководство должно быть осведомлено обо всех инцидентах, поскольку безопасность — тема номер один на повестке любого рабочего дня. Исследование, проведенное компанией Watchguard в 2005 г. среди 296 руководителей предприятий и отделов, менеджеров проектов и ИТ в Германии и Великобритании, показало: чаще всего предприятия исходят из того, что ответственность за безопасность лежит на администраторах ИТ (43%), и значительно меньшее число респондентов (20%) возложило ее на руководство компании (см. Рисунок 1, 2 и 3). Между тем многие начинают понимать всю значимость безопасности ИТ, однако по-прежнему — по какому-то недоразумению — обязанности по ее обеспечению несет только администратор ИТ. Бесспорно, защита данных крайне важна для предприятия, а значит, и ответ держать должны все, начиная с высшего руководства.

Однако руководителям ни в коем случае не следует чрезмерно опекать своих служащих: информация — это все. Watchguard, к примеру, предлагает администраторам небольшую помощь в виде Clickaware для сбора сведений о том, как пользователи реагируют на потенциально зараженные электронные письма. Инструмент генерирует псевдозараженные письма и отправляет их отдельным пользователям или целым группам в пределах корпоративного домена. При этом того, кто заглядывает в содержимое неожиданных посланий, не следует публично порицать и упрекать: лучше отправить ему приветливое сообщение, напоминающее, что подобное поведение может быть опасным. Первые исследования показали, что наученные «практическим примером» сотрудники уже не открывают подозрительные вложения в электронных письмах.

ТЕХНИЧЕСКАЯ ПОДДЕРЖКА

Но и осведомленный сотрудник не приносит никакой пользы предприятию, если используемая им техника не соответствует требованиям. Поэтому для защиты корпоративной сети всегда должны приниматься и технические меры.

На защиту удаленного доступа нацелен целый ряд решений обеспечения безопасности. Между тем то, какой уровень безопасности является адекватным, зависит от множества факторов и может быть выяснено лишь применительно к конкретной ситуации. Основные компоненты системы безопасности известны: аутентификация, авторизация, шифрование и брандмауэры.

Для сценариев «домашний офис» или «удаленный сотрудник» имеется два типовых пути: распределение прав при помощи двух различных политик безопасности, т. е. разделение компьютеров на корпоративные и личные. Оба подключаются к интерфейсу брандмауэра. Личный компьютер выходит в Internet напрямую, а корпоративный — через корпоративную виртуальную частную сеть (Virtual Private Network, VPN). Другая возможность заключается в управлении использованием по времени, когда корпоративные директивы действуют в течение рабочего дня, а в остальное время Internet и электронной почтой можно пользоваться без ограничений.

IPSEC VPN ПРОТИВ SSL VPN

С технической точки зрения возможны два варианта доступа: виртуальные частные сети IPSec или SSL. В случае IPSec VPN удаленный доступ обеспечивается путем построения виртуального туннеля между персональным компьютером сотрудника и шлюзом VPN. Управление туннелем осуществляется программным обеспечением, инсталлированным на компьютере сотрудника и шлюзе VPN. Стоимость построения IPSec VPN невысока, однако поддержка требует больших расходов, к тому же многие провайдеры блокируют трафик IPSec по домашним соединениям через DSL или кабельный модем, поскольку относят виртуальные частные сети IPSec главным образом к деловому миру.

Для предотвращения этих проблем можно обратиться к виртуальным частным сетям SSL. Все распространенные сегодня системы SSL VPN используют для передачи данных порт TCP 443 (HTTPS). По сравнению с IPSec и прочими технологиями VPN преимущество SSL заключается в том, что она совместима с трансляцией сетевых адресов без каких-либо дополнительных мер и часто позволяет получать доступ через корпоративных посредников и брандмауэры.

Как перспективную технологию обеспечения безопасности решение SSL VPN выделяет и IDC, предрекая ей успех на рынке. К 2009 г. объем рынка, по оценкам IDC, должен увеличиться на 900 млн долларов.

Многие эксперты полагают, что решения SSL VPN отвечают самым высоким требованиям безопасности. В отличие от тех решений VPN, где для защиты применяются IPSec, они предлагают дополнительные опции защиты. Кроме того, современные системы SSL VPN оснащены большим числом функций и протоколов, чем предыдущие версии, которые служили исключительно для доступа к приложениям Web.

С технической точки зрения при использовании виртуальной частной сети SSL необходимо следить за тем, чтобы все функции безопасности — к примеру защита от вирусов — на всех вовлеченных клиентах были на современном уровне, поскольку антивирусное программное обеспечение действенно лишь тогда, когда оно регулярно обновляется. Помимо этого, следует уделять внимание и управлению «заплатами». Ответственный за безопасность должен регулярно проверять системные журналы (маршрутизаторов, брандмауэров, сетевых серверов, серверов Web, файловых серверов и т. д.), а также изменения в конфигурации брандмауэра, чтобы в любой момент быть уверенным, что они выполнят возложенные на них задачи.

Любые действия следует предусматривать заранее и планировать корпоративную политику безопасности минимум на шесть месяцев вперед, чтобы не отставать от изменения норм и деловых требований. Тем самым снижается риск оказаться неподготовленным к опасной ситуации.

ЗАКЛЮЧЕНИЕ

Техника и информированность персонала должны идти рука об руку — без нарушения сферы личной жизни. В том, что касается безопасности ИТ, руководители предприятий все еще слишком часто безгранично доверяют технике и не уделяют должного внимания общению с сотрудниками. Конечно, корпоративная сеть и отдельные рабочие места должны защищаться специальными устройствами. Но чем может помочь даже самый лучший брандмауэр, когда отдельные сотрудники понятия не имеют о правилах безопасности? Соответствующие правила и разъяснительные беседы помогут избежать бездумных путешествий по Internet или посещения сомнительных сайтов. Потому что одно верно в любом случае: обученные сотрудники — лучший брандмауэр.

Анна Фокс — старший директор компании Watchguard Technologies в регионе EMEA. С ней можно связаться по адресу: wj@lanline.awi.de.


? AWi Verlag