БЕЗОПАСНОСТЬ
Мобильный персонал не должен стать мишенью для хакеров
Господа хакеры, не тратьте время попусту! Вы решили, что надомные работники Lexis-Nexis окажутся для вас легкой мишенью? Как бы не так!
Эти люди не из тех, кто отключает антивирусное ПО, чтобы загрузить последнюю версию Napster, и в результате создает брешь, через которую хакеры могут проникнуть в сеть компании. Вооруженные строгой политикой обеспечения безопасности, брандмауэрами на переносных ПК, средствами обнаружения вирусов и защищенным доступом к сети через модемы, все работники Lexis-Nexis - от вспомогательного персонала до исполнительного директора - настолько неукоснительно следуют правилам защиты информации, что, даже работая у себя дома, готовы блюсти в этих вопросах армейскую дисциплину.
“Мы прекрасно представляем себе угрозы, связанные с подключением к сети надомных работников, - рассказал Лео Кронин, директор по информационной безопасности компании Lexis-Nexis, являющейся подразделением информационных служб фирмы Reed Elsevier (Дейтон, шт. Огайо). - Поэтому мы разработали несколько стратегий обеспечения контроля за этой средой. Большинство наших служащих четко знает, что нарушение установленных правил чревато серьезными последствиями для компании”.
Что это, паранойя? Кронин так не думает. Весьма искусная атака на корпорацию Microsoft с использованием похищенного идентификатора надомного работника в октябре этого года послужила тревожным сигналом для Кронина и многих других корпоративных менеджеров по информационной безопасности. Суть в том, что сейчас, когда работники нередко подключаются к сети из дома или находясь в дороге, как никогда важно защитить их переносные ПК и другие мобильные устройства, а также обезопасить корпоративные серверы и сети от появления брешей, связанных с подключением удаленных пользователей.
Поэтому серьезные организации, такие, например, как Lexis-Nexis, администрация штата Аризона или фирма Conqwest, принимают практические меры по снижению степени своей уязвимости, предусмотренные рядом взаимосвязанных стратегий защиты. Сюда входит разработка общей политики безопасности и конкретных инструкций, содержащих указания для надомных работников о том, что можно и чего нельзя делать на ПК и как их защитить физически. Кроме того, используются различные технологии защиты вроде VPN (виртуальных частных сетей), брандмауэров, средств обнаружения вирусов и ПО обратного вызова, которое может быть применено для обнаружения украденных ноутбуков. И, пожалуй, самое главное - эти меры предполагают отбор и обучение тех, кто готов следовать правилам и кому поэтому позволено работать на дому.
“Работа вне офиса - это привилегия, и наши конечные пользователи понимают, что должны постоянно подтверждать свое право на такую работу. Если мы не сможем гарантировать безопасность их подключения к сети или не будем уверены в готовности людей выполнять наши требования, то не позволим им работать дома”, - пояснил Ли Лейн, главный менеджер по безопасности администрации штата Аризона (Финикс). Подобно Lexis-Nexis, в местных органах управления также начали применять жесткие меры контроля за соблюдением надомными сотрудниками правил безопасности.
Цена беспечности
Эксперты по безопасности считают, что, к сожалению, не все ИТ-менеджеры восприняли тот сигнал, на который отреагировали Кронин и Лейн. Хотя компании наконец-то стали заботиться о том, чтобы блокировать внешние угрозы для Web-сайтов, мобильная аппаратура для доступа к корпоративным системам в большинстве случаев остается незащищенной. Сегодня специалисты, менеджеры и руководители фирм все чаще берут с собой в дорогу портативные ПК и другие мобильные средства, и к тому же в последнее время резко возросло число людей, работающих на дому. Все это привело к тому, что провалы в защите сетей стали обходиться компаниям в немалые деньги. Как показали результаты проведенного Computer Security Institute и ФБР обследования 273 пострадавших в 1999 г. компаний, кражи фирменной информации через бреши в системе связи с удаленными пользователями привели к общим убыткам в размере 66,7 млн. долл.
В обозримом будущем, несмотря на потенциальные угрозы безопасности, количество надомных работников вряд ли уменьшится. Эксперты считают, что оно будет только расти. По данным International Telework Association and Council (Вашингтон), около 16,5 млн. американцев хотя бы раз в месяц подключаются к портативным сетям из дома. И каждый год эта цифра увеличивается примерно на 20%. Согласно прогнозу ассоциации, к концу 2004 г. число регулярно работающих на дому может составить порядка 30 млн. человек.
Уметь отбирать людей
Если говорить об администрации Аризоны, то в 71 ее ведомстве число служащих, работающих хотя бы раз в неделю на дому, за последние полгода выросло примерно до 3 тыс. человек. В связи с этим администрация настаивает, чтобы на всех ПК, независимо от того, используются они в офисе или дома, было установлено стандартное защитное ПО. Все служащие должны подписать договор, по которому они обязуются устанавливать последнюю версию антивирусного ПО McAfee фирмы Network Associates и использовать служебную сеть только для деловых целей. К тому же далеко не всем разрешается работать на дому. В администрации Аризоны шутят, что отбор тех, кто может трудиться дома, происходит куда строже, чем процедура найма на работу в качестве государственного служащего. Желающие работать вне офиса вначале должны получить одобрение менеджеров и завизировать рекомендательное письмо у Джона Корбетта, руководителя программ штата по надомной работе. Если служащего включили в такую программу, он обязан пройти инструктаж у своего менеджера и прочитать книгу, содержащую установки и требования безопасности, а затем подписать договор, подтверждающий, что ему понятны все предписания администрации. В трехчасовой инструктаж входит также просмотр видеофильма, освещающего вопросы безопасности и другие требования к дистанционным подключениям. Нарушивший эти правила теряет право работать дома.
Как считают аналитики, такой отбор особенно важен потому, что надомная работа находится вне контроля ИТ-персонала. “Многие организации концентрируют внимание только на аппаратуре, а не на своих работниках, - говорит Джефф Джонсон, аналитик фирмы Meta Secur e-Com Solutions (Атланта). - Внимательно выбирая тех, кому разрешается работать дома, вы уменьшаете риск”.
Присматривать за надомниками
Продуманная политика безопасности столь же важна, как и правильный выбор людей. В Lexis-Nexis Кронин и Джон Давалос, директор по поддержке инфраструктуры систем, постоянно контролируют содержание и выполнение программы по организации надомной работы, действующей в компании уже пять лет. В частности, она обязывает надомников (а их сейчас 2200 человек) физически защищать свою аппаратуру, использовать пароли при ее включении, а также устанавливать персональные брандмауэры.
Политика Lexis-Nexis диктует и правила обращения пользователей с секретными файлами и документами. Надомникам полагается хранить конфиденциальные файлы только на сервере, а не на настольных ПК. Когда закрытый документ выносится за пределы офиса, то, согласно правилам, он должен быть зашифрован.
Кронин и Давалос также определили правила и выбрали ПО (какое именно, они не называют) для контроля доступа зарегистрированных пользователей в корпоративную сеть.
“Мы не можем следить из офиса за всеми нашими надомниками, - говорит Кронин. - Однако мы постарались выработать политику и систему правил, которые создают барьер между взломщиком и конфиденциальными данными”.
Хотя ИТ-менеджеры не способны контролировать все, что делают работающие на дому, в некоторых компаниях используется технология, напоминающая пользователям о соблюдении безопасности при удаленном доступе. Исполнительный директор фирмы Conqwest (Холлистон, шт. Массачусетс) Мишель Дроле говорит, что хотя она не может надзирать за тем, как ее персонал соблюдает политику компании, у нее есть невидимый Большой Брат, который постоянно напоминает о ее присутствии. Conqwest, являющаяся независимым разработчиком ПО, подготовила внутрифирменную программу мер безопасности под названием e-Minder, заставляющую удаленных пользователей постоянно думать о защите. При каждом подключении мобильного персонала к корпоративной сети через VPN эта программа автоматически выводит окно, напоминающее пользователям о смене паролей или обновлении антивирусного ПО, которые можно загрузить с сервера.
Чтобы войти в корпоративную сеть, пользователь должен ознакомиться с правилами работы и щелкнуть на кнопке “I Accept”, после чего ему разрешаются дальнейшие действия. Правила требуют установки персонального защитного экрана BlackIce корпорации Network Ice и позволяют сохранять на мобильных устройствах только несекретные файлы, например электронную почту. Пользователям, не принимающим эти правила, отказывается в доступе в сеть.
“Благодаря такой процедуре персонал знает и понимает служебные правила, - говорит Дроле. - Конечно, хотелось бы, чтобы каждый работник компании - будь то надомник или просто сотрудник, находящийся вне офиса, - имел одинаковую степень свободы, но пока это, к сожалению, невозможно. Надомная работа требует дополнительных мер безопасности”.
Хотя изначально e-Minder был разработан для внутреннего пользования, Conqwest продает теперь этот продукт и другим компаниям.
Нужны и инструменты
ИТ-менеджеры признают, что даже при наличии высокой квалификации и сформированной политики безопасности для надомной работы желательно развернуть целую группу средств, от VPN до ПО обратного вызова, которые защищают мобильный персонал и используемые им корпоративные ресурсы.
Надомникам Lexis-Nexis в настоящее время не предоставляется доступ к корпоративным системам через общедоступную сеть Интернет. Для подключения они используют специальный телефонный номер, предназначенный для связи с корпоративной сетью, и дважды проходят аутентификацию с помощью системы персональных имен и паролей. Lexis-Nexis также требует, чтобы надомники использовали лишь разрешенные компанией аппаратуру и ПО. ИТ-персонал заранее устанавливает на переносные и настольные ПК средства защиты и специальное ПО, например, продукт WebSense Enterprise Management фирмы WebSense, позволяющий заблокировать потенциально опасные Web-узлы. Работники должны подписать обязательство не устанавливать на принадлежащие компании ПК никакого дополнительного ПО.
VPN, персональные брандмауэры и ПО аутентификации не исчерпывают перечень средств, применяемых для защиты мобильных пользователей. Помня об атаке на Microsoft, ИТ-менеджеры пытаются предотвратить последствия попадания пользовательского идентификатора и пароля в руки хакеров, имитирующих потом легитимный доступ в корпоративную сеть (это часто бывает при краже ноутбуков). Администрация штата Аризона использует так называемые средства обратного вызова, такие, как ProCommPlus корпорации Symantec. Эти средства гарантируют подключение ноутбуков только с разрешенных телефонных линий. Когда удаленный пользователь устанавливает соединение с корпоративной сетью, такое ПО обеспечивает проверку номера, с которого произошел вызов. Если сеть его не опознает, пользователю будет отказано в доступе. Если же номер зарегистрирован как разрешенный, сеть активизирует обратный вызов для установления сеанса связи.
Другие программные средства устанавливаются на ПК и периодически отправляют запрос фирме-изготовителю с тем, чтобы она проверила, не было ли заявления о краже данного ПК. При наличии такового ПО записывает номер, с которого производился вызов, и извещает правоохранительные органы о местонахождении аппарата.
Широкополосный доступ связан с большим риском
Хотя технологические достижения нередко позволяют снизить угрозу безопасности при удаленном доступе, в ряде случаев они, наоборот, приоткрывают дверь для хакеров. Возьмем, например, высокоскоростные линии доступа в Интернет, такие, как DSL (цифровые абонентские линии) и кабельные модемы, которые становятся все более популярными у надомных работников. Они повышают угрозу безопасности, так как обеспечивают постоянное подключение к сети, что облегчает обнаружение ПК удаленных пользователей хакерами, запускающими автоматический просмотр портов и ищущими уязвимые системы. Понимая это, многие организации серьезно взвешивают все “за” и “против”, прежде чем разрешить надомным работникам использовать широкополосные подключения. Так, Lexis-Nexis позволяет применять DSL или кабельные модемы только немногим избранным сотрудникам. По словам Кронина, его компания рассматривает возможности применения VPN, однако не намерена предлагать какой-либо из вариантов своим надомникам, пока не будут улажены все вопросы безопасности, включая создание системы двухуровневой аутентификации и установку персональных брандмауэров.
“Чуть больше года назад атаки через удаленных пользователей случались нечасто, но сегодня, с распространением DSL и кабельных модемов, проникновение в корпоративные сети подобным способом стало одной из любимых забав хакеров”, - отмечает Джонсон из Meta Secur e-Com.
Хотя многие ИТ-менеджеры озабочены тем, какой риск для безопасности сети влечет за собой подключение надомников, они не всегда полагаются на технологические новшества. Ведь если перегрузить конечных пользователей самыми новыми и замечательными защитными системами, это существенно затруднит их работу.
Например, Джерри Куллен, директор по специальным проектам фирмы Detroit Diesel-Allison BC (Ванкувер, пров. Британская Колумбия, Канада), вначале увлекся идеей оснастить все пользовательские ноутбуки смарт-картами SecureID фирмы RSA Security, но потом передумал, побоявшись, что люди будут терять эти карты. А в Lexis-Nexis Кронин и Давалос планировали поставить на переносные ПК системы криптозащиты, однако сочли, что пользователи могут забыть коды для расшифровки файлов.
“Если все зашифровывать, то лечение может оказаться хуже самой болезни, - сказал Давалос. - Не хотелось бы доводить защиту до такой степени, чтобы вполне правомочные пользователи лишились доступа к файлам”.
В перспективе, считают аналитики, успех программы организации надомной работы будет определяться балансом культуры, технологии и разумной политики. Менеджеры должны быть постоянно готовыми к возможным атакам на удаленных пользователей, и здесь лучше перестраховаться, чтобы обезопасить себя от неприятностей.
“Я - ИТ-менеджер, - говорит Лейн из администрации Аризоны. - И мне платят за то, чтобы я был начеку”.
Потерять всё
Организации подвергаются атакам как изнутри, так и извне, что приводит к огромным финансовым потерям. По данным отчета “2000 Computer Security Institute / FBI Computer Crime and Security Survey”, убытки 273 организаций, пострадавших в прошлом году от электронных атак, составили 265 589 940 долл. В дальнейшем, по мнению экспертов, компаниям может быть нанесен еще больший ущерб, если они не позаботятся о защите сетевого доступа надомных и мобильных пользователей. Вот основные причины финансовых потерь, связанных с работой вне офиса:
Источник: Computer Security Institute / FBI.
