Доклады, выступления, видео и электронные публикации

Самоизоляция сотрудников не защитит от заражения информационную систему

Жизнь давно научила нас гибко реагировать на изменения ситуации. Поэтому, как только возникла необходимость в удаленной работе в системах, в которых это было до сих пор не предусмотрено, в специализированных журналах и сетевых СМИ сразу появилась масса предложений по организации удаленной работы, в том числе по организации защищенной удаленной работы (ведь это целый новый рынок, и, хотя все надеются, что просуществует он недолго, было бы нерационально не обратить на него внимания).

Действительно, к счастью, почти все понимают, что удаленная работа сотрудников с ресурсами системы, если она производится с использованием их домашних компьютеров, ноутбуков, личных планшетов и смартфонов, – несет в себе угрозы безопасности системы.

Но в качестве решения этой проблемы предлагаются практически исключительно средства защиты канала и средства идентификации и аутентификации пользователей (в форм-факторах, позволяющих использовать их на iPad, например).

Применение этих средств при организации доступа к ресурсам информационной системы с неконтролируемых устройств сотрудника дает только один эффект – безосновательной самоуспокоенности. Защитного эффекта они не дают, если не защищено то СВТ, с которого осуществляется доступ.

Наиболее остро вопрос необходимости защиты клиентского СВТ стоит для органов государственной власти и местного самоуправления, которым необходимо обеспечить защищенный удаленный доступ сотрудников к ресурсам государственных и ведомственных информационных систем, в том числе для выполнения операций, связанных с применением криптографических средств. Планшеты, на которых не установлено средство доверенной загрузки, сертифицированное ФСБ России как АПМДЗ, нельзя использовать для этих операций, это прямо противоречит требованиям регулятора. Но в стандартные планшеты зарубежного производства невозможно установить АПМДЗ, это объективное ограничение их конструкции. Эффективность работы сотрудников среднего и высшего звена при использовании таких планшетов существенно снижается.

Однако существует отечественный планшет с хорошими характеристиками и встроенным АПМДЗ класса 1Б [1], и для органов государственной власти и местного самоуправления нормальным решением является оснащение сотрудников такими мобильными рабочими местами.

Но такое решение не может считаться приемлемым для всех без исключения организаций, вынужденных сейчас перейти на удаленную работу: приобрести защищенные планшеты для всех сотрудников могут далеко не все.

В то же время ограничиться установкой VPN-клиента на домашние компьютеры сотрудников – это значит создать защищенный канал доставки в информационную систему организации как минимум вирусов. А ведь незащищенный компьютер на входе в систему – это еще и гостеприимно раскрытая дверь для хакера: он тоже сможет войти в Вашу систему по защищенному каналу, ведь взять под контроль домашний компьютер абсолютного большинства пользователей совсем не сложно.

Умалчивать об этом неприемлемо, однако это происходит. Причина не только в недобросовестности, но еще и в том, что защиту личных устройств принято считать нерешаемой проблемой. Оснастить домашние компьютеры комплектом всех необходимых средств защиты – с одной стороны, непомерно дорого, а с другой, – это наложит на пользователя огромное количество ограничений, с которыми на своем собственном личном устройстве никто, как правило, не намерен мириться. Более того, совершенно невозможно ожидать того, что средства защиты информации на домашних компьютерах, даже если они там окажутся, будут как следует настроены, да еще и постоянно.

Но ведь уже много лет существует технология, позволяющая использовать недоверенный компьютер для удаленного доступа к защищенной информационной системе.

Технология называется «Доверенный сеанс связи» [2, 3] и базируется на том, что для случаев, когда компьютер постоянно используется в незащищенном режиме, и только периодически должен использоваться в защищенном (но защищенном надежно), загрузка среды для доступа к защищенной ИС должна производиться из физически изолированной от основного компьютера памяти, недоступной для изменения.

Если в составе загружаемой среды есть преднастроенные средства защиты (МЭ, VPN, средство разграничение доступа), загрузка производится из защищённой от записи памяти, жёсткий диск компьютера не используется, конфигурация загруженной операционной системы максимально ограничивает свободу пользователя (ему недоступны органы управления операционной системы, рабочая среда полностью изолирована от посторонних сетевых соединений, открытый трафик отсутствует, а после завершения работы в браузере сеанс связи завершается, не давая пользователю делать лишнего), то создаются все предпосылки для безопасной для информационной системы удаленной работы с ее ресурсами. По завершении работы в информационной системе организации, пользователь отключает средство обеспечения доверенного сеанса связи, перезагружает компьютер и без ограничений пользуется всеми небезопасными ресурсами, которыми хочет и привык.

Действительно, эта технология создает пользователю некоторое неудобство: нужно перезагружаться для смены сеанса. Однако это несравнимо с неудобствами, накладываемыми полным комплектом защиты, создающим такой же уровень защищенности для ПК. И столь же существенно различие их стоимости – средство обеспечение доверенного сеанса связи стоит ориентировочно в два с лишним раза меньше, чем комплект стационарной защиты и в пять раз меньше, чем защищенный планшет. Цены, конечно, нужно уточнять у поставщика, и зависят они от конкретной ОС, конкретного СКЗИ и много другого – это уже не предмет данной статьи.

Список литературы:

  1. Конявская С. В. «Очевидное-невероятное» версии 2020 года: планшет «СКЗИ ready» // Information Security/Информационная безопасность. М., 2020. № 1. С. 33.
  2. Конявский В. А. Серебряная пуля для хакера // Защита информации. INSIDE. СПб., 2013. № 4. С. 54-56.
  3. Конявский В. А. Серебряная пуля для хакера (Окончание) // Защита информации. INSIDE. СПб., 2013. № 5. С. 69-73.

Автор: Конявская С. В.

Дата публикации: 26.05.2020

Библиографическая ссылка: Конявская С. В. Самоизоляция сотрудников не защитит от заражения информационную систему // Information Security/Информационная безопасность. М., 2020. № 2. С. 6.


Scientia potestas est
Кнопка связи