Руководитель службы информационной безопасности в компании «ОНЛАНТА» (входит в группу ЛАНИТ)
Главный показатель компании на рынке услуг в любой сфере – это ее сотрудники и предлагаемый продукт. Сотрудники – лицо компании, от эффективности которых зависит рост и прогресс всей организации. Не редкость, когда для выполнения своих служебных обязанностей они используют не регламентированные в компании программные продукты, сервисы, облачные услуги, как правило, в формате SaaS (Software as a Service), в обход службы информационной безопасности и управления информационных технологий, для автоматизации своих рутинных задач. Например, отдел продаж может использовать облачную CRM-систему для работы и взаимодействия с клиентами, коллеги из ИТ отдела могут арендовать целую облачную инфраструктуру для своих целей, любой сотрудник имеет доступ к облачным хранилищам данных Яндекс.Диск, Google Диск, iCloud и др. Такие сервисы называются shadow IT или «теневые ИТ».
Со сторонним ПО можно и нужно бороться. Методами такой борьбы являются разграничение привилегий учетных записей посредством домен-контроллера, анализ установленного софта с помощью генерации отчета сервером антивируса или DLP решения и т.д. Набирает популярность решение класса CASB (Cloud Access Security Broker). Оно позволяет контролировать доступ пользователей ко всем используемым внешним облачным сервисам, предоставляя возможность не только разграничивать его на основе прав доступа пользователя к данным во внутренней сети, но и запрещать использование определенных облачных ресурсов. Несомненно, такая «игрушка» упростила бы жизнь безопасника.
Домен-контроллер и средство антивирусной защиты сейчас являются базовым набором для любой организации, которая ежегодно выделяет на ИБ минимальный бюджет (далеко не каждая компания может позволить себе такой сервис, как CASB).
Будем отталкиваться от того, как с ограниченными ресурсами минимизировать риск от «теневых ИТ».
Какие угрозы несет в себе использование сотрудниками неконтролируемого программного обеспечения для бизнеса? Это утечка конфиденциальной информации, заражение операционной системы, потери или недоступность критически важных объектов компании, промышленный шпионаж и др.
Для того, чтобы избежать подобных ситуаций, специалистам по информационной безопасности необходимо отслеживать все, что происходит в сети компании, а это значительно усложняет задачу при использовании «теневых ИТ» инструментов, над которыми нет контроля и не ведется мониторинг их действий. Из-за этого во внутренней сети появляются «слепые зоны», которые ведут к нарушению политики информационной безопасности компании.
Это одна сторона медали. Однако «теневые ИТ» не всегда имеют негативный характер. Тут стоит задуматься, почему сотрудники предпочитают то или иное ПО, взамен регламентированному в организации. Ответ прост — им удобнее использовать решения, которые увеличивают их производительность труда, эффективнее выполняют задачи, имеют более дружелюбный и понятный интерфейс, чем аналоги.
Некоторые сервисы (например, Excel, 1C, SQL и др.) позволяют на своей базе создавать собственные макросы, запросы, скрипты, чем охотно пользуются сотрудники для автоматизации своих задач. Данный вид «надстроек» не совсем относится к «теневым ИТ», поскольку создаются на базе ядра легитимного ПО и не фиксируются ни одним средством защиты информации, но контролировать и документировать самописный код необходимо.
Пример использования «теневого ПО» в нашей компании — LiteShot (программа для захвата экрана). Аналог стандартного встроенного средства «Ножницы». Единственный плюс, за который LiteShot и нравится пользователям, – возможность публикации скриншота в облаке у разработчиков ПО с быстрым получением публичной ссылки на него. Минимум действий, максимум пользы в работе. Но, по нашей политике безопасности, в целях защиты конфиденциальной информации запрещено использовать любые программные продукты, в которых предусмотрена функция хранения данных в облаке.
Ситуация послужила толчком к разработке собственного ПО, аналога LiteShot. Главной его функцией станет хранение скриншота в собственном облаке и возможность предоставления прямой ссылки на него как сотрудникам компании, так и заказчикам. Это дает нам уверенность в том, что наши данные будут храниться, обрабатываться и защищаться нашими средствами и не попадут массово в интернет к третьим лицам.
С проблемой «теневых ИТ» сталкиваются разные по масштабу организации: от малого бизнеса до корпораций. В 2017-ом году потери от использования «теневых ИТ» достигли 1,7 триллиона долларов США, и с каждым годом эта цифра будет неуклонно расти. По данным Gartner, к 2020 году треть успешных атак на компании будет реализована с помощью shadow IT. Конечно, полностью решить данную проблему, особенно в крупной организации, вряд ли получится, но «взять её на карандаш» необходимо.
Какие шаги нужно предпринять, чтобы сохранить безопасность внутреннего периметра сети и предоставить сотрудникам максимально эффективные сервисы для их продуктивной работы?
Во-первых, следует разработать гибкую политику информационной безопасности. Она должна быть основана на достижении баланса между удобством работы и необходимостью минимизации рисков ИБ, что, при условии быстро развивающихся ИТ-трендов, является не самой простой задачей.
Во-вторых, нужно быть открытыми к ИТ-новинкам. Если сотрудник использует сторонние сервисы, то на это есть причины. Необходимо постараться в ходе обсуждения выяснить, чем его не устраивают одобренные инструменты в компании и почему он предпочел использовать альтернативное ПО. На самом деле, сотрудник лучше понимает, как повысить свою производительность труда, а, возможно, и отдела в целом, чем любой специалист из другого подразделения. В таком случае, лучше всего провести опрос, посвященный потенциальным новым инструментам, и дать людям возможность предложить свои варианты.
В-третьих, необходим аудит бизнес-процессов компании, где возможна автоматизация рутинных задач с написанием различных макросов, скриптов, запросов. Нужно задокументировать функционал существенных самописных решений на случай, если при увольнении сотрудник захочет удалить результаты своего интеллектуального труда. Затем потребуется доработать решение до корпоративного приложения с соблюдением мер защиты информации (разделение ролей пользователей, логирование ошибок, контроль вводимых данных и др.) и вывести «в свет».
В-четвертых, необходимо развивать культуру информационной безопасности в компании. Самое слабое звено в ИБ – человек. Именно в 80% случаях причиной утечки информации являются сотрудники компаний, остальные 20% приходятся на бреши в обороне. Важно, чтобы все сотрудники разделяли общие ценности по отношению к информации и к ее защите, а еще лучше - принимали участие в формировании таких ценностей. Поэтому очень важно проводить обучение всех сотрудников основам ИБ и корпоративным правилам в форме презентаций и открытого общения. Также подобное обучение должно войти в необходимый минимум процедур при найме новых сотрудников.
Необходимо задуматься о более тесной работе между ИБ подразделением и специалистами, выполняющими бизнес-процессы. Чем теснее такое взаимодействие, тем меньше искушений у сотрудников действовать в обход отдела ИБ. Естественно, сомнительные теневые инструменты не должны быть одобрены только потому, что они отвечают потребностям работника, и строгость в отношении нарушителей политики ИБ никто не отменял. Но и запрещать все подряд нет смысла, поскольку это будет создавать неудобства собственным сотрудникам.
Источник: https://www.allcio.ru/
