Годовой отчёт 2020 без ошибок!

Получите эксклюзивный доступ к главной книге года Татьяны Крутяковой!

анализ всех значимых изменений 2020 года в сфере бухгалтерского
и налогового учёта;
рекомендации по формированию бухгалтерской отчётности с учётом современных требований РСБУ;
ответы на актуальные вопросы применения норм статьи 54.1 НК РФ;
и многое другое.
Годовой отчёт 2020 без ошибок!

Получите эксклюзивный доступ к главной книге года Татьяны Крутяковой!

  • Анализ всех значимых изменений 2020 года в сфере бухгалтерского и налогового учёта.
  • Рекомендации по формированию бухгалтерской отчётности с учётом современных требований российских стандартов бухгалтерского учёта.
  • Ответы на актуальные вопросы применения норм статьи 54.1 НК РФ.
  • и многое другое
Руководителю

Удалённая работа. Как избежать утечки информации?

31.03.2020
1109

На фоне коронавируса активизировались мошенники и хакеры. Немало опасностей таит в себе перевод работников на удалёнку. Как сотруднику соблюдать цифровую гигиену? Что может сделать руководитель, чтобы не допустить утечку важной информации? На эти и другие вопросы ответили эксперты по информационной безопасности.

Игорь Калайда, генеральный директор Научно-испытательного института систем обеспечения комплексной безопасности:

«Удалённая работа угрожает безопасности корпоративной информации с нескольких сторон. Если сотрудники используют для работы персональные устройства – компьютеры, ноутбуки, планшеты, смартфоны, то, скорее всего, большинство из них уязвимы: не стоят или неправильно настроены антивирусные программы и брандмауэры, доступ в сеть не защищён, могут использоваться программы из чёрного списка; системные администраторы теряют управление над устройствами, не могут устанавливать или удалять программное обеспечение, экстренно реагировать на инциденты и вообще не знают, к какой именно информации имел доступ сотрудник.

Удалённая работа, особенно не подготовленная должным образом, – это магнит для происшествий с участием вирусов и хакеров.

В случае работы с корпоративных устройств риски всё равно сохраняются: сотрудник пользуется домашней сетью, но при этом имеет доступ к локальным серверам, копирует, скачивает и отправляет файлы, «сёрфит» в интернете – всё это проходит мимо DLP-системы (data leak prevention – предотвращение утечки данных). Получается, что удалённая работа, особенно не подготовленная должным образом, – это магнит для происшествий с участием вирусов и хакеров, а также питательная среда для утечек.

Ещё одна угроза – это сами сотрудники, как бы печально это ни звучало. Сейчас многие волнуются из-за экономической ситуации и чувствуют, что находятся на грани увольнения. У некоторых может возникнуть желание завладеть ценной корпоративной информацией, чтобы продать её или предложить конкурентам в качестве «платы» за возможное трудоустройство в будущем. Имея доступ к корпоративной информационной системе из дома, похитить данные гораздо легче.

Чтобы защитить компанию, в первую очередь, необходимо установить администраторский контроль над всеми мобильными устройствами, находящимися вне офисного периметра. Это касается как корпоративных, так и персональных смартфонов (если они используются для работы). EMM-системы решают эту проблему. Они позволяют администратору централизованно управлять всеми подключёнными устройствами вне зависимости от их производителя и операционной системы, видеть местоположение, устанавливать и обновлять доверенные приложения, блокировать подозрительные, запретить использование камеры или микрофона, а в случае потери или кражи – полностью снести данные, чтобы предотвратить их попадание в руки злоумышленников. Все это актуально и для персональных мобильных устройств, просто в этом случае для разделения рабочей и личной областей на них разворачивается специальное защищённое пространство – так называемый контейнер, в котором будет храниться вся корпоративная информация. После возвращения сотрудника к нормальному режиму работы корпоративные данные просто будут удалены.

Для защиты данных от кражи сотрудниками можно использовать системы электронной маркировки документов, которые создают уникальные копии документа для каждого пользователя. В случае внутренней утечки информации с помощью такой системы можно отследить источник утечки – конкретного сотрудника. Также результаты расследования можно будет использовать в суде: они легитимны и позволят наказать виновника.

Ещё одно преимущество в использовании подобного решения в том, что в компаниях, где сотрудники знают о том, что служба безопасности его применяет, возможные утечки могут не случиться, потому что сработает психологический фактор».

Иван Деревцов, руководитель отдела информационной безопасности АТОЛ:

«Все больше компаний переводят сотрудников на удалённую работу, что несёт в себе дополнительные риски в части обеспечения информационной безопасности. Так, если в офисе вся инфраструктура защищена, то на домашних компьютерах часто не бывает даже антивируса. И для решения этой задачи компания может организовать временное предоставление ноутбуков, где есть всё необходимое для работы программное обеспечение и которые более защищены от атак злоумышленников.

Кроме этого, во время удалённой работы сотрудник подключается к серверам компании, а весь трафик, проходящий между компьютером и сервером, шифруется для усиления защиты. Также возможна организация так называемого терминального доступа, когда сотруднику доступны только программы, необходимые для работы, а все остальные возможности недоступны.

Нельзя использовать рабочий ноутбук в личных целях – скачивать фильмы, устанавливать игры. После завершения рабочего дня ноутбук должен быть выключен.

Для защиты же от человеческого фактора перед уходом на удалённую работу с сотрудником необходимо провести инструктаж, в котором объяснить, что нельзя открывать письма от неизвестных отправителей, пришедшие на корпоративную почту. Нельзя использовать рабочий ноутбук в личных целях – скачивать фильмы, устанавливать игры, то есть необходимо соблюдать так называемую цифровую гигиену. После завершения рабочего дня ноутбук должен быть выключен. Ещё один совет, может, и банален, но бывают случаи, когда им пренебрегают – не сообщать пароль от рабочего ноутбука третьим лицам, даже если речь идёт о членах семьи».

Алексей Щербаков, руководитель направления системной и сетевой интеграции PROF-IT GROUP:

«Перевод сотрудников на удалённый режим работы усиливает риски корпоративной информационной безопасности. В условиях удалённого доступа компьютеры не защищены от внешнего воздействия ‒ мошенников и опасных вирусов, которые могут нарушить целостность и конфиденциальность данных.

Хорошие корпоративные стандарты информационной безопасности подразумевают, что при подключении к VPN весь поток трафика идёт через корпоративный сегмент сети, тем самым используются всё те же средства защиты, например proxy. В этом случае риск подхватить «зловред» и перенести его в сеть компании минимизируется. Также необходимо наличие последних обновлений операционной системы, ПО и средств защиты на удалённом устройстве: антивирусов, средств шифрования дисков, резервное копирование, двухфакторная аутентификация и т. д. Прежде всего следует опасаться классических угроз, таких как социальная инженерия, фишинг, слабые пароли, использование публичных сетей и т. д., где средства защиты могут не справиться и виновником выступает сам удалённый пользователь.

Необходимо реализовать полный комплекс организационных и технических мер.

Необходимо реализовать полный комплекс организационных и технических мер. Например, минимизировать риски настройкой терминального доступа (режим киоска, тонкий клиент) к инфраструктуре компании. В таком случае отсутствует прямой обмен корпоративными данными на личных устройствах сотрудников, что исключает утечку данных и занесения «заразы». Другим примером может послужить практика с использованием корпоративных мобильных устройств (часто такой подход используют для командированных сотрудников), где все настройки безопасности (межсетевой экран, антивирус, DLP и др.) автоматически устанавливаются и управляются из корпоративного сегмента независимо от местоположения конечного устройства. Немаловажной является и готовность инфраструктуры, в том числе для обеспечения VPN-подключений. Нужно убедиться в её отказоустойчивости в условиях возросшего числа подключений и объёмов передаваемой информации».

Свидетельство о регистрации СМИ: Эл № ФС77-67462 от 18 октября 2016 г. Контакты редакции: +7 (495) 974-73-74, smi@4dk.ru

Новое в налоговом законодательстве с 2021 года 6902 Противопожарный режим: новшества с января 2021 года 2426 Новые формы документов при государственной регистрации компаний и сведений о них 1470
Консультант Плюс
Бесплатный доступ на 3 дня
Ваши замечания и предложения
Неверный формат телефона
Введите текст
Узнать стоимость КонсультантПлюс
Телефон обязателен
Неверный Email

Принимаю пользовательское соглашение

Вход в личный кабинет
Неверный Email
Стать Клиентом
Обязательно для заполнения
Неверный формат телефона
Неверный Email
Стать Клиентом
Обязательно для заполнения
Неверный формат телефона
Неверный Email