Ничего не напоминает? Обычно телефонные мошенники также предлагают жертве установить программу, ввести коды и не обращать внимания на предупреждения, перевернуть телефон экраном вниз и “не волноваться”.
Не хотим сказать, что среди подрядчиков одни мошенники — совсем нет, как раз наоборот. Однако 99% инцидентов информационной безопасности (шифрование и кража данных, например) начинаются со слов: “
Ой, мы даже не могли себе представить такого!”. И тут может быть проблема не с самим подрядчиком, а такой по принципу “цепочки поставок”.
Одним словом, передавать доступ к важным данным с использованием программ для удаленного доступа может быть опасно из-за уязвимостей и вирусов, которые могут находиться в этих программных средствах. О них может не подозревать даже сам подрядчик. Случаются инциденты, когда злоумышленники взламывают сеть организации именно через подрядчика. Кроме того, предоставляя доступ подрядчику, он получает все те же полномочия по работе в системе, что есть у вас. Присутствует большой риск нецелевого использования полномочий.
Один из способов грамотного обеспечения безопасного удаленного доступа — использование систем управления привилегированным доступом (PAM). Однако, такие системы являются дорогостоящими и доступны далеко не всем компаниям. При внедрении такой системы появляется возможность дополнительно авторизовывать удаленный доступ, контролировать работу удаленного пользователя и ограничивать тот набор команд, которые он может вводить.
Более доступным вариантом является организация доступа по собственным правилам. Например, заключение с подрядчиком соглашения о неразглашении (NDA) и договора о проведении работ по техническому заданию.
Для доступа следует использовать технологии VPN и
двухфакторной аутентификации, создавать учетные записи с ограниченными правами (даже если требуются административные права, пусть это будет хотя бы не ваша, а выделенная учетная запись — потом будет проще отследить по данным аудита, что произошло) и иметь резервные копии для восстановления данных в случае “если что-то пойдет не так”.
Также необходимо составить
план действий на случай восстановления и требовать протокол изменений и верифицировать его в рамках совещаний.
Если вы хотите быть еще более уверены в безопасности удаленного доступа, предложите подрядчику работу через программу теле-конференц связи, которая позволит вам контролировать процесс работы и обеспечить безопасность данных. Это может быть ZOOM, Контур. Talk и многие другие, которые позволят вам делать видеозапись проведенных работ и передавать управление клавиатурой и мышкой, если это потребуется, удаленному пользователю.
Преимущества такого простого способа следующие:
- егко организовать
- можно производить запись экрана (всех действий)
- Вы сами контролируете права на передачу управления удаленному пользователю.
Также из рекомендаций:
- Организуйте звонок с видео — чтобы можно было видеть человека на другом конце провода
- Расшарить свой экран с запущенной системой
- Отключить все внешние накопители/флешки с ЭЦП и прочее
- попросите подрядчика управлять вами — составить план действий на бумаге или как минимум говорить вам голосом и контролировать по видео, что нужно делать
- В крайнем случае передать подрядчику удаленное управление своей клавиатурой и мышкой и будете видеть, что он делает, в случае необходимости прервать его действия.
Также дополнительным бонусом будет то, что у вас останется готовая инструкция на будущее, и в дальнейшем вы сами сможете лучше разобраться, как работает данная система (по видеозаписи) .
Более того, приятным неочевидным бонусом для этой процедуры будет структурирование и документирование работы самого подрядчика — который будет вам потом (точно не сразу! :-) ) за это благодарен, ведь он также может это положить
в основу бизнес-процесса своей компании.
Если у вас возникли вопросы или вам требуется консультация по организации безопасного удаленного доступа — свяжитесь с нами для записи на бесплатную консультацию. Наши эксперты помогут вам оценить систему защиты ваших данных и разработать план действий для обеспечения безопасного удаленного доступа.