Гладиаторы - меню
Гладиаторы - меню

Как безопасно работать с подрядчиками

ИТ — это сложная ниша и у большинства компаний нет собственной экспертизы, чтобы наладить работу систем, либо внедрить новую систему в работу. Примером таких задач могут быть интеграции бухгалтерии или CRM, автоматизация рекламы или бизнес процесса. В 2024 году все в бизнесе завязано так или иначе на ИТ.


И если своих сил не хватает, то необходимо привлекать внешних подрядчиков.


Как организовать безопасный удаленный доступ к сердцу своего бизнеса для постороннего человека?


Обычно, когда встает вопрос работы с партнерами нам предлагают:

  1. Установить программу AnyDesk (или подобную)
  2. Дать подрядчику полные права
  3. Идти “пить кофе” и вернуться через 30 минут.
Ничего не напоминает? Обычно телефонные мошенники также предлагают жертве установить программу, ввести коды и не обращать внимания на предупреждения, перевернуть телефон экраном вниз и “не волноваться”.

Не хотим сказать, что среди подрядчиков одни мошенники — совсем нет, как раз наоборот. Однако 99% инцидентов информационной безопасности (шифрование и кража данных, например) начинаются со слов: “Ой, мы даже не могли себе представить такого!”. И тут может быть проблема не с самим подрядчиком, а такой по принципу “цепочки поставок”.

Одним словом, передавать доступ к важным данным с использованием программ для удаленного доступа может быть опасно из-за уязвимостей и вирусов, которые могут находиться в этих программных средствах. О них может не подозревать даже сам подрядчик. Случаются инциденты, когда злоумышленники взламывают сеть организации именно через подрядчика. Кроме того, предоставляя доступ подрядчику, он получает все те же полномочия по работе в системе, что есть у вас. Присутствует большой риск нецелевого использования полномочий.

Один из способов грамотного обеспечения безопасного удаленного доступа — использование систем управления привилегированным доступом (PAM). Однако, такие системы являются дорогостоящими и доступны далеко не всем компаниям. При внедрении такой системы появляется возможность дополнительно авторизовывать удаленный доступ, контролировать работу удаленного пользователя и ограничивать тот набор команд, которые он может вводить.

Более доступным вариантом является организация доступа по собственным правилам. Например, заключение с подрядчиком соглашения о неразглашении (NDA) и договора о проведении работ по техническому заданию.

Для доступа следует использовать технологии VPN и двухфакторной аутентификации, создавать учетные записи с ограниченными правами (даже если требуются административные права, пусть это будет хотя бы не ваша, а выделенная учетная запись — потом будет проще отследить по данным аудита, что произошло) и иметь резервные копии для восстановления данных в случае “если что-то пойдет не так”.

Также необходимо составить план действий на случай восстановления и требовать протокол изменений и верифицировать его в рамках совещаний.

Если вы хотите быть еще более уверены в безопасности удаленного доступа, предложите подрядчику работу через программу теле-конференц связи, которая позволит вам контролировать процесс работы и обеспечить безопасность данных. Это может быть ZOOM, Контур. Talk и многие другие, которые позволят вам делать видеозапись проведенных работ и передавать управление клавиатурой и мышкой, если это потребуется, удаленному пользователю.

Преимущества такого простого способа следующие:
  • егко организовать
  • можно производить запись экрана (всех действий)
  • Вы сами контролируете права на передачу управления удаленному пользователю.

Также из рекомендаций:
  • Организуйте звонок с видео — чтобы можно было видеть человека на другом конце провода
  • Расшарить свой экран с запущенной системой
  • Отключить все внешние накопители/флешки с ЭЦП и прочее
  • попросите подрядчика управлять вами — составить план действий на бумаге или как минимум говорить вам голосом и контролировать по видео, что нужно делать
  • В крайнем случае передать подрядчику удаленное управление своей клавиатурой и мышкой и будете видеть, что он делает, в случае необходимости прервать его действия.

Также дополнительным бонусом будет то, что у вас останется готовая инструкция на будущее, и в дальнейшем вы сами сможете лучше разобраться, как работает данная система (по видеозаписи) .

Более того, приятным неочевидным бонусом для этой процедуры будет структурирование и документирование работы самого подрядчика — который будет вам потом (точно не сразу! :-) ) за это благодарен, ведь он также может это положить в основу бизнес-процесса своей компании.

Если у вас возникли вопросы или вам требуется консультация по организации безопасного удаленного доступа — свяжитесь с нами для записи на бесплатную консультацию. Наши эксперты помогут вам оценить систему защиты ваших данных и разработать план действий для обеспечения безопасного удаленного доступа.
Показать еще

Есть вопросы или запрос на проект по безопасности?

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности