Как безопасно работать с подрядчиками
ИТ — это сложная ниша и у большинства компаний нет собственной экспертизы, чтобы наладить работу систем, либо внедрить новую систему в работу. Примером таких задач могут быть интеграции бухгалтерии или CRM, автоматизация рекламы или бизнес процесса. В 2024 году все в бизнесе завязано так или иначе на ИТ.
И если своих сил не хватает, то необходимо привлекать внешних подрядчиков.
Как организовать безопасный удаленный доступ к сердцу своего бизнеса для постороннего человека?
Обычно, когда встает вопрос работы с партнерами нам предлагают:
- Установить программу AnyDesk (или подобную)
- Дать подрядчику полные права
- Идти “пить кофе” и вернуться через 30 минут.
Ничего не напоминает? Обычно телефонные мошенники также предлагают жертве установить программу, ввести коды и не обращать внимания на предупреждения, перевернуть телефон экраном вниз и “не волноваться”.
Не хотим сказать, что среди подрядчиков одни мошенники — совсем нет, как раз наоборот. Однако 99% инцидентов информационной безопасности (шифрование и кража данных, например) начинаются со слов: “Ой, мы даже не могли себе представить такого!”. И тут может быть проблема не с самим подрядчиком, а такой по принципу “цепочки поставок”.
Одним словом, передавать доступ к важным данным с использованием программ для удаленного доступа может быть опасно из-за уязвимостей и вирусов, которые могут находиться в этих программных средствах. О них может не подозревать даже сам подрядчик. Случаются инциденты, когда злоумышленники взламывают сеть организации именно через подрядчика. Кроме того, предоставляя доступ подрядчику, он получает все те же полномочия по работе в системе, что есть у вас. Присутствует большой риск нецелевого использования полномочий.
Один из способов грамотного обеспечения безопасного удаленного доступа — использование систем управления привилегированным доступом (PAM). Однако, такие системы являются дорогостоящими и доступны далеко не всем компаниям. При внедрении такой системы появляется возможность дополнительно авторизовывать удаленный доступ, контролировать работу удаленного пользователя и ограничивать тот набор команд, которые он может вводить.
Более доступным вариантом является организация доступа по собственным правилам. Например, заключение с подрядчиком соглашения о неразглашении (NDA) и договора о проведении работ по техническому заданию.
Для доступа следует использовать технологии VPN и двухфакторной аутентификации, создавать учетные записи с ограниченными правами (даже если требуются административные права, пусть это будет хотя бы не ваша, а выделенная учетная запись — потом будет проще отследить по данным аудита, что произошло) и иметь резервные копии для восстановления данных в случае “если что-то пойдет не так”.
Также необходимо составить план действий на случай восстановления и требовать протокол изменений и верифицировать его в рамках совещаний.
Если вы хотите быть еще более уверены в безопасности удаленного доступа, предложите подрядчику работу через программу теле-конференц связи, которая позволит вам контролировать процесс работы и обеспечить безопасность данных. Это может быть ZOOM, Контур. Talk и многие другие, которые позволят вам делать видеозапись проведенных работ и передавать управление клавиатурой и мышкой, если это потребуется, удаленному пользователю.
Преимущества такого простого способа следующие:
Также из рекомендаций:
Также дополнительным бонусом будет то, что у вас останется готовая инструкция на будущее, и в дальнейшем вы сами сможете лучше разобраться, как работает данная система (по видеозаписи) .
Более того, приятным неочевидным бонусом для этой процедуры будет структурирование и документирование работы самого подрядчика — который будет вам потом (точно не сразу! :-) ) за это благодарен, ведь он также может это положить в основу бизнес-процесса своей компании.
Если у вас возникли вопросы или вам требуется консультация по организации безопасного удаленного доступа — свяжитесь с нами для записи на бесплатную консультацию. Наши эксперты помогут вам оценить систему защиты ваших данных и разработать план действий для обеспечения безопасного удаленного доступа.
Не хотим сказать, что среди подрядчиков одни мошенники — совсем нет, как раз наоборот. Однако 99% инцидентов информационной безопасности (шифрование и кража данных, например) начинаются со слов: “Ой, мы даже не могли себе представить такого!”. И тут может быть проблема не с самим подрядчиком, а такой по принципу “цепочки поставок”.
Одним словом, передавать доступ к важным данным с использованием программ для удаленного доступа может быть опасно из-за уязвимостей и вирусов, которые могут находиться в этих программных средствах. О них может не подозревать даже сам подрядчик. Случаются инциденты, когда злоумышленники взламывают сеть организации именно через подрядчика. Кроме того, предоставляя доступ подрядчику, он получает все те же полномочия по работе в системе, что есть у вас. Присутствует большой риск нецелевого использования полномочий.
Один из способов грамотного обеспечения безопасного удаленного доступа — использование систем управления привилегированным доступом (PAM). Однако, такие системы являются дорогостоящими и доступны далеко не всем компаниям. При внедрении такой системы появляется возможность дополнительно авторизовывать удаленный доступ, контролировать работу удаленного пользователя и ограничивать тот набор команд, которые он может вводить.
Более доступным вариантом является организация доступа по собственным правилам. Например, заключение с подрядчиком соглашения о неразглашении (NDA) и договора о проведении работ по техническому заданию.
Для доступа следует использовать технологии VPN и двухфакторной аутентификации, создавать учетные записи с ограниченными правами (даже если требуются административные права, пусть это будет хотя бы не ваша, а выделенная учетная запись — потом будет проще отследить по данным аудита, что произошло) и иметь резервные копии для восстановления данных в случае “если что-то пойдет не так”.
Также необходимо составить план действий на случай восстановления и требовать протокол изменений и верифицировать его в рамках совещаний.
Если вы хотите быть еще более уверены в безопасности удаленного доступа, предложите подрядчику работу через программу теле-конференц связи, которая позволит вам контролировать процесс работы и обеспечить безопасность данных. Это может быть ZOOM, Контур. Talk и многие другие, которые позволят вам делать видеозапись проведенных работ и передавать управление клавиатурой и мышкой, если это потребуется, удаленному пользователю.
Преимущества такого простого способа следующие:
- егко организовать
- можно производить запись экрана (всех действий)
- Вы сами контролируете права на передачу управления удаленному пользователю.
Также из рекомендаций:
- Организуйте звонок с видео — чтобы можно было видеть человека на другом конце провода
- Расшарить свой экран с запущенной системой
- Отключить все внешние накопители/флешки с ЭЦП и прочее
- попросите подрядчика управлять вами — составить план действий на бумаге или как минимум говорить вам голосом и контролировать по видео, что нужно делать
- В крайнем случае передать подрядчику удаленное управление своей клавиатурой и мышкой и будете видеть, что он делает, в случае необходимости прервать его действия.
Также дополнительным бонусом будет то, что у вас останется готовая инструкция на будущее, и в дальнейшем вы сами сможете лучше разобраться, как работает данная система (по видеозаписи) .
Более того, приятным неочевидным бонусом для этой процедуры будет структурирование и документирование работы самого подрядчика — который будет вам потом (точно не сразу! :-) ) за это благодарен, ведь он также может это положить в основу бизнес-процесса своей компании.
Если у вас возникли вопросы или вам требуется консультация по организации безопасного удаленного доступа — свяжитесь с нами для записи на бесплатную консультацию. Наши эксперты помогут вам оценить систему защиты ваших данных и разработать план действий для обеспечения безопасного удаленного доступа.
Есть вопросы или запрос на проект по безопасности?
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности