№03 Березень 2014 року → До справи

Тема: Віддалений захист

Владислав САМКО,
фахівець ІТ-департаменту МЮГ AstapovLawyers

Віддалений доступ працівників до сервера та автоматизованої системи юридичної фірми: як захистити інформацію

Специфіка роботи юриста вимагає значної мобільності у зв’язку з частими службовими поїздками та судовими відрядженнями, тож є необхідність постійного доступу до правових баз та CRM-системи за межами офісу. Тому питання надання дистанційного доступу до внутрішніх ресурсів юридичної фірми — досить актуальне. Головним завданням при наданні віддаленого доступу до автоматизованої системи юридичної фірми є забезпечення захисту конфіденційної інформації клієнта від розголошення та збереження її цілісності й доступності. Юрист зобов’язаний у повному обсязі забезпечувати непорушність права суб’єкта на конфіденційність особистої інформації та вжити будь-яких заходів, щоб звести до мінімуму ризик неправомірного розкриття конфіденційної інформації.

Основними автоматизованими системами збереження конфіденційної інформації в юридичній компанії є системи документообігу та CRM. Віддалений доступ до них має забезпечувати надійний рівень захисту від стороннього втручання.

Для захисту своїх ресурсів на стороні мережі компанії повинні використовуватися Integrated Security Gateways — програмно-апаратні комплекси захисту інформаційного периметру компанії, які включають: міжмережеві екрани, системи виявлення та запобігання вторгненням, засоби розподілу завантаження, VPN-рішення. Використання таких систем надає можливість закрити локальну мережу від стороннього доступу та мережевих атак; надавати захищений віддалений доступ до автоматизованих систем, використовуючи криптографічно захищені протоколи SSL і IPSec; розділяти користувачів на групи залежно від необхідних їм для роботи ІТ-ресурсів; створювати групи ресурсів, відкриті для доступу окремим користувачам; обмежувати доступ на рівні домену, згідно з політикою безпеки компанії.

Чужий серед своїх

Основною проблемою віддаленого доступу є неможливість повністю контролювати співробітника при дистанційній роботі, адже користувач перебуває поза зоною прямого контролю компанії. Тому визначити, хто саме намагається отримати доступ до корпоративного ресурсу — автентичний користувач чи зловмисник — є одним із головних завдань систем захисту.

Парольний захист серверів та систем не відповідає сучасним вимогам до захисту доступу. Є безліч методів, які використовують зловмисники, щоб дізнатися пароль:

— кейлоггери, що записують всі натискання клавіш (такі програми часто встановлюються в інтернет-кафе);

— програми для підбору паролів методом BruteForce;

— спеціальні віруси;

— сайти, які пропонують користувачеві зареєструватися з однією метою — визначити його пароль.

Для ідентифікації віддалених користувачів автоматизованих систем рекомендується використовувати методи двофакторної автентифікації з використанням USB-токенів, смарт-карт або за допомогою SMS-авторизації, за якої додатковий авторизаційний код буде вислано на підтверджений номер мобільного телефону співробітника SMS-повідомленням. Методи двофакторної автентифікації допомагають якісно відрізнити автентичного користувача від зловмисника, котрий викрав пароль, адже користувач використовуватиме додатковий метод автентифікації, який неможливо підробити.

Невід’ємною складовою віддаленого доступу є зовнішні канали передачі даних. Інформація, яка проходить такими каналами, може бути перехоплена або піддана ­несанкціонованій модифікації. Для захисту каналів передачі інформації рекомендується створювати криптографічно захищені тунелі — VPN (Virtual Private Network). Використання такого типу доступу забезпечує надійний захист інформації та дає змогу отримати віддалений доступ до автоматизованої системи компанії і працювати дистанційно, так само як будь-який інший співробітник, який перебуває в офісі з доступом до правових баз даних (ЛІГА:Закон), систем документо­обігу або CRM.

Окрім захисту каналу, через який надаватиметься доступ до внутрішніх ресурсів компанії, потрібно переконатися, що пристрій, з якого здійснюється віддалений доступ, має надійний рівень захисту. Для перевірки рівня захисту на кінцевих вузлах (ПК, планшетах, КПК) можна використати технологію NAC (Network Admission Control), запропоновану компанією Cisco, або аналогічну NAP (Network Acсess Protection) від Microsoft, призначену для (Pre-connection) попереднього контролю доступу до мережі підприємства. Виходячи з інформації про стан пристрою, що намагається отримати дистанційний доступ, від віддаленого користувача може вимагатися наявність певного набору встановлених засобів захисту, своєчасного оновлення антивірусних баз даних, активності або заборони певних програм. У разі якщо конфігурація робочого місця віддаленого користувача не відповідає вимогам політики безпеки компанії, він не отримує дос­тупу до корпоративної мережі або отримує доступ тільки в карантинну зону, де може завантажити необхідні оновлення, провести антивірусне сканування.

При правильному використанні сучасні технології захисту дають змогу досягти того ж рівня безпеки передачі інформації, що й у локальній мережі підприємства. Однак необхідно дотримуватися більш жорстких правил надання віддаленого доступу, використовувати методи двофакторної автентифікації, шифрування та програмно-апартатні комплекси захисту міжмережевого доступу, періодично проводити аналіз ризиків інформаційної безпеки та внутрішній аудит інформаційних систем. Використовуючи згадані технології, можна зберегти високий рівень захисту конфіденційної інформації, а віддалену роботу юриста зробити такою ж безпечною та комфортною, як і в офісі.

-->