Безопасность удалённого доступа — комплекс мер по защите корпоративных данных при подключении сотрудников извне. В последнее время эти меры становятся все актуальнее. Массовый переход на удаленку, ускоренный пандемией, трансформировал инфраструктуру безопасности. Корпоративный периметр практически исчез, превратившись в тысячи индивидуальных точек доступа, каждая из которых — потенциальная мишень для злоумышленников. Рассмотрим пять основных проблем безопасности удаленных рабочих мест и предложим решения, которые помогут минимизировать риски.
Небезопасные домашние сети
Суть проблемы
Домашние сети сотрудников редко обладают тем же уровнем защиты, что корпоративные. В большинстве домашних Wi-Fi сетей используются устаревшие протоколы шифрования или слабые пароли, а личные маршрутизаторы мало кто обновляет до первой поломки.
Чем рискует бизнес
Можно назвать три основных риска:
Перехват конфиденциальной информации. Через небезопасное соединение злоумышленники могут получить платежную информацию, данные клиентов, интеллектуальную собственность, стратегии и ценовые политики компании.
Атаки «человек посередине». Хакеры могут не только мониторить, но и изменять данные — банковские реквизиты, суммы переводов или содержание писем. Типичный сценарий: изменить реквизиты получателя платежа и перенаправить деньги на свой счет. Кроме того, мошенники могут перехватывать и использовать одноразовые пароли, отправляемые по SMS.
Несанкционированный доступ к корпоративным ресурсам. Получив доступ через устройство сотрудника, злоумышленники действуют «от лица» легитимных учетных записей, а это затрудняет обнаружение и блокировку взлома. За этот период они могут создать дополнительные точки доступа, бэкдоры или использовать скомпрометированное устройство как плацдарм для атаки на другие системы.
Какие меры помогут снизить риски
Двухфакторная аутентификация (2FA):
- По данным Microsoft, 2FA блокирует 99,9% автоматизированных атак и значительно снижает риск целевых атак. Рекомендуемые варианты: аппаратные ключи (Рутокен, YubiKey), мобильные аутентификаторы (Контур.Коннект, Google Authenticator, Microsoft Authenticator).
- Не используйте SMS для 2FA — их легко скомпрометировать через SIM-свопинг.
Корпоративный VPN с многофакторной аутентификацией:
- Используйте современные протоколы (OpenVPN, WireGuard) с шифрованием и проверкой целостности.
- Настройте VPN в режиме постоянного соединения, это предотвратит передачу корпоративных данных вне защищенного канала.
Защищенный периметр домашней сети:
- Один из вариантов — предоставить ключевым сотрудникам, у которых есть доступ к чувствительной информации, предварительно настроенные корпоративные маршрутизаторы. Минимальные требования — WPA3 шифрование, актуальная прошивка, сложные пароли и отключенный WPS.
- Рассмотрите внедрение корпоративных DNS-фильтров для блокировки вредоносных доменов.
Коннект от Контур.Эгиды
Организуйте безопасный и удобный доступ к рабочим ресурсам компании из любой точки мира.
Слабая аутентификация
Суть проблемы
Удаленные сотрудники часто пренебрегают базовыми правилами гигиены паролей и используют одинаковые комбинации для личных и рабочих ресурсов.
Чем рискует бизнес
К уже выше перечисленным рискам можно добавить:
Компрометация учетных записей через подбор или утечки паролей. Корпоративная почта на мобильных устройствах — опасная брешь в системе информационной безопасности, о которой многие не задумываются. Приложения для мобильной почты, в отличие от версий для компьютеров, часто не требуют второй фактор аутентификации, что делает их легкой добычей для злоумышленников.
Угроза для бизнес-непрерывности и критических операций. Злоумышленники могут инициировать массовую смену паролей или блокировку учетных записей, что приводит к простоям в работе. Часто в инцидентах со скомпрометированными учетными данными конечная цель — развертывание программ-вымогателей.
Нарушение требований регуляторов. Ненадёжные методы аутентификации противоречат положениям ключевых стандартов информационной безопасности (GDPR, 152-ФЗ). С 30 мая 2025 года вводятся поправки в КоАП РФ, которые устанавливают более строгие санкции за масштабные утечки данных:
- Первичное нарушение (от 100 тыс. персональных записей или 1 млн идентификаторов): должностные лица: 600 тыс. руб., организации: до 15 млн руб.
- Повторное нарушение: должностные лица: до 1,2 млн руб., юридические лица: 1-3% годового оборота (минимум 20 млн, максимум 500 млн руб.)
Какие меры помогут снизить риски
Усиление требований к паролям:
- Установите запрет на повторное использование паролей, включая личные аккаунты. Минимальная длина пароля должна составлять 12+ символов с обязательным использованием спецсимволов и цифр.
- Зафиксируйте в политике безопасности регулярную ротацию паролей (каждые 90 дней) и их автоматическая проверку на утечки.
- Установите защиту от подбора паролей.
Защита от программ-вымогателей:
- Выполняйте резервное копирование по правилу 3-2-1 (3 копии, 2 типа носителей, 1 из них офлайн).
- Запрещайте выполнение скриптов из непроверенных источников.
- Изолируйте критические системы от общего доступа.
Двухфакторная аутентификация
ID — защита учетных записей сотрудников: подключений через VPN, RDG, ActiveSync, ADFS (протоколы OpenID Connect, SAML), защита входа в Windows, OWA.
Уязвимые конечные устройства
Суть проблемы
Сотрудники используют личные устройства, на которых отсутствуют корпоративные механизмы защиты. IT-специалисты не имеют полного представления о всех устройствах, используемых для доступа к корпоративным ресурсам. Это создает «слепые зоны» в корпоративной инфраструктуре.
Риски для бизнеса
Заражение вредоносным ПО через личные приложения. Сотрудники могут устанавливать приложения из ненадежных источников на устройства, которые используют для работы.
Проблемы с конфиденциальностью. Сотрудники часто хранят корпоративные данные в личных облачных хранилищах (Dropbox, Google Drive). При этом они сохраняют доступ к корпоративным данным на своих устройствах после ухода из компании, а у бизнеса нет эффективных механизмов удалить эти данные с личных устройств.
Какие меры помогут снизить риски
Двухфакторная аутентификация с учетом контекста доступа:
- Связывайте 2FA-системы с решениями для оценки состояния устройства — требуйте дополнительные факторы аутентификации, если обнаружены проблемы. Например, отсутствие антивируса повышает уровень риска и требует биометрической верификации.
- Используйте системы, которые автоматически повышают уровень проверки при подозрительной активности: необычное время, нетипичное местоположение, аномальный паттерн использования.
- Выбирайте системы, которые поддерживают постоянную проверку легитимности пользователя во время сессии, а не только при входе.
Изоляция корпоративные данных на личных устройствах:
- Используйте решения, которые создают изолированную среду для корпоративных данных с отдельными политиками безопасности и шифрованием.
- Используйте виртуальные рабочие среды, когда сотрудник работает через защищенное подключение, а критичные данные никогда не покидают защищенный периметр.
Минимальные требования безопасности для всех устройств:
- Внедрите систему удаленной проверки состояния устройства перед тем, как предоставлять доступ к корпоративным ресурсам (патч-менеджмент, статус антивируса и т.д.).
- Настройте доступ к корпоративным системам ак, чтобы он напрямую зависел от уровня защищенности устройства (например, с непатченных устройств разрешен только доступ к некритичным ресурсам).
- Автоматически изолируйте подозрительные устройства и ограничивайте доступ до проверки службой безопасности.
Фишинг и другие виды мошенничества
Суть проблемы
Удаленные сотрудники более уязвимы к мошенничеству на основе социальной инженерии, из-за того что у них нет прямого контакта с коллегами и IT-отделом. Для обмана пользователей достаточно создать поддельный сайт или письмо «от гендиректора». В 2024 году количество фишинговых атак в России выросло на 425% по сравнению с предыдущим годом. Если за весь 2023 год было выявлено 4,2 тысячи мошеннических ресурсов, то к октябрю 2024-го их число превысило 22 тысячи.
Чем рискует бизнес
Компрометация паролей может привести ко всем перечисленным выше рискам, назовем два самых распространенных:
Кража учетных данных. Это может произойти через фишинговые сайты-двойники корпоративных порталов или Поддельные формы ввода паролей (MFA-кодов). Утечка логинов/паролей в даркнет.
Заражение вредоносным ПО. Вредоносные вложения в письмах (.exe, макросы в Word). Ссылки на фейковые обновления ПО (например, «срочно обновите Telegram»).
Какие меры помогут снизить риски
Фишинг — это проблема людей, а не технологий, поэтому большую часть усилий стоит направить на тренинги и симуляции взлома.
Обучение сотрудников:
- Проводите регулярные тренинги с разбором реальных фишинговых писем. Устраивайте тестовые атаки.
- Пишите не только подробные политики, но и простые четкие инструкции: «Не переходи по ссылкам из писем».
Техническая защита:
- Настройте фильтрацию почты: используйте антифишинг-решения с блокировкой поддельных доменов.
- Используйте защиту браузеров: установите блокировщики опасных сайтов и расширения для проверки URL.
Для компаний под регулированием (152-ФЗ, GDPR) важно также документировать все принятые меры — это снизит штрафы при проверках.
Незащищенная передача конфиденциальных данных
Суть проблемы
С переходом на удалённый формат работы сотрудники регулярно передают служебные данные через незащищённые каналы — личную почту, мессенджеры и публичные облачные хранилища. Особую опасность представляет использование личных устройств для работы с корпоративной информацией без должной защиты.
Риски для бизнеса
Незащищенные каналы передачи данных могут привести к тем же неприятным последствиям, что и другие проблемы удаленных рабочих мест: утечка коммерческой тайны, штрафы от регуляторов, репутационные и финансовые потери.
Какие меры помогут снизить риски
Защищенный доступ к корпоративным ресурсам:
- Встроенная двухфакторная аутентификация. Дополнительный уровень защиты при доступе к чувствительной информации значительно снижает риск компрометации учетных данных и последующей утечки.
- Строгая аутентификация при каждом подключении. Админ обеспечивает надежную проверку личности оператора перед предоставлением доступа к корпоративным системам, предотвращая несанкционированную передачу данных.
- Защита от подбора учетных данных. Автоматическая блокировка при подозрительной активности защищает от классических атак на учетные записи, через которые может произойти утечка конфиденциальной информации.
Безопасная передача данных:
- TLS-шифрование всего трафика. Админ обеспечивает защищенный канал для всех коммуникаций между оператором и удаленными системами — это предотвращает перехват или подмену передаваемых данных.
- Работа в закрытом контуре. Серверная версия Админа позволяет организовать передавать конфиденциальные данные внутри защищенного периметра компании без выхода во внешнюю сеть, что критически важно для особо чувствительной информации.
- Возможность работы без интернета. Для конфиденциальных данных Админ можно настроить для работы в полностью изолированной среде.
Регулярные аудиты безопасности облачных хранилищ и корпоративных систем:
- Проводите обучение сотрудников правилам работы с конфиденциальными данными.
- Делайте резервное копирование данных с защитой от несанкционированного доступа.
- Используйте защищенные корпоративные мессенджеры вместо публичных сервисов.
Эффективная защита удаленных рабочих мест требует многоуровневого подхода, где двухфакторная аутентификация — критически важный фундамент.
Коротко о главном
Чтобы снизить риски при организации удаленной работы, важно:
— использовать 2ФА,
— организовывать удаленный доступ через корпоративный ВПН,
— усилить требования к паролям и логинам,
— изолировать критические системы от общего доступа,
— внедрить систему удаленной проверки устройства,
— регулярно обучать сотрудникам, как реагировать на фишинг.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.