Информационная безопасность в SMB-компаниях

В настоящее время в отношении вопроса ИБ в сегменте SMB бытуют два противоположных мнения. Одни аналитики утверждают, что в небольших компаниях нет даже понятия ИБ, поскольку нет информации, представляющей настолько весомый для бизнеса актив, который требовал бы внедрения систем защиты. Другие считают, что с точки зрения информационной инфраструктуры каналов передачи и форматов данных, предприятия SMB фактически идентичны предприятиям Enterprise — дело лишь в масштабе. Соответственно, подход к ИБ также должен быть идентичен.

Мнение об отсутствии весомых для бизнеса информационных активов у SMB-предприятий обусловлено скорее привычным, традиционным взглядом на подобные предприятия: ведение дел «по старинке», слабое внедрение IT-технологий, хранение данных в бумажном виде — все это действительно было так. Но именно было, поскольку удешевление, а значит и доступность компьютеров и средств цифрового хранения и обработки данных происходит в ускоренном режиме, да и контролирующие организации предъявляют SMB-рынку требования, соответствующие современным тенденциям «повсеместной оцифровки». Таким образом, все бумажные активы превращаются в невесомые файлы, разлетающиеся через флэшки, планшеты и облачные хранилища.

Сложно отрицать, что с точки зрения информационной инфраструктуры (топологии сети, средств управления и коммуникации, операционных систем) крупные и сравнительно небольшие предприятия мало различаются. Однако основной момент, связанный именно со спецификой SMB, — недостаточный объем финансового обеспечения этой инфраструктуры. Отсюда и распространенные последствия.

Во-первых, отсутствие долгосрочной IT-стратегии. Каждый вновь приходящий IT-специалист перекраивает инфраструктуру под свое видение и уровень знаний, постепенно превращая ее в зоопарк систем. Как правило, финансирование IT в SMB осуществляется по остаточному принципу, что не позволяет проводить полноценное обновление устаревших систем. В итоге Windows 8 на ноутбуке руководителя мирно соседствует с Windows 2000 на компьютере секретаря, отдел разработки обменивается данными через Dropbox, бухгалтерия — через флэшки и дискеты, а отдел продаж и вовсе использует собственные смартфоны и планшеты — и продавцам удобно, и предприятию не нужно тратиться. А ведь подобные коммуникаторы это не только средства связи и доступа к корпоративным данным, но и весьма объемные хранилища информации.

Во-вторых, дефицит обучения сотрудников элементарным навыкам безопасного хранения данных. Большинство утечек происходит вследствие невнимательности и непонимания сотрудниками правил работы с информацией. Если для крупного бизнеса единичная утечка данных — это серьезный, но приемлемый риск, то компания средних размеров может вовсе закрыться в результате такого инцидента. Даже одна утечка (например, если речь идет о клиентской базе или бизнес-образующей технологии) может стать фатальной. Репутация также является одним из ценнейших активов, инвестировать в который приходится годами, а потерять его можно в одночасье — например, допустив разглашение чувствительной для партнёров или клиентов информации.

Третий специфичный момент — это отсутствие выделенного специалиста, которого в сегменте Enterprise гордо именуют Офицером Информационной Безопасности, и в чьи обязанности входит определение информационных активов, уровня риска для предприятия в случае утери или разглашения информации, а также выбор DLP-систем с последующим мониторингом результатов. В небольших компаниях все возложено на плечи одного системного администратора, у которого, даже при наличии квалификации, совершенно нет времени следить за движением информации в офисе в режиме реального времени и принимать своевременные решения.

Что же можно предложить организациям, которые все больше погружаются в мир цифровой информации, но не имеют достаточного финансирования для обеспечения безопасности данных? Самым эффективным решением стало бы изменение подхода к ИБ, внедрение современных систем классификации и мониторинга информации, применяемых в крупном бизнесе. Но основную проблему — недостаток финансирования, преодолеть весьма затруднительно.

Поэтому при разработке решения для предприятий SMB мы сфокусировались на обеспечении защиты цифровых активов, не требующих больших финансовых затрат и глобальных изменений в привычных бизнес-процессах. И первым таким продуктом в нашей линейке стал InfoWatch EndPoint Security, который решает весь комплекс базовых задач в области ИБ для рабочих станций и съемных носителей информации.

Философия этого продукта описывается запоминающейся формулой C.A.F.E.: Control, Audit, Filter, Encryption. Действительно, лишь обеспечивая надежный контроль движения корпоративных данных, осуществляя непрерывное протоколирование пользовательских действий и теневое копирование перемещаемых файлов, регулируя доступ к внешним ресурсам и возможность запуска локальных приложений, а также производя сквозное шифрование в рабочих каталогах и на сменных носителях, можно с уверенностью говорить о должном уровне информационного контроля на предприятии.

Одна из ключевых функциональных особенностей системы — это возможность осуществлять контроль по двум принципам: по отношению к учетной записи пользователя и по отношению к рабочему месту. Модуль контроля учетных записей пользователей не привязан к определенному компьютеру и подразумевает, что сотрудник может зайти под своей учетной записью с любого компьютера. Во втором случае контроль осуществляется над определенным рабочим местом вне зависимости от того, чья учетная запись на нем активирована. Контроль доступа предусматривает назначение настраиваемых прав (запрет/только чтение/полный доступ/по расписанию) для любого устройства или порта, включая определённые их разновидности или уникальные устройства. Возможно создание «белого» списка WiFi-сетей, к которым — и только к которым — будет позволено подключаться данному ПК.

В InfoWatch EndPoint Security реализована возможность создания гибких настроек прав доступа к устройствам и аудита информации с помощью механизма теневого копирования данных, записываемых на эти устройства.

Аудит информации — еще один ключевой элемент. Действия пользователей протоколируются, а благодаря механизму теневого копирования администратор всегда будет осведомлен об активности сотрудников, связанной с перемещением конфиденциальных данных. Фиксируется любая операция, затрагивающая ценные информационные активы (например, запись на съемные носители, печать, копирование, удаление и др.).

Кроме контроля устройств в InfoWatch EndPoint Security заложены опции контроля при обмене файлами, а именно возможность запрета скачивания файлов через Internet Explorer, доступа к облачным файловым хранилищам (Dropbox, SkyDrive и Google Drive) и передачи файлов через Skype.

Для компаний, мигрирующих на виртуальную инфраструктуру и задействующих в бизнес-процессах работу в режиме терминальных сессий, предусмотрена функция контроля доступа к терминальным дискам (поддержку Thin Client Storage и редиректа USB по RDP).

Контроль доступа к внешним ресурсам и запуска локальных приложений настраивается с применением «чёрного» и «белого» списка приложений. Причём для верификации исполняемых файлов использует метод контрольных сумм. В результате подмена разрешённого приложения вредоносным или шпионским, например, путем переименования его основного модуля, становится невозможной. Привязка правил контроля доступа к учётным записям гарантирует, что с какого бы компьютера (включая удалённые подключения) пользователь ни вошёл бы в систему, он будет иметь возможность запускать лишь заведомо доверенные приложения.

Поскольку в сегменте SMB не принята политика жесткого контроля, мы предусмотрели два режима работы, связанных с изменением уровня прав доступа к внешним устройствам: императивный, когда права доступа к устройствам задаются администратором и не могут изменяться сотрудником, и демократичный — когда через интерфейс агента сотрудник может запросить у администратора изменение прав доступа к устройствам и портам (генерация кода доступа). Это удобно в случае, если сотрудник находится вне сети и не имеет связи с сервером управления. Опцию по достоинству оценят сотрудники, работающие удаленно, или находящиеся в командировке, — в случае необходимости открыть доступ к данным на нужном носителе им достаточно ввести код, полученный от администратора по SMS.

Системы ИБ знамениты сложностью в установке и настройке, чтобы установить все нужное ПО и «подружить» между собой, привлекаются системные интеграторы. Мы подходили с пониманием этой проблемы, поэтому для работы InfoWatch EndPoint Security не требуется выделенный сервер, достаточно базы данных MySQL или MS SQL (любой версии, начиная с MS SQL 2005, включая бесплатный SQL Express), а на рабочих местах требуется лишь один агент, обеспечивающий работу всех систем, включенных в продукт. Достаточно активировать их одним кликом в управляющей консоли, и InfoWatch EndPoint Security начнет работу.

Всем известно, что шифрование — наиболее эффективный и надежный способ защиты данных. А также вызывающий головную боль у администраторов при развертывании корпоративной системы шифрования и при работе с бесчисленными жалобами сотрудников на то, что система мешает работе. Продукт InfoWatch EndPoint Security осуществляет шифрование в прозрачном режиме, т.е. абсолютно незаметно для сотрудников, пока они используют зашифрованные данные по назначению — на рабочих местах, внутри рабочей группы или всей организации (в зависимости от включенного режима). При этом используются только криптографические модули, входящие в состав ОС, что максимально снижает риски некорректной работы и невозможности восстановления зашифрованных данных.

Аппаратные требования к продукту не выходят за рамки требований к ОС, при этом InfoWatch EndPoint Security поддерживает все системы Windows, начиная с Windows 2000. Решение может устанавливаться как на десктопные, так и на серверные системы без необходимости перезагрузки и без конфликтов с антивирусами (KIS, Bit Defender, ESET, Dr.Web и др.).

Интеграция InfoWatch EndPoint Security с Microsoft Active Directory и Novell eDirectory позволяет использовать уже установленную в организации иерархию групп пользователей и компьютеров.

Шестикомпонентное решение InfoWatch EndPoint Security (модули Access Control, Audit, Device Encryption, Folders Encryption, Application Control, Power Management) лицензируется по количеству учетных записей пользователей, поэтому продукт позволяет при необходимости производить перераспределение лицензий между учетными записями или компьютерами. Поскольку продукт имеет модульную структуру, итоговая стоимость зависит от приобретаемых компонент и сроков подписки, количество которых заказчик определяет сам.

Мы создавали продукт для системного администратора и постарались, чтобы решение было максимально простым и удобным в использовании, решало задачи безопасности, но не требовало постоянного внимания и тем более не служило источником жалоб от сотрудников. Поэтому InfoWatch EndPoint Security — это не просто сочетание нескольких технологий, а в первую очередь их продуманная совместная работа с единой политикой управления функционалом из одной консоли.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365