Bring Your Enterprise Home – концепция безопасности для «удаленки»
Компания McAfee рассказала о новой концепции Bring Your Enterprise Home, нацеленной на обеспечение безопасности при удаленной работе. Как поясняют в компании, более 20 лет внимание специалистов по кибербезопасности было ориентировано на работу с предприятиями, а не на построение интегрированной системы защиты, и уж тем более не на комплексную защиту домашних сетей. Например, NIST Cybersecurity Framework, один из основных американских регламентов, адресован предприятиям, а не частным лицам. При этом число устройств и подключений во многих домах намного выше, чем было для малого бизнеса 20-летней давности. Домашние ИТ-системы развиваются по той же схеме, что и системы малых предприятий, и поэтому нуждаются в дополнительном внимании и защите.
Пандемия COVID-19 стала причиной вынужденного перевода сотрудников из централизованных рабочих сред на высокораспределенные инфраструктуры для работы из дома. Внезапный переход на незащищенную и неконтролируемую «удаленку» (включая ИТ, IoT, мобильные, облачные и другие среды) существенно усложнил обеспечение кибербезопасности предприятий и одновременно серьезно расширил поверхность цифровых атак. Поскольку многие сотрудники используют для решения рабочих задач личные устройства, организациям необходимо внедрять политики, которые улучшат управление и контроль над ними. Концепция BYOD (Bring Your Own Device – личные устройства на работе) трансформировалась в BYEH – Bring Your Enterprise Home (корпоративные устройства дома). Чтобы адаптироваться к этой перемене, нужны новые стандарты и процедуры безопасности.
Имеющиеся в компаниях и на предприятиях политики, процессы и средства управления, оборудование и ПО для защиты распределенной корпоративной экосистемы разрабатывались с учетом того, что современный частный дом – не самая «гостеприимная» среда для внедрения защит. Например, в доме есть умные замки и розетки, телевизоры Smart TV и устройства для потоковой передачи данных, охранная система, цифровые ассистенты, беспроводные светильники, колонки, камеры, термостаты и другие подключенные устройства. И все это не считая компьютеров, ноутбуков, планшетов и смартфонов. Но собственники не всегда знают, как эффективно защитить это оборудование от киберпреступников. Кроме того, многие решения не поддерживают интеграцию или обмен данными с другими системами, что уменьшает возможности обнаружения слабых мест в защите.
Если посчитать все устройства (умные и обычные) в квартире, отмечают в McAfee, и умножить их на количество сотрудников федерального правительства, можно получить представление о масштабах угрозы, которая возникла в результате перевода персонала на удаленную работу. Сюда же нужно прибавить подрядчиков правительственных учреждений, уровень безопасности систем которых обычно ниже, чем у штатных работников. В целом, считают в компании, речь идет об угрозе национального масштаба, поэтому необходимо обеспечить надежную защиту удаленного доступа сотрудников к корпоративным ресурсам.
При этом кибербезопасность – только одна из областей, на которую нужно обратить внимание. Например, в случае выхода оборудования из строя поставщики услуг в первую очередь предоставляют поддержку корпоративным клиентам. Если о неисправности сообщила компания, ее устранят за пару часов, потребители же могут прождать решения проблемы несколько дней. Однако сегодня ответ на вопрос, какое удаленное подключение является критически важным, не столь однозначен. Как организации сообщить провайдеру о том, что конкретная линия связи имеет приоритет и нуждается в срочном внимании? Как включить в концепцию «домашних терминалов» тот факт, что они являются компонентами инфраструктуры конкретного предприятия?
«Удаленка» превратила квартиры в домашние офисы, виртуальные учебные классы, кабинеты врача и магазины, а каждое подключенное личное устройство – в потенциальный источник опасности для работодателей, резюмируют в McAfee. Пока мы пытаемся адаптироваться к новым реалиям, очень важно переосмыслить безопасность домов и квартир и разработать стандарты их защиты.