Проблемы перевода сотрудников на удалённую работу

StaffCop

Удаленная работа, в силу сложившихся обстоятельств — пандемии вируса COVID-19 и первых симптомов финансового и экономического кризиса, стала для компаний очень актуальной.

StaffCop Enterprise

Предприятия малого, среднего, а иногда крупного бизнеса переводят на удалённую работу отделы и управления. В таких странах EC, как Чехия и Словакия, правительства официально порекомендовали коммерческим предприятиям вводить технологию удалённой работы для своих сотрудников, чтобы минимизировать физические контакты между ними.

Такой метод работы имеет свои плюсы и минусы для сотрудников, перешедших на «удалёнку» и работодателей. Важный минус для работодателя — сложность контроля соблюдения рабочего времени и утечки информации для удалённых сотрудников.

Прежде чем разбирать технические и другие проблемы, возникающие при переводе сотрудников на «удалёнку», необходимо выяснить: кого можно перевести на удалённую работу без ущерба для деятельности предприятия?

Ответ прост: перевести можно тех, кто носит рабочий инструмент с собой, т. е. тех, для кого рабочим инструментом являются клавиатура, «мышка» и монитор, а средой работы — информация. Как минимум 90% офисного персонала: юристов, планово-экономические службы, дизайнеров, маркетологов, PR-специалистов, системных администраторов. Кроме технических, юридических и прочих проблем, в этом случае в полный рост встанет проблема учёта рабочего времени: чем занимается сотрудник на «удалёнке» — решением задач, поставленных перед ним или, допустим, смотрит на экране корпоративного ноутбука кинофильм, только что скачанный из сети Интернет?

Для некоторых профессий работа удалённо — не исключение, а правило: например, для журналистов-аналитиков, задача которых — сдать статью на заданную тему определённого объёма в определённый срок. Здесь контроль соблюдения рабочего времени не нужен: он осуществляется по факту выполнения задания.

В случае удалённой работы необходимо создать (или сохранить) единое коммуникационное пространство, возможность проводить встречи и совещания, работать с общими документами, предоставить сотрудникам доступ к внутренним информационным системам и вычислительным ресурсам предприятия. Нельзя забывать о вопросах информационной безопасности: задача предотвращения утечки информации по-прежнему остаётся актуальной, поэтому важным будет применение тех же программных комплексов контроля рабочего времени и предотвращения утечки информации (DLP-системы), что применяются и в офисных сетях, в частности, StaffCop Enterprise, «Стахановец», продукты компании SearchInform.

Рассмотрим технические проблемы, возникающие при организации удалённой работы:

Самый простой способ обеспечить работу сотрудников на «удалёнке» — сохранить информационную среду, которая была при работе в офисе.

Сценарий № 1

Сотрудники подключаются к своим рабочим станциям с помощью стандартных RDP-средств (например, mstsc.exe от Microsoft), либо с помощью продуктов третьих разработчиков (TeamViewer, AnyDesk и т. д.)

Этот сценарий имеет следующие плюсы:

1. Нет перемещения техники — вся техника остаётся в офисе, сотрудники работают за своими домашними компьютерами;
2. нет необходимости вносить изменения в инфраструктуру — всё работает так же, как будто сотрудник находится в офисе.

Минусами такого сценария будут то, что службы информационных технологий и информационной безопасности невозможно перевести на «удалёнку» — они должны обеспечить функционирование рабочих станций в офисе. На них полностью ляжет работа по обеспечению бесперебойной связи между домашними компьютерами сотрудников и офисными рабочими станциями, и даже по поддержке домашних компьютеров сотрудников.

Второй серьёзный минус заключается в том, что все подключения к рабочим станциям при использовании TeamViewer, AnyDesk и похожих других продуктов происходят через серверы приложений. Следовательно, эти подключения находятся вне контроля служб информационных технологий и ИБ. Да, можно создать свой собственный сервер TeamViewer, что заманчиво, но это займет время и приличное количество денег.

Несмотря на плюсы, сценарий № 1 не может быть рекомендован для практического использования.

Сценарий № 2

Вся офисная техника «переезжает» к сотрудникам домой и подключается к сети предприятия по VPN.

Плюсы положения:

1. Сотрудник работает так, будто находится в офисе, службы информационной технологии и ИБ имеют удалённый доступ к рабочим станциям, как это было в офисе,
2. Нет необходимости использовать личный компьютер для выполнения работы;
3. Отсутствует необходимость дополнительной настройки приложений.

Минусы сценария:

1. Служба ИТ должна произвести предварительную настройку VPN на всех рабочих станциях и основном маршрутизаторе компании, а также создать резервные VPN-каналы. Для опытных специалистов это сложно, и может быть сделано заблаговременно;
2. Дополнительные расходы на логистику. Если у компании есть своя служба логистики, то это не критично, можно предложить сотрудникам, у которых есть личные автомобили, самим отвезти рабочие станции домой. Поверьте, многие не просто сделают это с радостью, но ещё и помогут «безлошадным» коллегам;
3. Необходимость проверки работоспособности офисной рабочей станции после установки. Кажется, что это сложно, тем не менее в 99 случаях из 100 такая проверка проходит успешно: сотрудники сами знают, «что куда воткнуть, чтобы заработало».

Итак, рабочая станция сотрудника «переехала», сотрудник работает, и возникают проблемы контроля рабочего времени, а также контроля утечки информации.
Ниже представлена схема этого сценария при использовании программного комплекса StaffCop Enterprise.

StaffCop Enterprise

Офисные рабочие станции подключаются с помощью VPN-клиента к серверу VPN на маршрутизаторе компании, и сотруднику предоставляются все информационные и вычислительные ресурсы компании точно так же, как будто он работает непосредственно в офисе. Агент StaffCop Enterprise «видит» сервер и передаёт на него информацию в полном объёме напрямую до тех пор, пока подключение к офисной сети через средства организации VPN активно: как только соединение будет разорвано — агент «потеряет» сервер и будет вынужден «складывать» собираемую им информацию локально на рабочей станции сотрудника.

Для администраторов ИБ задержка в получении информации может быть неприемлемой. В этом случае программный комплекс StaffCop Enterprise предлагает решение. Когда VPN-соединение не активно, агент StaffCop Enterprise «найдёт» сервер и передаст на него собранные данные, несмотря на то, что серверы офисной сети для рабочей станции недоступны!

Для этого сетевым администраторам необходимо заблаговременно выполнить ряд настроек:

1. Убедиться, что у маршрутизатора компании есть статический «белый» адрес. Как ни странно, многие компании сейчас отказываются от такого способа подключения к Интернету, но только наличие статического «белого» адреса в данном сценарии может гарантировать непрерывность получения данных от агентов на сервер. Если такого адреса у компании нет — его нужно приобрести у провайдера заранее.

2. На маршрутизаторе компании, описанном в п.1, нужно настроить перенаправление трафика с заранее выбранного внешнего номера TCP/IP-порта (автор статьи рекомендует использовать номер TCP/IP-порта из динамической зоны портов, но легко запоминаемый, например, 44344) на IP-адрес сервера StaffCop Enterprise в локальной сети, на номер TCP/IP-порта 443, который используется сервером для приёма данных с агентов (если необходимо, этот порт может быть изменён для бо́льшей безопасности).

3. На агентах необходимо либо с помощью утилиты удалённой установки, входящей в поставку StaffCop Enterprise, либо с помощью редактора реестра Windows изменить значение ключа соответствующей ветви реестра Windows, прописав IP-адрес и номер порта резервного сервера StaffCop для подключения агента. IP-адресом резервного сервера будет «белый» IP-адрес маршрутизатора компании, а номером TCP/IP-порта — порт, который выбрали сетевые администраторы (в нашем примере — 44344). Тогда фрагмент экрана утилиты удалённой установки агента StaffCop будет выглядеть так, как показано на изображении (фрагмент окна редактора реестра Windows автор приводить по понятным причинам не будет, интересующиеся могут найти всю информацию о редактировании реестра Windows в [1], это можно сделать сразу на всех рабочих станциях офиса, например, с помощью доменной групповой политики):

StaffCop Enterprise

В этом случае агент будет держать постоянное подключение с сервером StaffCop Enterprise, переключаясь автоматически с адреса на адрес и с порта на порт в зависимости от того, подключено VPN-соединение или нет. Можно будет «на лету» изменять конфигурацию агента, события будут поступать непрерывно. Возможен просмотр рабочего стола сотрудника в реальном времени.

При организации работы по данному сценарию надо учитывать, что происходит физическое перемещение рабочих станций за охраняемый периметр. Поэтому служба ИБ компании должна убедиться, что на жёстких дисках рабочих станций, передаваемых сотрудникам, не содержится информации, которая попадает под критерии коммерческой тайны и конфиденциальной информации. С особой осторожностью отнеситесь к персональным данным — бывает, что на рабочих станциях сотрудников финансовых и юридических служб хранятся выгруженные отчёты по зарплатам сотрудников или адресам их проживания с домашними телефонами. Перемещение таких данных за охраняемый периметр абсолютно недопустимо, так как возможна неконтролируемая утечка информации.

Сценарий № 3

Сценарий № 3 характерен тем, что никакие рабочие станции из офиса никуда не перемещаются. Они выключаются, причём так, чтобы их нельзя было включить удалённо: функция Wake-On-Lan (включение рабочей станции по сети) должна быть отключена.

Сотрудники работают из дома, но на своих ЛИЧНЫХ домашних компьютерах, которые используются, как терминалы удалённого доступа: вся работа проходит на сервере терминалов, который организуется в серверной группировке компании.

Упрощённая схема работы в этом случае может быть представлена следующим образом:

StaffCop Enterprise

Не играет роли, каким образом выполняется подключение к серверу терминалов: можно организовать VPN-соединение, подключаться к маршрутизатору компании и после этого — по протоколу Microsoft RDP к серверу терминалов в локальной сети, или напрямую по протоколу Microsoft RDP на внешний («белый») адрес маршрутизатора с пробросом трафика на TCP/IP-порт сервера терминалов (стандартный номер TCP/IP-порта 339, для внешнего адреса можно порекомендовать номер TCP/IP-порта 33933).

Все приложения при работе по этому сценарию устанавливаются на сервере терминалов. Работа может быть организована с помощью удалённого рабочего стола, либо с помощью механизма публикации приложений сервера терминалов Microsoft (технология RemoteApp). Агент устанавливается на сервер терминалов и отправляет информацию о работе пользователей по локальной сети организации. В этом случае сервер StaffCop Enterprise может вообще не иметь выхода в сеть Интернет, так как собираемая информация о событиях не покидает охраняемый периметр.

Плюсы такого сценария:

1. Вся работа сосредоточена в одном месте, есть единый центр управления и мониторинга;

2. На личном домашнем компьютере сотрудника не сохраняется никакая служебная информация (за этим проследит агент, работающий на сервере), личный домашний компьютер используется, как терминал удалённого доступа;

3. Вся информация, собранная агентом, не передаётся через интернет, а остаётся внутри локальной сети компании — охраняемого периметра.

Главный минус работы по данному сценарию в том, что сервер терминалов при большом числе сотрудников потребует значительных аппаратных ресурсов и дополнительного лицензирования ОС, приложений и агента StaffCop. На сервере должны быть установлены все приложения, необходимые пользователям, необходима настройка маршрутизатора — организация VPN-сервера или «проброс» трафика с внешнего TCP/IP-порта на TCP/IP-порт 339 сервера терминалов.

Мы рассмотрели наиболее вероятные сценарии работы сотрудников на «удалёнке». Возникает вопрос: какой из двух сценариев работы выбрать?

Истина где-то посередине. Для сотрудников, работа которых не выходит за рамки большинства офисных приложений и комплекса программ 1С, наиболее разумным будет применить сценарий № 3 — с терминальным сервером: сервер терминалов Microsoft «заточен» под такое разделяемое программное обеспечение. А вот для сотрудников, работа которых предусматривает ресурсоёмкие приложения (конструирование, проектирование — AutoCAD, ArchiCAD, nanoCAD, 3D КОМПАС и тому подобные приложения) разумным будет применение сценария № 2: сотрудники будут работать в своей привычной среде, не потребляя «общественные» ресурсы.

При организации удалённой работы следует уделить дополнительное внимание организации защищённого доступа к ресурсам компании. Поэтому как при использовании VPN-сервера, так и при использовании механизма проброса портов следует ограничивать доступные подключения; разумно ввести такую же проверку и на сервере терминалов — чтобы подключение с несанкционированной рабочей станции было невозможно в принципе. Доступ должен быть организован так, чтобы подключения и ресурсы были доступны только с определённых рабочих станций и определённых IP-адресов; с остальных рабочих станций и IP-адресов доступ должен блокироваться — это достаточно просто организовать настройкой шлюзов, маршрутизаторов и серверов, создав «белые списки» допустимых подключений.

Важный фактор удалённой работы — это организация бесперебойной связи как между сотрудниками и клиентами. Кажется, нет ничего проще: операторы мобильной связи обеспечивают связь в большинстве точек планеты, а там, где не работает мобильная связь — возможно использование спутниковых телефонов.

Но данный способ связи нельзя считать надёжным, так как проконтролировать этот канал сложно, даже если сотрудники пользуются корпоративными номерами и телефонными аппаратами: запись и прослушивание переговоров по мобильной связи — право исключительно правоохранительных органов и только по решению суда.

Выходом в этом случае может быть использование IP-телефонии и т.н. «софтофонов» — специальных приложений (например, Mango Talker), которые устанавливаются на рабочие станции или смартфоны. Запись переговоров осуществляет телефонная станция, контролируемая как отделом информационных технологий, так и отделом информационной безопасности. Нужен соответствующий приказ руководителя предприятия, который предписывает вести все разговоры, касающиеся работы, только с помощью IP-телефонии, и предупреждает сотрудников о возможной записи разговоров.

Работа в удалённой среде имеет и свои юридические особенности.

Если сотрудники работают на своих офисных рабочих станциях — необходимо оформить передачу оборудования сотруднику на ответственное хранение и использование, причём аппаратная конфигурация офисной рабочей станции (с серийными номерами оборудования), как и перечень установленного ПО, должны быть указаны в Акте приёма-передачи, чтобы исключить злоупотребления со стороны нечестных сотрудников. Возможность сбора информации об оборудовании и программном обеспечении, которая имеется в конфигурации агента StaffCop Enterprise (раздел «Инвентаризация»), может помочь в этом.

Если же сотрудники работают на своих личных компьютерах и происходит смешение личной и рабочей информации, то при использовании упомянутых выше программных комплексов мониторинга работы пользователей произойдёт загрузка личной информации сотрудника в корпоративное хранилище. Это недопустимо без письменного согласия сотрудника — личные данные охраняются действующим Законодательством. Поэтому перед установкой такого ПО на личный компьютер необходимо получить письменное согласие сотрудника.

Следует дополнением к трудовому договору зафиксировать изменение формата занятости с обязательного присутствия в офисе на присутствие по желанию. Это станет гарантией нахождения сотрудника вне офиса в рабочее время, т. е. того, что нахождение сотрудника дома — это удалённая работа, а не прогул, который может являться основанием для увольнения.

Значение имеют психологические аспекты удалённой работы.

Очень часто сотрудники воспринимают удалённую работу, как оплачиваемый отпуск. Большое значение имеют личность и авторитет руководителя. Если сотрудники на «удалёнке» чувствуют, что руководитель «держит руку на пульсе», то они действительно будут работать, а не заниматься своими делами.

Большую помощь оказывают системы учёта и мониторинга рабочего времени и мощные программные комплексы учёта проектов и ресурсов, например, Microsoft Project или его бесплатные аналоги.

При организации удалённой работы число потенциальных каналов утечки информации увеличится. Можно выделить следующие особенности работы сотрудников отделов ИБ:

— отдел ИБ должен убедиться, что все подключения по протоколам удалённого доступа (VPN, Microsoft RDP и т. д.) выполняются безопасно, с использованием соответствующих не просроченных сертификатов, шифрования, сложных паролей (например, не менее 8–16 символов длиной) и т. д. По возможности следует применять системы одноразовых паролей или регулярно (обычно раз в месяц, но можно и чаще) пароли менять, при этом применять технологии генерации сложных паролей;
— необходимо убедиться, что офисные рабочие станции и носители, передаваемые сотрудникам, не содержат информацию, подпадающую под регламенты коммерческой тайны и конфиденциальной информации (включая персональные данные сотрудников);
— необходимо убедиться в том, что конфигурации агентов обеспечивают сбор необходимой информации о работе пользователей, а также блокировку доступа к запрещённым сайтам и блокировку нежелательных приложений;
— при работе в офисе сотрудник отдела ИБ под любым предлогом имеет возможность пройти по офису и посмотреть на мониторы сотрудников. При работе на «удалёнке» это невозможно, поэтому стоит проверить, что удалённый просмотр рабочих столов пользователей включён.

Кроме контроля за деятельностью сотрудников, отдел ИБ вместе с отделом информационных технологий должен организовать обучение сотрудников информационной безопасности, в том числе и в приложении к удалённой работе.

Необходимо ознакомить сотрудников с фишингом, наиболее часто встречающимися «трюками» кибермошенников, основами антивирусной безопасности. Каждый сотрудник должен знать, с какими угрозами он может столкнуться, и чётко представлять себе, что в случае атаки мишенью может стать не только он, но и компания, поскольку офисная рабочая станция (или личный компьютер сотрудника в случае использования его в качестве терминала удалённого доступа) является прямым «мостом» в корпоративную сеть.

Работайте безопасно. Даже в режиме «удалёнки»!