Как организовать безопасный удаленный доступ и проконтролировать подрядчика в 2024 [перезалив]

ИТ - это сложная ниша и у большинства компаний нет собственной экспертизы, чтобы наладить работу систем, либо внедрить новую систему в работу. Часто подобные задачи возникают в области бухгалтерии или CRM или рекламы или автоматизации бизнеса - любой области можно многое автоматизировать через ИТ Это перезалив оригинального видео - здесь исправили моно аудио дорожку на стерео. Краткое содержание и конспект: Для выполнения работ мы ищем подрядчиков. Что нам предлагает подрядчик (как было и в нашем случае): - Установить программу AnyDesk (или подобную) - Дать им полные права - Идти “пить кофе” и вернуться через 30 минут. Напоминает мошенническую схему с телефонными ворами по принципу уже знакомой многим “службы безопасности сбербанка”, когда злоумышленники пытаются украсть деньги. При предоставлении подобного удаленного доступа многое может пойти не так: 1. Программа, которую вам предлагают скачать и установить, может быть заражена вирусом 2. Когда вы предоставляете полный доступ к компьютеру, то злоумышленник имеет такие же права, как и вы за компьютером - имеет доступ к той же самой информации 3. Если у вас к компьютеру подключен USB токен с ЭЦП (а обычно это так на компьютере бухгалтера), то у удаленного подрядчика есть возможность подписать любые поручения (в том числе на перевод денег) 4. Если вы отходите и не видите реально, кто работает за вашим компьютером (удаленно), то там может произойти все, что угодно - как в детективных фильмах, когда за несколько минут с компьютера копируются все важные данные. Как делать это правильно? 1. Для крупной компании нужно использовать специальную систему контроля удаленного доступа - они называются PAM (Privileged Access Management). Она позволяет дополнительно контролировать вводимые команды и даже их ограничивать, а также дает возможность дополнительно разрешать (авторизовывать) удаленное подключение 2. Для средних компаний, где РАМ система будет дорогой или нужен разовый доступ, то критически важно организовать доступ по своим правилам: 1. Подписанное соглашение NDA 2. Заключенный договор с конкретным указанием технического задания - перечня работ, которые будут проведены 3. VPN с аутентификацией по выделенным учетным записям для внешнего подрядчика, желательно с 2-х факторной аутентификацией, чтобы уменьшить вероятность компрометации пароля учетной записи 4. Вновь созданная учетная запись для подрядчика в системе, с которой ему предстоит работать с ограниченным набором прав, которые согласуются с типом выполняемых работ (даже если требуются административные права, пусть это будет хотя бы не ваша, а выделенная учетная запись - потом будет проще отследить по данным аудита, что произошло) 5. Создать резервную копию всех данных в системах, которые планируется менять/интегрировать 6. Составить план действий на случай восстановления. 7. Требовать протокол изменений и верифицировать его в рамках совещаний. 3. Для небольших компаний, где нужно быстро провести не очень масштабные работы, там можно: 1. не идти на поводу у подрядчика, который более опытен, чем вы, а сделать по своему более безопасному плану 2. Организовать удаленную сессию через программу видеоконференц связи (Контур.Толк, Zoom) - любую, которая позволяет делать 2 вещи 1. Производить запись экрана 2. Давать права на передачу управления удаленному пользователю 3. Организовать звонок с видео - чтобы вы видели человека на другом конце 4. Расшарить свой экран с запущенной системой 5. Отключить все внешние накопители / флешки с ЭЦП и пр. 6. Попросить подрядчика управлять вами - составить план действий на бумаге или как минимум говорить вам голосом и контролироть по видео, что нужно делать 7. В крайнем случае вы всегда сможете передать ему удаленное управление своей клавиатурой и мышкой и будете видеть, что он делает сможете всегда прервать его действия. Также дополнительным бонусом будет то, что а) у вас останется готовая инструкция на будущее б) вы сами сможете лучше разобраться, как работает данная система. По вопросам организации безопасного удаленного доступа обращайтесь 👉 🔍 _________________________________________________________________ Подписывайтесь на канал : И еще много интересного на нашем Telegram канале: Ссылка на сайт, где можно оставить вопрос или заявку : Подписывайтесь, мы развенчиваем мифы о безопасности и делаем реальные проекты! _________________________________________________________________ Мы в социальных сетях. Присоединяйтесь, чтобы быть в курсе новостей и имеет с нами оперативную связь: #антивирус #внедрение #заражениевирусом #защитабизнеса #безопасностькомпании #защитасайта #консалтинг #аудит #безопасность #защитаинформации #Гладиаторы