Как защитить свои данные на компьютере и телефоне от vpn работодателя

Обновлено: 04.07.2024

В нашей компании все сотрудники работают удалённо. Для веб-студии это самая удобная схема, но у неё есть один существенный минус: некоторые заказчики переживают насчёт безопасности передачи данных и обмена информацией.

Чаще всего вопросы возникают у двух категорий клиентов. Первая — компании, у которых больше тысячи сотрудников. Наверняка там есть служба безопасности, и наверняка вы ей не понравитесь. Вторая — среди клиентов вашего заказчика, пускай даже небольшого, есть те, кто связан с государственной тайной или просто потребовал строгого NDA. Просто так поработать с таким клиентом вы не сможете.

Однако, если подойти к делу грамотно, убедить и успокоить можно даже самых требовательных. У нас это получилось с такими строгими заказчиками, как Тинькофф-банк, Альфа-банк и «Лаборатория Касперского». И мы вовсе не обещали им регулярно делать скриншоты рабочего стола каждого сотрудника или заставлять их подписывать расстрельные NDA.

Подписывайте разумный NDA

Начните с работы «вбелую». Это фундамент, на котором стоит безопасность любой компании. Если вдруг сотрудник украдёт и передаст любую конфиденциальную информацию, то без ранее подписанных документов его будет практически невозможно привлечь к ответственности.

Увы, стандартный трудовой договор обычно содержит довольно общие формулировки в части неразглашения конфиденциальной информации. Но его можно дополнить грамотным NDA. Этих двух документов достаточно, но важно прописывать в них всё максимально подробно, так как даже в Гражданском кодексе не найти чётких формулировок о том, что считается конфиденциальной информацией.

Допустим, мы не хотим, чтобы информация о зарплатах или ценах проектов была известна вне компании. Пишем об этом так: «Я обязуюсь не раскрывать никакую информацию о проектах CSSSR, в том числе информацию о бюджетах проектов, сведения о зарплатах сотрудников, а также любую другую информацию о заказчиках и сотрудниках CSSSR».

Последствия мы тоже прописываем отдельно. Например, указываем, что в случае разглашения или утраты конфиденциальной информации сотрудник обязуется возместить убытки компании в течение десяти рабочих дней после того, как этого потребовали. Убытки бизнеса — это документально подтверждённый урон, который нанёс сотрудник, разгласив определённую информацию. Размер компенсации определяет суд. Например, вы работаете с оператором X, который делает акцию к 8 Марта, — предлагает бонусы всем женщинам за переход от другого оператора. Ваш разработчик разглашает эту информацию оператору Y, который в итоге делает аналогичную акцию, но раньше. В таком случае убытки можно посчитать и задокументировать — оператор X смотрит на отток от себя к оператору Y и просит суд это компенсировать.

Мы отказались от идеи фиксированных штрафов, потому что это отпугивает новых сотрудников. Все понимают, что при желании работодатель может повесить на сотрудника крупный штраф при разглашении чего угодно. У нас был опыт с клиентами, которые разрабатывали ПО для промышленных предприятий и предлагали подписать договор с миллионными штрафами за каждое нарушение. А они могут звучать как «разглашение используемых технологий» — такие фразы запрещают даже назвать вслух язык программирования, который используется на проекте.

Заключать отдельные NDA с сотрудниками под каждого клиента нет смысла — нужен универсальный текст, который подходит для всех. Мы написали свою версию простым человеческим языком, чтобы сотрудникам легко было понять, что от них требуется. Мы не скрываем текст нашего NDA, скачивайте и пользуйтесь на здоровье.

Используйте корпоративный VPN

Удалённая работа с большинством клиентов, которым есть что скрывать, у нас идёт через корпоративную VPN-сеть. Это техническая мера безопасности, которая сразу разграничивает ответственность и распределяет риски. С VPN клиент выбирает, к каким ресурсам компании мы имеем доступ, и может постоянно отслеживать активность каждого сотрудника.

VPN-сеть разворачивает на своих серверах клиент — и, если он сам не предлагает это сделать, нужно ему напомнить. У одного нашего клиента был настроен VPN из-за всего одного сотрудника. Он давно прошёл все согласования со службой безопасности и настроил VPN для самого себя, чтобы иногда работать из дома и иметь доступ к сайту. Мы узнали об этом случайно и, благодаря настроенному VPN, сразу после подписания договора смогли начать работать.

Иногда заказчики предлагают суровый вариант — работу через окружение, которое развёрнуто прямо у клиента на сервере. Это похоже на работу через удалённый рабочий стол: всё тормозит, а внезапное отключение от интернета приводит к тому, что написанный до последнего сохранения код пропадёт. Так что лучше не соглашайтесь.

Указывайте на абсурдность требований

Многие осторожные клиенты хотят, чтобы у подрядчиков всё равно был офис, даже если сотрудники в работают удалённо. Причём он должен находиться недалеко от офиса заказчика, чтобы клиентский сисадмин мог легко приехать и настроить у подрядчика Wi-Fi-сеть по их стандартам.

Службу безопасности можно понять: если у человека установлены логин и пароль на роутере вида admin admin, то перехватить трафик очень легко. Но для этого нужно физически находиться рядом с роутером. Поэтому при таких запросах мы обычно предлагаем настройщикам приехать к каждому из десятков наших разработчиков, которые живут по всему миру — в Таиланде, Берлине и только в лучшем случае в Москве или Петербурге. Обычно такое предложение позволяет по-новому взглянуть на проблему и найти компромисс даже с самой требовательной службой безопасности.

Проблема в том, что для службы безопасности удалённые сотрудники — это те, кто сидит в офисе, просто в другом. В нашем случае офиса нет вовсе, и приходится объяснять специфику.

Не бойтесь суда

Если к вам приходят с претензией, что команда слила важную информацию, то не следует паниковать. Проводите своё расследование, собирайте все нужные документы и делайте экспертизу. Имейте в виду, что такое дело может тянуться в судах несколько лет. И ещё — в 90% случаев из-за разглашения конфиденциальных данных судятся не две организации, а компания и сотрудник. А разборки за разглашение информации между компаниями — это чаще повод для затяжного пиара в СМИ.

Помните: нет никаких мифических отличий офиса от удалёнки

И это важно донести до всех. Ни для клиентов, ни для сотрудников никакой разницы нет, если правила едины: официальное оформление, договор, NDA с сотрудниками, работа в VPN, чекины в Slack о приходе и уходе с работы и другие.

Не ударяйтесь в паранойю. Любой адекватный клиент, который работает с конфиденциальной информацией, знает, как её защитить и грамотно передать часть задач на аутсорс. А даже если не знает, ваша задача на старте — объяснить ему, как это сделать правильно. Интересно, что человек, с которым вы начинаете общение о проекте в крупной компании, может быть очень открытым и ненавидеть бюрократию. Но юристы и служба безопасности быстро отрежут ему крылья. Ваша задача — вместе с ним найти решение, которое устроит все стороны.

Вопрос в том, как найти баланс между адекватностью и безопасностью. Но этой проблемы, наверное, нет только на атомных электростанциях. Так что, если вы работаете на АЭС, пожалуйста, забудьте обо всём, что я только что рассказала.

Возможность работать удаленно стала нормой для современных прогрессивных компаний. Для компаний, работающих с финансовыми данными, остро встает вопрос безопасности.

Как обеспечить максимальную защиту трафика при удаленной работе, рассказывает Сергей Кравченко, начальник отдела ИТ-безопасности британской финтех-платформы Bilderlings.

Самый простой способ — это воспользоваться услугами сторонних компаний или приложений, таких как Teamviewer, LogMeIn, PC Anywhere, VNC . Теоретически я могу из дома подключиться к своей рабочей станции через удаленный доступ, это по сути Peer-To-Peer соединение. Но в чем там минус — это сторонний сервис и кто знает, как используются ваши данные. Самый приемлемый и надежный метод — установить свой VPN-сервер в дата-центре компании.

VPN — это защита трафика от злоумышленника, чтобы он не мог вклиниться и получить доступ к данным, так называемая частная сеть. Администратор настраивает VPN-сервер, а мы устанавливаем программу и даем нашим сотрудникам настройки, ключ, пароль и т.д. И при этом все равно есть двухфакторная аутентификация. Согласен, можно с компьютера похитить ключ и пароль. Но тогда придется украсть еще и телефон, да и самого человека похитить. Это существенно усложняет потенциальные атаки

Благодаря VPN вы можете получить доступ к рабочей информации из любой точки мира, т.к. это связь между вами и сервером, который находится в нашем офисе. Тоннель идет через многих сервер-провайдеров, там может быть множество пунктов, через которые проходят данные. Но само шифрование устанавливается между клиентом и сервером. Если кто-то попытается подключиться, вклиниться как Man-In-The-Middle, сессия оборвется. Да, данные проходят через провайдеров, но в этот трафик расшифровать практически невозможно, если вы всё правильно настроили и поддерживаете VPN-технологии. Технологии несовершенны, периодически в них обнаруживаются слабые места — поэтому за тем, что происходит в технологиях, надо постоянно следить.

Есть решения Open Source, а есть коммерческие решения, когда устанавливается уже готовое железное оборудование и поставляется какому-то клиенту. Решать вам, что лучше и удобнее. В нашей компании мы решили, что сами с усами и взяли VPN из открытого ресурса и настроили под себя. Мы считаем, что кастомные установки лучше, чем коммерческий продукт. Мы сами можем установить секретные ключи, сделать их и сложнее, установить сложные пароли, можем использовать свою «соль», включить какой-то уникальный параметр, который не включен в коммерческий продукт. Мы можем сами усилить безопасность в той мере, в какой считаем нужным. А в коммерческом продукте ты ограничен тем функционалом, который там уже есть. Да, коммерческий продукт тоже безопасный! Но если возникнет какая-то необходимость дополнительных настроек, мы можем кастомизировать данные установки, и мы этим гордимся, и этим довольны.

Терминальный доступ — это тот же самый remote доступ, просто доступ обеспечивается на терминал, который подключен к корпоративной сети. На сервер установлены внутренние программы или приложения, тот же браузер, доступ к эмайл и сетевым ресурсам DS. Человек заходит удаленно так же на сервер и так же открывается десктоп-экран, и у него такие же иконки, как и на рабочем столе. Это возможность удаленно запускать приложения с нашего сервера, и это удобно. Но не сравнивайте RDP c VPN, VPN — это механизм шифрования трафика и обеспечения его целостности, а также анонимность. RDP — это использование протокола для подключения к удалённому компьютеру, для запуска приложений или удалённой работы или обслуживания рабочих станций. RDP протокол гораздо уязвимей, чем сам VPN. Поэтому самое безопасное — это RDP через VPN.

Обычно подключение между браузером и веб-сайтом проходит из браузера на компьютер, от компьютера до беспроводной сети или домашней сети, от вашей домашней сети до вашего Интернет-провайдера, от провайдера к национальному Интернет-оператору, от национального оператора к национальному оператору хостера веб-сайта, от национального оператора хостера к хостинг-провайдеру и, наконец, от хостинг-провайдера к сайту.

Слишком много шагов! На самом деле трафик может проходить и через другие страны, в зависимости от вашего фактического расположения.

Небезопасные подключения

При небезопасном подключении любой, кто контролирует или разделяет какую-либо часть подключения получает возможность просмотреть отправляемые данные: другой пользователь компьютера, домашней сети, ваш Интернет-провайдер, операторы различных сегментов Интернета, ваше правительство или правительства других государств, через которые проходит ваш трафик, а также хостинг-провайдер или владелец сайта на том же хосте.

Безопасные подключения

Звучит несложно, а как на самом деле? Здесь есть нюансы. Чтобы установить соединение, браузер должен обнаружить IP-адрес сайта, используя службу DNS, которая обычно предоставляется Интернет-провайдером. Это означает, что при наблюдении за подключением можно увидеть домен в DNS запросе и раскрыть целевой URL-адрес, даже если отправляемые данные являются невидимыми.

Даже если вы используете безопасную DNS-службу, то при наблюдении за подключением можно увидеть целевой IP-адрес и использовать обратный запрос DNS с целью выявления посещаемого сайта.

VPN службы

Использование VPN при веб-серфинге позволяет решить две основные задачи:

• Скрыть сетевое общение от других пользователей локальной сети, Интернет-провайдера или государственного органа.
• Скрыть IP-адрес от сайта по соображениям конфиденциальности или для доступа к локально заблокированному контенту.

Любой, кто отслеживает другую часть соединения по пути, не может видеть отправляемые данные и информацию о том, к какому компьютеру в целевой сети вы подключались.

Прокси-серверы

Прокси - это служба, которая делает запросы к веб-сайтам от имени вашего компьютера. Браузер настроен для подключения через прокси. Когда браузер начинает загружать веб-сайт, он подключается к прокси-серверу таким же основным способом и делает свой запрос. Затем прокси-сервер отправляет запрос на веб-сайт от имени браузера, и когда веб-сайт отвечает, он отправляет ответ обратно в браузер.

Прокси обеспечивает повышенный уровень конфиденциальности, не позволяя веб-сайту видеть ваш IP-адрес, но многие прокси на самом деле отправляют ваш IP-адрес сайту используя заголовок X-Forwarded-For. В конце концов, владельцы прокси не хотят нести ответственность, если вы запланируете провести атаку на веб-сайт. В этом случае владельцы веб-сайтов узнают IP-адрес источника атаки.

Конечно, вы также можете добавить поддельный заголовок X-Forwarded-For в свои запросы, чтобы повесить вину на кого-то еще, но веб-сайты могут использовать список известных и доверенных прокси-адресов, чтобы определить, является ли ваш заголовок X-Forwarded-For фальшивым.

Защищенные веб-прокси

Для надежности защищенный веб-прокси также использует сертификаты для подтверждения своей подлинности, поэтому вы можете знать, что вы подключаетесь к действительно защищенному веб-прокси - в противном случае постороннее лицо может перехватить ваше прокси-соединение и представить поддельный защищенный веб-прокси, чтобы получить контроль над соединением с ним.

Анонимные прокси-серверы

Анонимный прокси - прокси-сервер или защищенный прокси, который не отправляет заголовок X-Forwarded-For при подключении к веб-сайтам. Таким образом, веб-сайт не может видеть ваш IP-адрес, что делает вас анонимными для веб-сайта.

Некоторые службы также предлагают возможность перехвата страницы для удаления JavaScript и другого нежелательного контента, но в этом случае вы также должны предоставить владельцу прокси-сервера любые логины, а владелец прокси-сервера может видеть, что вы делаете, даже на защищенных веб-сайтах , Это просто сводит к минимуму один риск конфиденциальности и резко повышает другой риск конфиденциальности.

Получается, что анонимный защищенный веб-прокси позволяет решить обе проблемы сразу, но на самом деле не все так просто - есть много вещей, которые следует учитывать, например, как настроена ваша сеть и ваш компьютер. Ваш компьютер также может отправлять DNS-запросы при подключении к веб-сайту, запросы CRL и OCSP при использовании сертификатов веб-сайта. Кроме того, браузер может отправлять другие типы запросов, такие как запросы списка блокировки вредоносного ПО или запросы эскизов. В этих случаях некоторые VPN службы будут работать лучше, чем прокси (но далеко не все!).

Это также означает, что, если пользователь использует прокси для запуска атаки, обвинения будут предъявляться службе прокси. Чтобы этого избежать, владельцы прокси-сервера могут принудительно дросселировать соединения или требовать входа в систему, а также будут вести журналы соединений, чтобы можно было привлечь к ответственности истинного виновника. В этом случае все усилия по повышению уровня конфиденциальности сводятся на нет.

На что обратить внимание при выборе VPN

В большинстве случаев VPN сервисы - это не что иное, как анонимный защищенный веб-прокси, который позиционируется как “VPN”. Подобные сервисы часто обещают “защиту подключения к сайтам” или “шифрование соединений с сайтом”. Хотя ни то, ни другое не соответствует действительности, многие компании прибегают к данным маркетинговым уловкам в рамках конкуренции. Служба VPN такого типа не может обеспечить безопасное подключение к веб-сайту, поскольку она контролирует только часть этого соединения.

Усиление конфиденциальности

Теоретически, “VPN в виде прокси” не нужно быть анонимными, но на практике почти всех из подобных служб таковыми являются.

Самая большая разница между защищенными веб-прокси и “VPN в виде прокси” заключается в том, что VPN может захватывать весь соответствующий трафик, а не только трафик, инициированный браузером. VPN также может захватывать DNS, OCSP, CRL и любой другой случайный трафик, создаваемый браузером, который может быть связан с подключением к веб-сайту. В некоторых случаях браузер может уменьшить количество этих данных при использовании защищенного веб-прокси, например, сделав свои собственные DNS-запросы, но есть и исключения. В любом случае сервисы “VPN в виде прокси” лучше, чем защищенный веб-прокси, претендующий на роль VPN.

VPN в браузере

Если браузер предлагает встроенную функцию VPN или расширение, которое предлагает VPN для отдельного приложения, то это характерный признак того, что вместо VPN вы столкнетесь с анонимным защищенным веб-прокси. В этом нет ничего плохого, но это значит, что могут существовать определенные ограничения, которые мешают захватить весь трафик, связанный с соединением. Встроенный в браузер VPN может не захватывать весь DNS-трафик и не может принимать проверки отзыва сертификатов, сделанные системой. В итоге хотя браузерный VPN может скрыть большую часть трафика, некоторые данные все равно будут проходить вне прокси, и в случае мониторинга сети постороннее лицо может получить доступ к информации о посещаемых сайтах.

В этом случае “VPN в виде прокси” сработает намного лучше, поскольку подобная служба захватывает весь трафик с компьютера.

Тем не менее, как анонимный “VPN в виде прокси” , так и анонимный защищенный веб-прокси могут быть достаточно эффективными для скрытия вашего IP-адреса для веб-сайта.

Независимо от того, отвечаете ли вы учителю вашего ребенка или решаете проблему с банком, большинству людей иногда приходится отвечать на личные письма в рабочее время. Вместе с тем, компании всё чаще отслеживают использование электронной почты, интернета и телефонов сотрудниками и используют для этого всё более изощренные инструменты.

Хотя ответ на важное электронное письмо в рабочее время вряд ли приведет к немедленному увольнению в большинстве компаний, такое действие поднимает немало вопросов. Вы нарушаете политику своей компании? За вами следят? Может ли ваш работодатель получить учетные данные вашего аккаунта и использовать для отслеживания вашей переписки, даже если вы не на работе?

Все эти проблемы усложняют поддержание конфиденциальности, и аналогичные проблемы касаются рабочих смартфонов, с ещё более размытыми границами в случае установленных работодателем приложений. Так что вот наши советы помогут вам убедиться, что вы надежно защищаете свою конфиденциальность и не упадёте в грязь перед своим работодателем.

Перечитайте устав компании и правила для сотрудников

Хорошим первым шагом является пересмотр политики использования интернета в вашей компании. Эти правила обычно включают в себя некоторое «словоблудие» о том, что компьютеры и доступ в интернет предоставляются в рабочих целях, а затем упоминается, что компьютеры не должны использоваться для незаконных или противоречащих политики компании целей.

При переходе на новую работу сотрудникам часто требуется подписать целую кучу документов, и мы подозреваем, что немногие обращают большое внимание или даже вспоминают об ограничениях в отношении их конфиденциальности.

Держитесь подальше от сети

Наилучший способ избежать нарушения конфиденциальности на работе, учитывая вышесказанное, – просто не использовать компьютер своего работодателя ни для чего другого, кроме работы в компании. Это сделать довольно просто, хотя и не всегда практично.

Очевидное решение – приносить с обой отдельное устройство для работы и личного общения. У большинства из нас всегда есть свои смартфоны, и отправка электронных писем и телефонных звонков по сотовой сети 4G, хотя и не всегда приватна, по крайней мере позволяет вам обойти ваш рабочий компьютер и сеть.

На некоторых рабочих местах также имеется бесплатный доступ к Wi-Fi, как для посетителей, так и для удобства сотрудников. Обязательно проверьте политику в отношении этого бесплатного доступа, так как он также может контролироваться, как указано выше. Чтобы быть в безопасности, используйте защищенное подключение для передачи данных с вашего телефона.

Кошки и мышки

С помощью надежных программных решений, таких как Time Doctor и ActiveTrak, работодатели могут легко контролировать своих сотрудников по всем видам деятельности в автоматическом режиме. Это может быть захват скриншотов, отслеживание ключевых слов, регистраторы нажатий клавиш, видео с веб-камеры и отслеживание времени. Хотя немного жутко думать о вашем работодателе как о «большом брате», такая практика помогает снизить число преступлений на рабочем месте.

Учитывая, что ваш работодатель, вероятно, имеет достаточную свободу действий, когда дело доходит до наблюдения за вами, мы вновь возвращаемся к рекомендации использовать собственное устройство на работе, и чтобы коммуникации проходили через сеть, отличную от сети работодателя, – в идеале VPN.

Аутсорсинг информации

Другая стратегия – не хранить документы на компьютере вашего работодателя, кроме связанных с работой. В случае личных документов, которые могут быть скопированы с экрана или иным образом отслежены, лучше хранить их на внешнем диске, хотя из-за угроз безопасности работодатели всё чаще отключают порты USB на рабочих компьютерах. Если у вас есть доступ к USB-порту, то внешний диск, такой как флэш-диск, является подходящим местом для ваших данных.

Сделав ещё один шаг, можно использовать флэш-накопитель для запуска портативного браузера, такого как Google Chrome Portable или Firefox Portable. Хотя это не защитит вас от отслеживания, это означает, что вы не будете загружать веб-кеш браузера на компьютер компании.

Opera Portable имеет встроенный VPN для обеспечения безопасности вашего трафика – хотя, хотя это может показаться хорошим решением, поскольку шифруется обмен данными, но это не защищает от кейлоггеров и скриншотеров, к тому же запуска VPN в рабочей сети, скорее всего, является нарушением политики безопасности вашей компании.

Читайте также:

  
• Victoria 2 обзор игры
  
• Что такое сопка в компьютере
  
• Один из видов памяти характеризующийся ограниченным временем хранения информации
  
• Ipod photo cache как просмотреть на компьютере
  
• Где собрать компьютер в пензе