Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru |
Как безопасно работать с фрилансерами | Блог Касперского
Советы по информационной безопасности для компаний, которые часто работают с фрилансерами.
Работа с фрилансерами давно стала повседневной рутиной для многих менеджеров. Даже в крупной организации далеко не все задачи можно решить внутри коллектива, а в малом бизнесе и подавно нанять в штат дополнительного сотрудника бывает крайне непросто. Но подключение к рабочему процессу абсолютно постороннего человека может привнести дополнительные риски, особенно в случае, когда отношения с исполнителями ведутся напрямую, без агентства-посредника.
Входящая почта
Начинать подстраховываться следует еще на этапе поиска исполнителя. Вряд ли кто-то будет нанимать сотрудника, не ознакомившись с примерами выполненных им проектов. Фрилансер может прислать документ, архив с работами, ссылку на сторонний сайт, и человек, который занимается поиском работника, будет вынужден перейти по ссылке или открыть файл.
А ведь по факту в файле или на сайте может находиться что угодно. Уязвимости для браузеров и офисных пакетов находят с завидной регулярностью. Злоумышленникам неоднократно удавалось захватывать контроль над компьютерами жертвы, встроив вредоносный скрипт в текстовый документ или же разместив эксплойт на сайте. Но иногда и такие уловки могут не понадобиться: некоторые сотрудники готовы запустить и присланный исполняемый файл, не глядя на расширение.
Не стоит забывать и о том, что злоумышленник может прислать абсолютно нормальное портфолио (не обязательно со своими работами), а вредоносный файл выслать уже в качестве результата конкретной задачи. Кроме того, нельзя исключить, что кто-то попытается захватить контроль над устройством или почтовым ящиком фрилансера для атаки на вашу компанию. Ведь никто не знает, как защищена его машина; ваша служба безопасности никак не контролирует происходящее на ней. Так что не стоит считать доверенными файлы, пришедшие даже от фрилансеров, с которыми вы работаете годами.
Меры предосторожности
При необходимости работы с документами извне компании самое важное — соблюдать цифровую гигиену. Все сотрудники должны знать об актуальных опасностях, так что время от времени следует повышать их уровень осведомленности о киберугрозах. Кроме того, мы можем дать несколько практических советов:
- Установите правила приема документов, четко пропишите их при поиске фрилансера и не открывайте файлы, если они не соответствуют этим правилам. Самораспаковывающийся архив? Нет, спасибо. Архив с паролем, который указан в том же письме? Это может быть нужно только для обхода почтовых фильтров.
- Выделите для работы с файлами из внешних источников отдельный компьютер, изолированный от остальной сети, или же виртуальную машину. Так вы сможете серьезно уменьшить потенциальный ущерб в случае заражения — пострадают только ваши данные, а не вся компания целиком.
- Обязательно установите защитное решение, которое сможет заблокировать эксплуатацию уязвимостей или переход по ссылке на вредоносный веб-сайт.
Права доступа
Предположим, что исполнитель найден. Для совместной работы над проектом внештатных работников часто подключают к цифровым системам компании: средству обмена файлами, системе управления проектами, сервису для конференц-связи, внутреннему мессенджеру, облачным сервисам и так далее. И тут надо не допустить две ошибки — не предоставить фрилансеру лишних прав и не забыть отозвать доступы после окончания работы.
Что касается предоставления прав, то тут лучше всего руководствоваться принципом минимальных привилегий. У фрилансера должен быть доступ только к тем ресурсам, которые нужны непосредственно для текущего проекта. Неограниченный доступ к файловому хранилищу или даже к истории чата с другими фрилансерами может представлять угрозу. Не стоит недооценивать информацию, хранящуюся даже во второстепенных сервисах. Известный взлом соцсети Twitter в 2020 году, по данным СМИ, начался с проникновения злоумышленников в чат организации. А уже там при помощи методов социальной инженерии они смогли убедить сотрудника компании предоставить им доступ к десяткам аккаунтов.
Отзыв прав после окончания проекта — тоже не пустая формальность. Речь даже идет не о том, что, выполнив работу, фрилансер начнет взламывать вашу систему управления проектами. Играет роль простое наличие аккаунта с доступом к данным в системе. Вдруг при регистрации он установил ненадежный пароль или использовал пароль повторно? В случае утечки вы получаете уязвимую точку в вашей корпоративной сети.
Меры предосторожности
Самое главное — удалить или деактивировать учетную запись фрилансера после окончания трудовых отношений. Или сменить на ней привязанную почту и пароль — такое может потребоваться в системах, которые вместе с учеткой удаляют все связанные с ней данные, а они могут понадобиться позже. Кроме того, мы рекомендуем:
- Вести централизованный учет, кому и к каким сервисам предоставлен доступ. С одной стороны, это поможет вам отозвать все права после окончания проекта, а с другой — может оказаться полезным при расследовании инцидента.
- Требовать от подрядчиков соблюдения цифровой гигиены и использования защитных решений (хотя бы бесплатных) на машинах, с которых они подключаются к ресурсам компании.
- Сделать обязательным использование двухфакторной авторизации во всех облачных системах, где это возможно.
- По возможности — завести для подрядчика отдельную инфраструктуру для ведения задач и обмена файлами.
- Сканировать все файлы, загружаемые в облачное хранилище или на корпоративный сервер на предмет наличия зловредов.
Источник: Лаборатория Касперского
05.02.2022