VPN используют не только для доступа к заблокированным ресурсам – зачастую с его помощью компании обеспечивают доступ к своей сети сотрудникам, работающим удаленно. И это может создать проблемы и риски совершенно другого уровня, которые грозят не одному пользователю, а целой компании, считает Артем Геллер, эксперт комиссии по развитию информационного общества в Совете Федерации, главный разработчик сайта Kremlin.ru, генеральный директор студии lab.AG:
«Любой VPN, даже платный, может быть ненадежным: судя по количеству утечек, это уже считается аксиомой. В основном от них страдают конкретные пользователи, чьи пароли, номера телефонов и адреса электронной почты становятся достоянием интернет-общественности, а зачастую и мошенников.
Первое, что стоит вспомнить руководителям компаний: большинство пользователей являются администраторами на своих ПК, и не создают отдельный аккаунт с ограниченными правами для рабочих целей. Это делает компьютер более уязвимым к вредоносному программному обеспечению, которому для проникновения в систему как раз и требуются права администратора. И чем старше установленная ОС, тем хуже.
Если компьютером пользуются несколько членов семьи, даже под разными профилями, то у злоумышленника может появиться еще один вектор атаки, основанный на сохранении профилей в памяти при переключении между ними. Как итог – скачанный ребенком подозрительный файл может стать причиной утечек данных как всей семьи, так и организации, в которой работают мама или папа.
Помимо этого, работодатель не может обеспечивать безопасность компьютера пользователя круглосуточно и быть на 100 % уверенным в том, что защитное ПО установлено и работает как положено. Если с безопасностью есть проблемы, то для нанесения вреда организации злоумышленнику даже не нужно проникать в сеть компании – он сможет получить все интересующие его данные через перехват экрана или нажатий клавиатуры. Но даже то, что на компьютере установлен антивирус, не дает гарантий. Во-первых, нужно гарантировать, что он будет регулярно обновляться. Во-вторых, он может быть неэффективен против целевых атак, для которых нужны решения совершенно другого класса, так называемые Endpoint Detection & Response (EDR).
В целом, можно однозначно сказать, что использовать VPN для удаленного доступа сотрудников к рабочей сети достаточно сомнительно и рискованно. Тем не менее, альтернатив VPN достаточно. К примеру, существуют специальные программы для удаленного доступа, которые не требуют VPN для подключения. Еще один вариант – ограничить работу вне офиса. Также можно заменить стационарные компьютеры организации ноутбуками – на рабочем месте их можно подключить к монитору, мыши и клавиатуре, а при необходимости легко забрать домой. Да, скорее всего, это потребует затрат, но несравнимых с тем ущербом, который может нанести использование VPN».
Фото: РИА Новости/Максим Блинов