Telia советует: правильные настройки офисных программ укрепляют безопасность 90% компаний
Хотя Google Workspace и Microsoft 365 являются распространенными инструментами для совместной работы и обмена файлами, нельзя забывать, что их безопасное использование начинается с правильных настроек. Архитектор решений кибербезопасности Telia выделил шесть самых распространенных угроз и проблем с настройками, на которые следует обязательно обращать внимание при использовании офисного программного обеспечения.
Компания Telia провела среди своих бизнес-клиентов аудит настроек облачных сред Microsoft 365 и Google Workspace. Выяснилось, что в среднем 45% настроек, сделанных самими предприятиями, нуждаются в улучшении, а 10% текущих настроек представляют потенциальную угрозу для данных предприятия.
«Хотя Google Workspace и Microsoft 365 делают работу более плавной, перед началом использования следует обязательно пересмотреть настройки по умолчанию, чтобы избежать риска утечки данных», — подчеркнул архитектор решений кибербезопасности Telia Матис Пальм. По его словам, можно выделить шесть наиболее распространенных угроз и ошибок в настройках, о которых компании зачастую не догадываются или не умеют правильно настроить – хотя это сделать совсем несложно.
Слишком свободный доступ к файлам, раздаваемым через Google Drive и OneDrive, и отсутствие ограничений на их распространение
Пример из повседневной жизни: Сотрудник делится файлом по ссылке, при этом настройки по умолчанию обеспечивают доступ всем, у кого есть ссылка – в том числе посторонним. Это может привести к утечке данных, нарушению требований по защите информации и угрозе репутации компании.
«Сотрудник часто не имеет представления о том, кто получает доступ к файлам и что с ними происходит. Поэтому рекомендуется устанавливать срок действия для расшариваемых ссылок, использовать процессы подтверждения при внешнем обмене или отдельные сайты OneDrive/SharePoint, а также ограничивать доступ только для пользователей внутри компании», — объяснил Пальм.
Отсутствие защиты в Gmail или Outlook (Exchange Online)
Пример из повседневной жизни: Сотрудник получает письмо якобы от своего руководителя с просьбой срочно оплатить счет. Не заметив, что это не настоящий рабочий аккаунт начальника, он спешно выполняет перевод.
«Это была фишинговая атака, отправитель использовал искусно подделанный адрес, и система электронной почты не смогла это обнаружить», — пояснил Пальм. Чтобы избежать подобных ситуаций, следует использовать фильтры против спама и мошенничества – например, Microsoft Defender for Office 365 Plan 1 или лицензию Business Premium.
Кроме того, работодателю стоит инвестировать в повышение осведомленности сотрудников, используя интерактивные обучающие платформы, которые помогают распознавать подозрительные письма и потенциальные мошеннические схемы. Например, стоит обучать применять принцип «четырех глаз» при обсуждении изменения платежных реквизитов и подтверждать важные изменения по альтернативному каналу, например по телефону.
Все (включая бывших сотрудников) имеют права администратора
Пример из повседневной жизни: ИТ-отдел компании идет по пути наименьшего сопротивления и предоставляет всем пользователям платформы максимальные права как в облаке, так и на рабочих компьютерах. При этом в компании отсутствует корректный процесс по работе с аккаунтами бывших сотрудников.
Архитектор решений кибербезопасности Telia подчеркнул важность принципа «минимальных привилегий» (Least Privilege): каждому сотруднику должны предоставляться только те права доступа, которые необходимы для выполнения его конкретных задач. Все права должны быть привязаны к документированному профилю, на основании которого они временно активируются и по завершении работы удаляются.
Администраторские права должны быть только у избранных пользователей, с обязательным применением многофакторной аутентификации и желательно физического ключа (например, YubiKey или TitanKey). Также важно, чтобы в компании существовал четкий процесс по удалению прав бывших сотрудников, чтобы предотвратить недобросовестные действия после завершения трудовых отношений.
Рабочие файлы можно сохранять на любые устройства
Пример из повседневной жизни: Сотрудник сохраняет критически важные документы на личный телефон и рабочий ноутбук, который во время отпуска крадут. У компании нет информации о сохраненных данных и нет возможности управлять устройствами или удалить данные. Такая ситуация стала возможной, поскольку не было ограничено, с каких устройств можно получать доступ к среде Microsoft 365, и не были установлены правила хранения файлов.
«Доступ к конфиденциальным данным должен быть разрешен только с безопасных устройств, находящихся под контролем компании. Для этого следует использовать программы для управления устройствами, например Microsoft Intune или Miradore Online Premium», — посоветовал Пальм. Также он рекомендует устанавливать технические меры защиты, позволяющие при необходимости удаленно стереть данные с утерянных устройств и ограничить использование на рабочих компьютерах USB-накопителей.
В Teams и Google Chat отсутствуют ограничения
Пример из повседневной жизни: Внешнему партнеру, добавленному в канал Teams компании, предоставляется доступ ко всей коммуникации и файлам команды, включая не связанную с ним конфиденциальную информацию. Партнер был добавлен временно для участия в проекте, но не были установлены четкие ограничения и правила управления правами «гостевых» пользователей. Поскольку Teams связан с другими инструментами обмена документами и заметками (например, OneDrive, Google Drive), последствия могут быть значительными.
«Компаниям следует разрешать внешним партнерам доступ только к конкретным проектам и точно ограничивать, что они могут видеть и делать. Кроме того, важно обучать сотрудников пользоваться правами, возможностями и мерами безопасности Teams, чтобы избежать рисков для информационной безопасности», — подчеркнул Пальм.
Сигналы тревоги отключены и/или за ними никто не следит
Пример из повседневной жизни: После утечки данных от одного из поставщиков в даркнете оказываются имена пользователей и пароли аккаунтов пяти сотрудников компании. С их помощью происходит вход в систему предприятия с другого конца света, но никто этого не замечает – отсутствует уведомление об угрозе, а многофакторная аутентификация не включена.
«Мониторинг входов в систему и сигналов тревоги безопасности всегда должен быть активен. Также следует регулярно отслеживать сигналы тревоги на портале безопасности Microsoft, где можно получить информацию о том, кто, откуда и когда входил в систему, – сказал Пальм. – Рекомендуется также внедрить политику Conditional Access, чтобы получать уведомления о подозрительных авторизациях – например, из неизвестных локаций или устройств, не находящихся под контролем компании».
Пальм подчеркнул, что при использовании Google Workspace и Microsoft 365 нельзя полагаться на излишний комфорт: руководство компании или ИТ-отдел должны регулярно отслеживать, как именно распределяются права доступа между сотрудниками, как расшариваются файлы, и существуют ли ответственные лица и процессы для мониторинга различных инцидентов в области безопасности.
.
