10 декабря 2015

Не бойтесь темноты: подводные камни смарт-офиса

Бизнес

Трудно не заметить, что современное офисное помещение — уже не просто здание с окнами, столами и потолком. В результате широкого распространения различных систем автоматизации сам по себе офис, по существу, превратился в огромный кибернетический организм. Всевозможные инженерные и логистические решения, датчики и контроллеры охватывают технологии, обеспечивающие контроль доступа, видеонаблюдение, климат-контроль, водоснабжение, освещение, пожаротушение, управление лифта и т.д.

Эта же система может также в какой-то степени контролировать информационные и коммуникационные технологии, следить за состоянием каналов связи, ограничивать доступ сотрудников к нежелательным интернет-ресурсам и блокировать загрузку файлов по размеру и типу.

Все эти решения, датчики и контроллеры связаны вместе в сложную телекоммуникационную сеть, которая имеет единый центр управления — сервер или любой современный компьютер со специализированным программным обеспечением, поддерживающим все соответствующие протоколы.

Эти системы предназначены для создания и поддержания комфортных условий труда для сотрудников компании, а также обеспечения более централизованного и менее сложного процесса управления этими технологиями. Эти системы также призваны повысить эффективность. Например, заблаговременное выявление утечки газа или воды датчиками системы может существенно сократить расходы компании.

main1

Исследование, проведённое Allied Market Research, показало стремительный рост и развитие рынка интеллектуальных офисных систем. Маркетинговая компания прогнозирует, что данный рынок вырастет на 29,5% к 2020 году и достигнет объема в $35,3 миллиарда. Это означает, что всё больше офисных зданий будет возводится на основе этих принципов.

Но приходилось ли вам оценивать смарт-офис с точки зрения ИТ-безопасности? Приходило ли вам в голову, что за счет оснащения офиса устройствами, призванными обеспечить комфортную жизнь, злоумышленники обзавелись ещё большими возможностями для получения доступа к вашей корпоративной информации и даже для нанесения физического вреда?

В данном контексте не имеет никакого значения, арендуете ли вы смарт-офис, или сами владеете таким зданием. Кстати, размер вашей фирмы и её сфера деятельности тоже не имеют значения, потому что ваша компания может представлять интерес для киберпреступников как сама по себе, так и в качестве плацдарма для нападения на ваших партнеров.

А всё потому, что телекоммуникационная сеть, используемая системой, не только является ключевым элементом, существенным для её функционирования, но и выступает также в качестве слабого звена. Сеть используется для всех коммуникаций между командным центром и конечными устройствами. Она может использовать как проводные, так и беспроводные технологии (наподобие Wi-Fi и Bluetooth). Более того, сам по себе центральный компьютер может быть подключен к интернету для облегчения функций управления.

Для киберпреступников это основная цель, поскольку доступ к командному центру или корпоративной сети позволяет им взять под свой контроль всю систему.

Например, после получения доступа к сети злоумышленники могут контролировать работу офиса с помощью системы видеонаблюдения и будут даже способны видеть информацию на мониторах сотрудников. Воспользовавшись уязвимостями системы контроля доступа, в преступники могут проникнуть в здание под видом сотрудников, не привлекая ничьего внимания. В конце концов, служба безопасности необязательно знает всех сотрудников в лицо. Перехват контроля за прочими системами жизнеобеспечения может серьёзно подорвать экосистему офиса, вплоть до полного саботажа рабочего процесса. Это может привести к простою, просроченным задачам, повреждению имущества и другим финансовым потерям.

Вот почему обязателен многоуровневый, комплексный подход к ИТ-безопасности. Важно, чтобы безопасность не ограничивалась защитой корпоративных ресурсов внутри с помощью решений ИТ-безопасности на конечных точках сотрудников. Решающее значение имеет обеспечение надёжной защиты всех элементов интеллектуальной системы управления зданием, так или иначе подключённых к вашей корпоративной системе.

Мы рекомендуем следующий подход к обеспечению надёжной защиты систем вашей компании:

  • Комплексный аудит ИТ-безопасности поможет выявить все слабые места в сети компании.
  • Разработка модели угроз позволит вам создать подробную карту потенциальных векторов атаки.
  • Реализация специализированного, поможет обеспечить защиту всех узлов корпоративной сети, в том числе противодействие интернет-угрозам, шифрование данных на конечных точках, защиту мобильных устройств, почтового сервера и систем хранения данных, серверов совместной работы, и антивирусных баз и т.д.
  • Обучение персонала принципам ИТ-безопасности и работы с офисной системой, а также правилам поведения в критических ситуациях поможет уменьшить шансы злоумышленников получить доступ к вашим данным с помощью социальной инженерии.

Подробная информация об этих продуктах и решениях доступна по вышеприведённым ссылкам.