В нынешнее время тяжело представить компанию, в которой не использовалась бы беспроводная сеть для подключения ноутбуков, планшетов и смартфонов в целях предоставления доступа к ресурсам компании и сети Интернет. Практически вся современная офисная техника поддерживает беспроводное подключение к сети. Никого уже не удивишь принтером с возможностью печати через Wi-Fi или IP-телефоном, работающим по беспроводной сети.

Беспроводная уязвимость

К сожалению, при всем комфорте использования беспроводных сетей в бизнесе существует высокий риск их уязвимости. Использование уязвимых протоколов шифрования беспроводной передачи данных может позволить злоумышленникам получить доступ к сети предприятия и, как следствие, к информации на компьютерах сотрудников или файловых серверах.

Поскольку большинство юридических компаний обслуживаются на IT-аутсорсе и все работы по установке и настройке компьютерных сетей производит, как правило, «знакомый айтишник» или аутсорсинговая компания, необходимо учитывать следующие требования при установке беспроводной сети в офисе:

— беспроводная сеть должна использовать устойчивый к взлому метод шифрования. На сегодня технология WPA2 считается наиболее эффективной;

— пароли на беспроводную сеть должны быть устойчивыми к подбору, индивидуальными для каждого сотрудника и регулярно меняться. Для этого используется специальное программное обеспечение, интегрированное с контроллером домена компании, — RADIUS-сервер (Remote Authentication in Dial-In User Service) — сервер для реализации аутентификации и авторизации. RADIUS-сервер дает возможность клиенту и беспроводной точке доступа генерировать и обмениваться ключами шифрования, созданными только для текущей сессии устройства, а также позволяет использовать метод аутентификации EAP-TLS, где доступ к беспроводной сети можно предоставлять только при наличии соответствующего цифрового сертификата на компьютере пользователя;

— доступ к корпоративным ресурсам с личных устройств сотрудников в рамках организации концепции BYOD (Bring Your Own Device) необходимо осуществлять через выделенную беспроводную сеть с использованием контролера управления доступом к Wi-Fi. Для обеспечения требуемого уровня защищенности необходимо дополнительно использовать решения MAM (Mobile Application Management) и MDM (Mobile Device Management);

— беспроводной доступ к Интернету клиентам и гостям компании должен предоставляться по выделенному каналу, полностью изолированному от корпоративной компьютерной сети. В первую очередь это необходимо для того, чтобы уберечь устройства в корпоративной сети от распространения вирусов, принесенных на сторонних устройствах, а иногда и просто не дать возможность гостю видеть подключенные устройства и открытые ресурсы в вашей сети;

— гостевая беспроводная сеть в случае изоляции от корпоративной сети, хоть и не несет угрозы для корпоративных ресурсов, тем не менее должна быть контролируема и защищена. Защита гостевой беспроводной сети — это в первую очередь беспокойство за безопасность данных ваших клиентов и гостей.

В юридической компании AstapovLawyers гостевой доступ к беспроводной сети организован с использованием Wi-Fi-контроллера, который отвечает за регистрацию пользователей в беспроводной сети. Гостевой доступ предоставляется по одноразовому паролю на ограниченный период времени. По истечении срока действия пароля доступ закрывается. Сами пароли предоставлены гостям в виде скретч-карт. Такой подход делает невозможным повторное использование одного и того же пароля несколько раз, что тем самым снижает риски от атак типа bruteforce на беспроводную сеть, а также обеспечивает защиту беспроводной сети от случайных подключений или использования в личных целях вашими соседями в бизнес-центре.

Однако надежная защита беспроводной сети компании — это лишь часть мер, необходимых для обеспечения информационной безопасности в юридической компании в аспекте защиты и передачи конфиденциальной информации. Работа юриста часто связана с командировками и встречами за пределами офиса, поэтому доступ к данным через открытую беспроводную сеть с рабочего компьютера также должен быть защищен.

Общедоступные сети

Необходимо соблюдать осторожность, если вы выходите в Интернет с помощью открытой сети в кафе или гостинице. При подключении через общедоступную Wi-Fi-сеть практически любой желающий может отследить информацию, которой обменивается ваш компьютер и беспроводная точка доступа. Не пользуйтесь платежными системами и другими важными сервисами при работе с таким соединением. Если все же вам необходимо передать пакет конфиденциальных документов по сети или воспользоваться интернет-банкингом, для этого рекомендуется использовать шифрованные виртуальные каналы передачи данных — VPN. Конфиденциальную почтовую переписку желательно производить с использованием симметрического метода шифрования по протоколу PGP. Практически все современные почтовые клиенты, включая веб-доступ к почте, поддерживают возможность использования шифрования почты по протоколу PGP.

Старайтесь также защитить используемые веб-ресурсы методами двухфакторной аутентификации, в случае компрометации вашего пароля злоумышленник не сможет получить доступ к ресурсу, не зная уникального ключа-доступа, который автоматически генерируется системой двухфакторной аутентификации и отправляется в виде SMS или Popup-сообщения реальному пользователю на мобильный телефон. Методы внедрения двухфакторной аутентификации на корпоративные ресурсы предлагают продукты: SMS PASSCODE®, ESET Secure Authentication и другие. Двухфакторная аутентификация также широко используется в online-продуктах: Microsoft, Google, Dropbox, Facebook.

Соблюдению безопасности и защиты конфиденциальной информации при использовании беспроводных сетей нужно уделять особое внимание. Помимо описанных методов защиты и работы в открытых Wi-Fi-сетях, необходимо побеспокоиться об актуальности обновлений операционной системы, программного обеспечения типа Adobe, Java и антивирусного программного обеспечения вашего компьютера, планшета и смартфона. Рекомендуется закрыть общий доступ к папкам и файлам на компьютере при работе в открытых беспроводных сетях, если не хотите, чтобы фотографии из отпуска или недавно отсканированный документ стали достоянием общественности.

Беспроводная сеть имеет большой радиус действия, поэтому злоумышленник имеет возможность совершать перехват информации или атаку на сеть компании на безопасном расстоянии без вашего ведома. К сожалению, полностью избавиться от угроз безопасности в беспроводных сетях можно только лишь не пользуясь беспроводными сетями. Несмотря на это, существует множество способов предотвращения вторжений и защиты беспроводных сетей, которые при правильном и своевременном использовании позволяют достичь высокого уровня безопасности.

САМКО Владислав — руководитель IT-отдела МЮГ AstapovLawyers, г. Киев