Підвищуємо безпеку віддаленої роботи бізнесу разом із VPN

Віддалена робота виявилася єдиним виходом в умовах спочатку ковідних обмежень, а потім в умовах воєнного стану в Україні. Також віддалена робота змогла створити оптимальний баланс між роботою та особистим життям для багатьох співробітників. При цьому робота вдома викликала серйозний головний біль у тих, хто відповідає за безпеку корпоративної ІТ-інфраструктури. Підприємства можуть мати сотні або тисячі пристроїв кінцевих користувачів, які отримують доступ до даних компанії з віддалених місць або інших країн, що загрожує безліччю вразливостей системі безпеки. Тому питання безпечного доступу за допомогою VPN стає для багатьох компаній сьогодні першочерговим. У період незалежної від розташування роботи використання VPN для віддаленого доступу стало вже передовою практикою, яка гарантує захист корпоративної інформації.

Загрози конфіденційності в Інтернеті

Вразливості для корпоративної безпеки виникають у той час, коли співробітники використовують незахищені мережі Wi-Fi (наприклад, загальнодоступний Wi-Fi у кафе чи бібліотеці) для доступу до своїх корпоративних облікових записів. Будь-які дані, надіслані або отримані при підключенні до загальнодоступної мережі, можуть бути легко перехоплені і, отже, вкрадені кіберзлочинцями. Домашні мережі Wi-Fi також вразливі. Співробітники, які живуть із сусідами по кімнаті або працюють з тимчасового місця проживання, також наражаються на ризик перехоплення їх конфіденційних даних через загальне джерело роздачі мережі.

Види загроз конфіденційності, що існують в Інтернеті:

• Відстеження або шпигунство. Дедалі більше користувачів мережі стурбовані тим, що їх дані збираються, продаються та використовуються для інших цілей, включаючи рекламу. Такі компанії, як Google та Facebook, можуть дозволити собі пропонувати свої послуги безкоштовно, оскільки вони збирають та використовують дані власників своїх облікових записів, щоб зробити свою рекламу більш персоналізованою. Ці компанії відстежують дані користувачів незалежно від розташування та інтернет-провайдера.
• Крадіжка інформації. Конфіденційна фінансова інформація (номери банківських карток та паролі) може бути викрадена з недостатньо захищених мереж. Ризик підвищується при підключенні до загальнодоступної мережі Wi-Fi. Хакери можуть отримати доступ до будь-якого пристрою, підключеного до такої незахищеної мережі.
• Атаки MIM. Атаки типу "людина посередині" (Man-in-the-Middle) включають перехоплення зв'язку між двома пристроями з метою крадіжки інформації. Зловмисник може бути пасивним слухачем у вашій розмові, який непомітно краде якісь відомості, або активним учасником, змінюючи зміст ваших повідомлень або видаючи себе за людину або систему, з якими ви, на вашу думку, розмовляєте.
• Рекламне програмне забезпечення. Ці легальні надбудови до програм, що завантажуються, збирають ваші дані (часто за вашою згодою, оскільки це написано дрібним шрифтом в умовах користувальницької угоди) і використовують цю інформацію в рекламних цілях.

Саме VPN допоможе звести до мінімуму перераховані вище небезпеки для корпоративної та особистої конфіденційності.

Що таке VPN?

VPN створює безпечний тунель між пристроєм і мережею, шифруючи всі надіслані та отримані дані. Для підприємств це створює безпечне з'єднання між інтрамережею та іншими платформами (Gmail, Salesforce або Skуре) з пристроями їх співробітників. Бізнес-VPN дозволяє команді отримувати доступ і використовувати програми та файли на віддаленому офісному сервері, незалежно від їхнього фізичного розташування, захищаючи при цьому цінні дані компанії. Перебуваючи всередині захищеної мережі, не потрібно турбуватися про злом. Однак, якщо мережа відкрита (має незашифроване з'єднання з інтернетом), то будь-хто ззовні може отримати доступ до даних, що передаються.

Сервіси VPN встановлюють пряме з'єднання між користувачем та віддаленим сервером, керованим службою VPN. Потім це з'єднання шифрується, створюючи невидимий інтернет-зв'язок, який з'єднує ваш комп'ютер або гаджет з VPN-сервером. Інтернет-трафік користувача надсилається через цей тунель, маскуючи його справжню IP-адресу. Особисті дані, місцезнаходження, історія відвідування сторінок приховані від кіберзлочинців, мережевих операторів і навіть власного інтернет-провайдера.

Перебуваючи всередині закритої приватної мережі, яка зашифрована, можна так само вільно користуватися всіма можливостями глобальної павутини. VPN забезпечує безпеку з'єднання, і тільки ті, хто має доступ до унікального ключа дешифрування, матимуть до нього доступ. Іншими словами, VPN є ідеальним інструментом для забезпечення конфіденційності корпоративної роботи. Однак, хоча VPN може підвищити конфіденційність в інтернеті, він не контролює всі аспекти безпеки. В ідеалі слід використовувати надійний VPN із додатковими заходами безпеки, такими як брандмауер та антивірусний захист. Одне без іншого залишить дірки у безпеці бізнесу.

Найбільш поширені VPN-протоколи

VPN використовують протоколи тунелювання, які діють як правила для надсилання даних. Вони містять докладні інструкції з упаковки даних та перевірок, які необхідно виконати, коли вони досягнуть місця призначення. Існує кілька основних типів цієї технології: IPseс, SSL/TLS, L2TP, РРТР. Важливо розуміти переваги та недоліки кожного варіанту, оскільки вони безпосередньо впливають на швидкість та безпеку процесу. У різних провайдерів VPN-протоколи теж різні.

IPSec

IPSec використовується для забезпечення безпеки інтернет-комунікацій в IP-мережі. Це протокол тунелювання VPN, який забезпечує безпеку обміну даними шляхом примусової перевірки автентичності сеансу та шифрування пакетів даних. IPSec здійснює подвійне шифрування: зашифроване повідомлення знаходиться в пакеті даних, яке потім знову шифрується. IPSec часто використовується з іншими протоколами для додаткової безпеки. Цей тип VPN працює на мережному рівні моделі OSI, що дозволяє співробітникам отримувати доступ до всієї інформації в корпоративній мережі (включаючи принтери та спільні диски).

Незважаючи на те, що протокол забезпечує надзвичайно широкий діапазон доступу, його встановлення та впровадження пов'язано з деякими витратами для компанії. Як правило, у корпоративній мережі необхідно встановити фізичне обладнання та всі співробітники, яким необхідний віддалений доступ, повинні завантажити та встановити програму на свої пристрої. Також необхідно періодично завантажувати та встановлювати оновлення. Широкий доступ, що надається IPsec, може бути недоліком, оскільки зламаний або викрадений пристрій може дати хакерам повний доступ до корпоративної мережі.

L2TP

Протокол L2TP працює шляхом створення безпечного тунелю між двома точками підключення. Він визначає, як дані повинні передаватися з одного пристрою або мережі на інший. Тунелювання включає перетворення даних в інший формат для захисту. L2TP часто комбінується з іншими протоколами безпеки, найчастіше з IPSec для встановлення високозахищеного з'єднання. У цьому процесі L2TP створює тунель між двома точками підключення L2TP, а протокол IPSec шифрує дані та забезпечує безпеку зв'язку між тунелем.

PPTP

PPTP – це ще один протокол тунелювання, який створює тунель із шифром PPTP. Він використовується з перших днів існування Windows, а також на пристроях Mac та Linux. Однак з моменту створення шифру у 90-х роках обчислювальна потужність збільшилася у геометричній прогресії. Ця технологія досить вразлива для злому і розкриття даних.

SSL та TLS

Протоколи Secure Socket Layer та Transport Layer Security – це той самий стандарт, який використовується для шифрування веб-сторінок HTTPS. Веб-браузер діє як клієнт, а доступ користувача обмежується конкретними програмами, а не всією мережею. Оскільки майже всі браузери оснащені з'єднаннями SSL і TLS, то не потрібно завантаження додаткового програмного забезпечення. Протоколи запускаються через веб-браузер, наприклад Chrome, Firefox або Safari. Більше того, оновлення застосовуються безпосередньо до сервера, що виключає необхідніть встановлення оновлень на рівні пристрою.

Оскільки протокол працює через веб-браузер, підключення до корпоративної мережі обмежено веб-додатками з підтримкою SSL, тому співробітник не зможе отримати віддалений доступ до інших програм, які можуть знадобитися. Таке обмеження може вплинути на продуктивність роботи працівника.

Ризики безпеки VPN сервісу

Технологія VPN, на жаль, не є синонімом повної конфіденційності в Інтернеті. Хоча вони є корисними інструментами при правильному використанні, важливо розуміти деякі потенційні недоліки.

Неповна гарантія безпеки

Навіть якщо ви використовуєте сервіс VPN, не варто нехтувати використанням передових методів інтернет-безпеки. Вони включають заборону на передачу конфіденційної інформації незахищеними мережами, використання складних паролів, що складаються з довгих випадкових комбінацій цифр, літер і символів, використання різних паролів для декількох облікових записів або веб-сайтів.

Неповний захист особистих даних

Хоча VPN може перешкоджати Google відстежувати ваше місцезнаходження, ця технологія не може перешкодити пошуковій системі збирати і використовувати ваші пошукові запити або переглядати історію переглядів в особистому обліковому записі в Chrome або Google.

Порушення безпеки користувача

Основною метою VPN є захист даних користувача. Однак деякі VPN містять помилки, які роблять пристрої вразливими для вірусів та шкідливих програм. Шкідливе ПЗ, що пов'язане з рекламою, є особливо поширеною проблемою для безкоштовних сервісів, доходи яких залежать від реклами. Більшість платних сервісів не мають такої проблеми, оскільки надають вбудовані блокувальники реклами, захист від шкідливих програм та необмежену пропускну спроможність.

Відстеження онлайн-активності

Деякі безкоштовні сервіси VPN інсталюють у своє програмне забезпечення сторонні трекери для збору даних про онлайн активність користувача. Деякі провайдери приховують цю інформацію, інші вказують її у своїй політиці конфіденційності дрібним шрифтом.

Рекламний таргетинг

Незважаючи на ймовірну конфіденційність VPN, люди можуть отримувати цільову рекламу на основі збору даних про дії в мережі. Спливаючі вікна часто зустрічаються у безкоштовних VPN. Ці оголошення не тільки викликають негатив, але й можуть призвести до проблем із продуктивністю пристрою.

Падіння швидкості інтернету

У технології VPN використовується перенаправлення та шифрування, що займає більше часу при обробці інтернет-запиту, оскільки пристрій надсилає та отримує інформацію через інтернет. Це може помітно уповільнити певні дії, такі як надсилання великих файлів або потокове передавання. Цей ефект посилюється для VPN, які відображають рекламу під час використання. Деякі безкоштовні VPN навмисне знижують швидкість інтернету, щоб спонукати користувачів перейти на платний план.

Обмеження трафіку

Безкоштовні VPN часто обмежують дані для користувачів, встановлюючи обмеження в кілька гігабайтів на місяць або за сеанс перегляду або навіть надаючи доступ лише певним веб-сайтам.

Які функції мають бути у VPN для бізнесу?

Мобільні додатки

Кожен VPN сервіс пропонує програмне забезпечення для ПК з Windows, але не всі пропонують мобільні версії. Якщо співробітники компанії використовують у своїй роботі смартфони або планшети, то потрібен VPN-сервіс, що підтримує мобільні платформи. Більшість сервісів мають програми як мінімум для Android та iOS.

Декілька серверів

Щоб приховати дані користувача, VPN використовує шифрування. Це дозволяє використовувати IP-адресу веб-сервера, а не справжню IP-адресу користувача. Тому дуже важливо використовувати сервіс VPN, який має в своєму розпорядженні кілька серверів у різних місцях. Це не тільки підвищує анонімність вашого веб-трафіку та доступ до служб, прив'язаних до розташування, але також забезпечує більш високу продуктивність завдяки тому, що користувачі розподіляються між різними серверами.

Функція вимкнення

Навіть найкраща VPN для бізнесу не є на 100% безпечною і може бути схильна до витоку IP-адрес. Найчастіше це відбувається через перевантаженість служби VPN. Тому важлива наявність вбудованого аварійного вимикача, який відключає передачу даних у разі збою з'єднання. Багато аварійних вимикачів за замовчуванням відключені, тому іноді потрібно увійти в налаштування та включити їх.

Анонімні DNS-сервери

При введенні адреси в адресний рядок веб-браузера він перетворюється на IP-адресу, яку інтернет використовує для направлення трафіку. Цей процес називається роздільною здатністю системи доменних імен (DNS) і зазвичай виконується за замовчуванням через інтернет-провайдера користувача. Оскільки метою VPN є конфіденційність, вона також повинна захищати вашу компанію під час перетворення DNS, зберігаючи дані подалі від інтернет-провайдера. Тому для корпоративної безпеки дуже важливо, щоб VPN використовував власний анонімний DNS.

Політика відсутності логів

VPN-сервіси часто відрізняються своєю політикою ведення журналів. Однак для бізнесу важливим є відсутність таких журналів, щоб служба не зберігала жодної інформації про дії компанії в інтернеті. Деякі VPN-сервіси можуть зберігати певні дані протягом декількох місяців, а потім видаляти.

Таким чином, VPN-сервіс може бути вирішенням проблем конфіденційності даних для бізнесу, що зберігає особливо конфіденційну інформацію. Це дозволить надавати віддаленим співробітникам доступ до захищеної інформації без небезпеки витоку корпоративних даних. Проте, серед безлічі сучасних VPN-сервісів важливо вибрати саме той, який буде відповідати вимогам і рівню конфіденційності компанії.