Доступ к Web-ресурсам: проблемы контроля

Николай Зенин
эксперт в области защиты коммерческих тайн

Что самое важное для решения задачи контроля доступа в Интернет - это выполнение разработчиками постоянного анализа и категорирования Web-ресурсов. Они сформировали и поддерживают свои базы фильтрации, в которых перечислены миллионы сайтов, каждому из которых присвоена репутация и одна из целевых категорий, соответствующих предназначению сайта.

ДОСТУП в Интернет предоставляет своим сотрудникам практически каждая коммерческая компания. Руководители предприятий понимают, что сотрудники могут не только выполнять свои служебные обязанности, но и подвергать компанию одному или нескольким рискам:

• сбои в работе в результате заражения вирусами от неблагонадежных или взломанных сайтов;
• задержки в коммуникациях в часы пик в связи с перегрузкой каналов связи;
• утечка коммерческой тайны через каналы Интернета;
• снижение производительности сотрудников в связи с нецелевым расходованием рабочего времени.

В западных компаниях возникают еще и риски юридической ответственности за предоставление сотрудникам неподобающего контента вместе с Интернетом.

Источниками угроз являются как внешний мир, так и собственные сотрудники. Каждый день появляются новые вредоносные сайты, а подверженные атакам популярные сайты периодически оказываются зараженными.

Кому не приходилось ошибиться при вводе адреса в окошке своего браузера? Достаточно перепутать одну букву, и вы попадаете на страницу сомнительного содержания! Более 80% из сотен миллионов существующих Web-сайтов являются спамерскими, фишин-говыми, сайтами-однодневками или недостойного содержания. Многие пользователи Web-ресурсов не в состоянии проконтролировать свое поведение в Интернете. Помимо "Одноклассников", которые втягивают нас в свои социальные сети, есть масса других интересных и, как кажется, важных ресурсов, в которых может найти свой мир человек любой ментальности (онлайн-покупки, Интернет-радио, видеоклипы, развивающие программы). Интернет стал для своих активных пользователей привлекательнее, чем телевидение, - он "отъедает" ценные часы, в том числе часы рабочего времени.

Рекомендации

Как же помочь своим сотрудникам не попасться на удочку "поглотителя душ"? Управление доступом в Интернет ничем не отличается от управления другими корпоративными ресурсами.

Необходимо признать, что сотрудники будут злоупотреблять доступом к Web-ресурсам, если им это позволено. Наиболее полноценное противодействие злоупотреблениям обеспечит комплекс организационных и технических мер:

• разработать частную политику (концепцию) использования Web-ресурсов, составить матрицу доступа1;
• обучить (проинформировать) пользователей аккуратному использованию ресурсов;
• развернуть технические средства управления доступом к Web-ресурсам;
• обеспечить контроль соблюдения политики пользователями.

Любая из перечисленных мер способна обеспечить свою часть результата. Например, пользователи, предупрежденные о принятых в компании границах использования Web-ресурсов, будут первое время аккуратнее следить за своим рабочим временем. Дисциплина повысится, если обеспечить хотя бы минимальные контрольные меры (например, еженедельно предоставлять сотруднику и его руководителю персональный отчет о распределении израсходованного трафика).

Проблемы контроля

Прежде чем перейти к описанию технологии фильтрации трафика, рассмотрим типичные препятствия при обеспечении комплекса организационно-технических мер.

• Центры ответственности. За контроль посещения пользователями Web-ресурсов начиная с 1996 г. в компаниях традиционно отвечают системные администраторы. Служба безопасности ответственна за контроль утечек коммерческой тайны. Разные подразделения отвечают за общий уровень трудовой дисциплины, а в результате за обеспечение комплекса мер по эксплуатации Web-ресурсов не несет ответственности ни один из департаментов компании.
• Возможен саботаж. Подразделение компании, владеющее матрицей доступа, имеет определенный уровень власти над разрешением/запрещением рядовым пользователям доступа. Сотрудники с недоверием относятся к любой дискриминации, в том числе к лишению возможности общаться в "Одноклассниках". Поэтому матрицу доступа придется держать в секрете  от  собственных  сотрудников.
• Кнут не заменит пряник. Если техническими мерами только оградить пользователя от привычных для него Web-ресурсов, это не повысит автоматически  производительность. Обиженный сотрудник найдет для себя другое занятие, не относящееся к основной деятельности. Необходимы стимулирующие меры, например награждение выдающихся сотрудников курсами повышения квалификации, оплаченными компанией.
• Вовлечение  юридического департамента. Кадровая и юридическая службы компании обычно без восторга принимают новые процедуры, в том числе подписание дополнительных соглашений к трудовому договору (регламент использования сети Интернет).
• Постоянное изменение сети Интернет. Для обеспечения мер защиты недостаточно составить список разрешенных и запрещенных Web-ресурсов. Для корректного отслеживания изменений потребуется целый институт либо ежедневно обновляемый программный продукт.

Перечисленные затруднения создают дополнительные требования к техническим системам: быть адаптивными к меняющемуся миру, уметь не только разрешать/блокировать доступ, но и вежливо напоминать сотрудникам о превышении лимита или небезопасности посещаемых ресурсов. У системы должно быть "человеческое лицо".

Технологические решения

Штатные средства

В отсутствии специализированных систем контролировать доступ к определенным Web-ресурсам можно и средствами прокси-сервера, который используется в каждой компании. В таком случае системным администраторам придется вести достаточно большой перечень посещаемых Web-сайтов (анализировать, категорировать, настраивать доступ). Часть компаний разрешает своим сотрудникам все Web-ресурсы, кроме небольшого перечня (100-1000) сайтов, пользующихся популярностью. Другие, редкие, компании пошли на более жесткие меры, запретив доступ ко всем Web-ресурсам, кроме нескольких сотен сайтов, необходимых для бизнеса.

Коммерческие продукты Web-фильтрации

Как становится понятно, типовую задачу постоянного категорирования миллионов Web-сайтов было бы очень выгодно переложить на плечи разработчика средств контроля доступа в Интернет. Сейчас мы имеем достаточно представительный выбор решений, нацеленных на снижение рисков, перечисленных в начале статьи.

Большая часть решений прекрасно справляется с задачей выявления небезопасных Web-сайтов, случайно посещаемых пользователями, эти решения способны обеспечить высокую пропускную способность каналов связи через управление приоритетами. Некоторые способны препятствовать передаче конфиденциальной информации через Интернет.

Что самое важное для решения задачи контроля доступа в Интернет - это выполнение разработчиками постоянного анализа и категорирования Web-ресурсов. Они сформировали и поддерживают свои базы фильтрации, в которых перечислены миллионы сайтов, каждому из которых присвоена репутация и одна из целевых категорий, соответствующих предназначению сайта. Например: новостные, поисковые порталы, Web-почта, сайты, посвященные информационным технологиям, социальные сети, сайты-анонимайзеры. Если сайт содержит в себе несколько категорий (например, www.yandex, ru, mail.yandex.ru, news.yan-dex.ru), каждой группе Web-страниц присваивается своя категория в базе фильтрации.

Такие решения приспособлены к встраиванию в любую существующую инфраструктуру компании, автоматизируют процессы управления доступом пользователей в Интернет, предоставляют удобные инструменты формирования отчетов о суммарном целевом/нецелевом использовании Web-ресурсов.

Свободно распространяемые базы

Аналогичные отечественные решения представляют собой пополняемые базы Web-адресов, нежелательных к посещению сотрудниками. Актуальность баз поддерживает сообщество разработчиков. Такие базы решают задачу системного администратора по ограничению нежелательного доступа к известным нецелевым (не помогающим выполнять служебные обязанности) сайтам. Преимущество таких решений в том, что учитываются особенности Рунета. Недостатки: необходимость ручного ввода и выверки баз при их вводе в настройки прокси-сервера.

Эффективность систем Web-фильтрации

Финансовая отдача от коммерческих систем Web-фильтрации заключается в возможном сокращении непродуктивного использования рабочего времени сотрудников во время произвольного серфинга по ресурсам Интернета. Если среднемесячная зарплата офисного работника составляет $1500, то серфинг в течение 10 часов в неделю обходится компании в $4500 за год (учитывая только зарплату одного сотрудника без прочих расходов и вычетов). Понятно, что любое решение Web-фильтрации обходится компании в сотни раз дешевле.

Кроме того, компания получает выгоды от сэкономленного времени работы системных администраторов на восстановление после сбоев, так как количество проникающих из Интернета угроз и заражений резко снижается после внедрения системы.