Производство, терминология, безопасность

Цифровой комфорт

Статья в новом номере "Панорамы КТК" посвящена работе Группы ИТ в период пандемии

Работа в удаленном доступе 80% сотрудников КТК стала пиком нагрузки на цифровые ресурсы компании и серьезным испытанием для персонала. Как обеспечивалась надежность информационных систем, доступ к ним и поддержка пользователей – рассказывают представители  Группы ИТ Консорциума

Каспийский Трубопроводный Консорциум входит в группу стратегически важных организаций ТЭК, чья деятельность в период пандемии не могла останавливаться. Работали все объекты нефтепровода, Морской терминал в Новороссийске круглосуточно обеспечивал отгрузку нефти. Финансовая, налоговая, социальная деятельность компании также не были законсервированы.  

При выводе 80% сотрудников КТК на удаленный режим работы стабильность и бесперебойность производственных процессов компании помогли обеспечить цифровые технологии. Одна из них – система терминального доступа из дома к рабочему месту в офисе – давала возможность воспользоваться всеми ресурсами и сервисами общего информационного пространства компании для полноценной работы всех ее служб и подразделений. 

- Заблаговременно до начала карантина мы начали тестирование программного продукта, предоставляющего защищенный удаленный доступ к внутренним корпоративным ресурсам, - говорит менеджер Группы ИТ Илья Старков. – Подобных решений много, но мы руководствовались в выборе тремя факторами: безопасность, удобство пользования и возможность сохранения привычного режима работы с обеспечением доступа ко всем ресурсам. 

Благодаря терминальному доступу, который предоставлялся по согласованию с руководителями Департаментов КТК, сотрудник получал на домашнем компьютере полный функционал своего рабочего места в офисе. Главным удобством пользования было то, что подключение не требовало предварительного обучения при условии соблюдения инструкций, предоставляемых Группой ИТ.  

- Примененная нами схема удаленного подключения из дома сохраняла достаточный уровень информационной безопасности, - продолжает Илья Старков. - В этом плане мы избежали проблем, с которыми столкнулись другие организации, перешедшие на удаленный доступ. При этом мы предоставили пользователям привычную и достаточно комфортную рабочую среду, в которой они, за исключением некоторых задержек по объективным причинам, смогли полноценно осуществлять производственные процессы. Ряду специалистов для удаленной работы мы усилили меры безопасности – в основном это касалось банковских платежей и сведений по налогообложению. 



Человеческий фактор 

К объективным причинам сложности установки и настройки терминального доступа из дома к рабочему месту стоит отнести сразу несколько факторов: качество домашней техники, стабильность и защищенность интернет-каналов, уровень подготовки пользователей. Если корпоративная почта в программе Outlook наряду с информационно-справочным порталом на базе SharePoint и FTP- файлохранилищем для удаленного доступа сотрудников КТК были настроены задолго до пандемии и прекрасно функционировали, то терминальный доступ требовал установки «с нуля». 

- Организация и настройка терминального доступа для сотрудников компании в первые недели марта-апреля велась фактически в авральном режиме, - вспоминает ведущий аналитик по безопасности и мониторингу сети Александр Савич. – С семи утра (учитывая разницу во времени в Казахстане) и до 11 вечера приходилось быть на связи, консультировать, решать возникающие проблемы. У кого-то менялся IP-адрес, у кого-то не хватало скорости интернета, у кого-то не запускалась программа – в этот начальный период мы чувствовали себя пожарным расчетом, бросавшимся «тушить огонь» то в Москву, то в Атырау, то в Астрахань. Особенно тяжело было в первые недели перехода на удаленный режим работы, когда в очереди каждый день «висело» по 30-40 заявок на подключение. С учетом того, что обработка одной заявки занимает 10-15 минут, можно представить себе объем работы. Для увеличения скорости обработки заявок и решения проблем мы все время вносили изменения и в форму, заполняемую пользователями для подключения, и в инструкции по подключению терминального доступа и по решению проблем с подключением. Здесь нам очень помог ведущий администратор электронной почты Павел Нагаев. Он стал главным специалистом по замечательным и очень наглядным инструкциям. 

Эти «спасательные операции» базирующаяся в Новороссийске Группа ИТ, разумеется, осуществляла в виртуальном пространстве. Пользователя, подающего сигнал о возникшей проблеме, консультировали по телефону и электронной почте, при необходимости осуществляли удаленное подключение к домашним компьютерам. Немалая нагрузка легла и на региональных инженеров по ИТ и связи. 

- Этот период показал реальную подготовку пользователей по владению компьютерными технологиями, - считает старший аналитик по безопасности и мониторингу сети Константин Лемзиков. – Были случаи, когда люди, забрав по согласованию с руководством домой рабочий компьютер, не могли понять, почему не работает терминальный доступ. А как он может работать, если компьютер дома, а не в офисе? Было много случаев, когда вместо перевода в режим log off сотрудники выключали рабочий компьютер в офисе и больше не могли подключиться. В условиях карантина нам удавалось решать подобные вопросы с помощью Службы безопасности: компьютеры в офисах включали по нашим ориентировкам охранники. Пришлось даже отключить в настройках Windows возможность выключения компьютера, настолько массовой была эта проблема. Но были и позитивные моменты, показавшие как хороший уровень подготовки сотрудников, так и их лояльность компании. Оказавшись в условиях ограниченных возможностей домашней техники или вынужденные делить время работы на ней с другими членами семьи, люди просто покупали себе новые ноутбуки, мониторы, МФУ, гарнитуры для Skype. 

При установке терминального доступа обязательным условием было наличие стационарного доступа в Интернет и статического IP-адреса. Для чего это делалось и как решался вопрос при отсутствии у пользователей «проводного» интернета? 

- Наличие у пользователя выделенного статического IP-адреса было обязательным условием по требованиям информационной безопасности, - говорит Александр Савич. -  Не обошлось без сложностей и здесь. Оказалось, что в Казахстане, в Восточном регионе КТК, провайдеры не предоставляют домашним пользователям услугу подключения выделенного статического IP-адреса. Здесь пришли на помощь наши коллеги из группы связи. Они договаривались с сотовыми операторами о выделении статических IP-адресов на корпоративные SIM-карты, выдаваемые пользователям. И вместо «проводного» использовался мобильный Интернет, но с таким же уровнем защищенности. 



Динамика угроз  

Массовый переход на удаленный доступ в условиях пандемии предсказуемо увеличил число информационных, в том числе фишинговых атак.  Злоумышленники не могли не воспользоваться ситуацией роста числа пользователей интернета и новыми инфоповодами. 

- С марта объем фишинговой рассылки и атак на корпоративные системы удаленного доступа увеличился в сотни раз, - утверждает старший координатор по управлению рисками Михаил Щербаков. – Во-первых, системы защиты организовывались в компаниях в очень сжатые  сроки, и администраторы не всегда успевали их полноценно защитить, оставляя «на потом» открытые места для вторжения. Во-вторых, к ранее существовавшим фишинговым «лотереям» и прочим способам взлома пользовательских данных добавились новые, обусловленные ситуацией. Фишинговая рассылка, ставящая целью заполучить корпоративные и персональные данные, стала предлагать возможность узнать количество заразившихся в ближайшем окружении или получить деньги, выделяемые правительством на поддержку населения.  Злоумышленниками были созданы фальшивые сайты на данную тематику и освоены новые технологии фишинга. 

Персональные данные сотрудников компаний для хакеров представляют не меньшую ценность, чем закрытая корпоративная информация. Если последнюю можно выгодно продать конкурентам или биржевым брокерам, использовать как предмет шантажа или зашифровать до непригодности внутреннего использования (как это сделали в 2017 году авторы вируса «notPetya»), то персональные данные, оказавшиеся в недобросовестных руках, могут послужить краже «цифровой личности» для открытия кредита, пользования каршерингом или совершению операции на сайте «Госуслуги». Но, даже в случае правильной реакции на фишинг, пользователи не защищены от подобного взлома. 

- Мы уже публиковали в «Панораме КТК», неоднократно размещали на сайте и рассылали по корпоративной почте информацию о важности создания стойких паролей, - говорит Константин Лемзиков. – И будем продолжать это делать, поскольку недавний внутренний аудит информационной безопасности показал, что пароли десятков сотрудников остаются уязвимыми, не отвечают современным критериям. Поэтому мы, во-первых, запланировали серию обучающих мероприятий по созданию паролей, одновременно стойких и легко запоминающихся. Во-вторых, сейчас мы делаем некоторые изменения в наших информационных системах, связанных с контролем паролей и их «пригодности». Так, если раньше мы контролировали только минимальную длину паролей и некоторые параметры их сложности (прописные и строчные буквы, цифры, спецсимволы), то теперь эта система будет усложнена.  

Современный человек использует в день достаточно большое количество паролей и pin-кодов: почта, пластиковые карты, личные кабинеты в банках, налоговых и жилищно-коммунальных службах, соцсетях, онлайн-магазинах и т.д. Все это сложно держать в памяти, и возникает искушение использовать универсальный пароль для большинства аккаунтов, сделав его максимально индивидуальным и сложным. 

-  Это основная ошибка, подарок хакерам, - утверждает Константин Лемзиков. – В настоящее время мы анализируем базу данных украденных паролей, их полтора миллиарда со всего мира. Там встречаются достаточно сложные и стойкие экземпляры. Но, если человек ставит такой пароль на все свои аккаунты и почтовые ящики – можно считать, что он ничего не защитил, потому что где-нибудь его точно «вскроют». К примеру, около пяти лет назад из «Живого Журнала» была украдена вся база паролей, а в 2019 году сеть FaceBook «поделилась» персональными данными пользователей со сторонней компанией. В 2020 году сеть отелей Marriott «упустила» данные более 5 миллионов постояльцев, в 2019 году из сети отелей MGM Resorts «утекли» данные 10.6 миллионов гостей, а в 2018 году из сети Radisson украли данные участников программы Radisson Rewards. Если ваши пароли на корпоративном ресурсе совпадают с паролями на этих аккаунтах – значит, они уже известны кому-то вовне, какими бы сложными изначально не были. 

Теперь, если пароль пользователя КТК будет совпадать с находящимся в базе данных украденных паролей (а значит, уже известным хакерам), его нужно будет изменить на другой, уникальный. 



Все системы функционируют нормально 

Организация терминального доступа была далеко не единственной сверхзадачей Группы ИТ в период пандемии. Так, серьезной проблемой стали загрузка оборудования и пропускная способность каналов связи во время видеоконференций, которые стали проводиться чаще и с большим количеством участников – до 100 человек. 

- С переходом на удаленную работу нагрузка на этот сервис очень сильно возросла, - поясняет Константин Лемзиков. - «Узкие места» в этом направлении, которые мы раньше видели, потребовали оперативного устранения. К примеру, пропускная способность канала между московским офисом и всеми объектами трубопровода. Мы уже давно говорили, что этот канал нужно расширять и соответствующая документация была отправлена на рассмотрение Тендерного комитета нашими коллегами из Группы по телекоммуникациям. Процесс был ускорен в связи с форс-мажорной ситуацией и теперь с видеоконференциями в программе Skype for Business все в порядке. Правда нам, чтобы это отладить в масштабе всех объектов Консорциума, пришлось забраться в такие глубины, о которых знают, вероятно, только инженеры Microsoft. 

Форс-мажорной ситуация в первые дни удаленной работы, вероятно, была у всех служб и подразделений Консорциума. Но при этом в работе баз данных, документооборота, почты, , сайта и других компонентов общего информационного пространства КТК сбоев и обрушений  пользователи не заметили. 

- Критические ситуации были, но, если пользователи этого не почувствовали – значит мы работали качественно, - говорит Илья Старков. - Быстро решали проблему, и она ни на кого не оказала влияния.  

Работа по обеспечению стабильности информационного пространства велась Группой ИТ совместно со смежными подразделениями: Группой по телекоммуникациям, Группой прикладных программ, Группой SCADA и другими. Полученный опыт решения новых уникальных задач, несомненно, пригодится в дальнейшем. 

- Мы эффективно мобилизовались, предоставляя пользователям в удаленном доступе все необходимые сервисы, - резюмирует Илья Старков. -Хорошо показали себя все наши системы и оборудование. Мы смогли смасштабировать то, что нуждалось в усилении, где-то добавили памяти, где-то перенесли мощности на другой сервер, где-то расширили пропускную способность каналов. И наша инфраструктура показала, что она в принципе может долгосрочно выдерживать нагрузки режима тотальной самоизоляции. В дальнейшем мы будем работать над ее модернизацией, в целях возможности подключения любого количества новых востребованных сервисов без угрозы обрушения, а также над повышением «цифровой квалификации» пользователей. 


Еще по теме:

Трехмерное моделирование на службе мониторинга В фокусе
Трехмерное моделирование на службе мониторинга
В вышедшем номере журнала «ТТН» опубликована статья о новой высокотехнологичной разработке ООО «НИИ Транснефть»
Узнать больше
Учения группы по телекоммуникациям КТК Новости нефтепровода
Учения группы по телекоммуникациям КТК
05-06 сентября 2019 года на Морском терминале КТК прошли практические учения сил группы по телекоммуникациям АО «КТК-Р» и АО «КТК-К» по восстановлению магистрального кабеля волоконно-оптической линии связи (ВОЛС) КТК.
Узнать больше

Наш сайт использует файлы cookie. продолжая пользоваться сайтом, вы соглашаетесь на использование нами ваших файлов cookie.