Чем на самом деле грозит использование Windows 7 бизнесу и пользователям
Привет, меня зовут Иван Дмитриев, директор по информационной безопасности TalentTech. Я в нашем ИТ-холдинге отвечаю за безопасность продуктов, их соответствие законодательству и за то, чтобы у клиентов не возникали дополнительные риски после применения наших продуктов для цифровой трансформации бизнеса.
После публикации «Коммерсанта» о возможных проблемах банков, вызванных окончанием поддержки операционных систем поколения Windows 7, в сообществе появились разные мнения как по поводу перспектив комплаенса требования регуляторам, так и о реальной защищенности информационных систем.
Действительно ли так страшен черт? И как это касается других сфер бизнеса, ведь не банками едиными? И какие риски есть у обычных людей, пользующихся компьютерами с неактуальной версией ОС? И что же нам с этим делать? Именно на эти вопросы я хочу порассуждать в этом посте.
Окончание технической поддержки компанией Microsoft операционных систем Windows 7 и Windows Server 2008 c 14 января вызвало определенные волнения в информационном пространстве. Все начинают говорить о том, что это ставит банки в невыгодное положение.
Есть прямые требования регуляторов о запрете использования несертифицированного ПО, а согласно нормативной документации ФСТЭК (приказ № 55) сертификат на программное обеспечение прекращает свое действие вместе с окончанием срока технической поддержки производителем.
Безусловно, банки – одна из самых лакомых целей для киберпреступников. Также банковская сфера – одна из наиболее диджитализированных в экономике. Давайте разберемся, чем окончание поддержки грозит частным лицам и компаниям из других областей.
1. Поддержка не была прекращена внезапно и о ее грядущем окончании было сообщено заранее (23 марта 2019) и к этому надо было готовиться, тем более, что у всех была возможность бесплатно “мигрировать” на Windows 10.
2. Если говорить о реальной защищенности, то 15 января машины, под управлением «устаревших» версий Windows не стали более уязвимыми по сравнению с 14 января. Окончание поддержки – просто весомый аргумент задуматься о том, что пора обновляться. Это не означает, что можно бесконечно пользоваться устаревшими версиями ПО: после окончания поддержки компьютеры и серверы под управлением устаревших ОС будут становиться более уязвимыми, ведь ландшафт угроз прогрессирует, а встроенные механизмы защиты стагнируют.
3. Говорить о полном окончании поддержки рано. Как показывает практика, при выявлении серьезных угроз Microsoft выпускает патчи безопасности для выведенных из поддержки ОС, как это было в случае с экспортом Eternal Blue. Но это уже по желанию вендора.
В банковском секторе, скорее всего, проблем с обновлениями нет. Бюджеты на IT позволяют планово переходить на поддерживамые версии ОС.
Отсутствие обновлений безопасности – это хороший ландшафт для веерных автоматизированных атак. Ботнеты, да и простые злоумышленники могут сканировать общедоступные сети на предмет выявления уязвимых машин и попытки их эксплуатации. Возможна очередная волна заражения ransomware – так называемым, вирусом-вымогателем.
Даже если бюджеты – не проблема, не всегда возможно перейти на новую версию ОС. Так, например, некоторые продукты по сопровождению рекрутмента, работающие on-premise, то есть которые разворачиваются внутри периметра компании-пользователя, критичны к версии ОС, на которой развернут сервер. Это происходит из-за невозможности обновить СУБД (система управления базами данных) или усложненной процедуры миграции данных.
Кроме того, нередко используются самописные (разработанные внутри компании) решения, написанные много лет назад и использующие технологии, не совместимые с актуальными операционными системами. Облачные решения типа Potok.io – платформы для автоматизации рекрутмента IT-холдинга TalentTech – для клиента попросту не создают таких проблем. Для работы с ними необходим всего лишь браузер.
Вся логика Potok.io, так же как и других наших продуктов, работает на обслуживаемой нами инфраструктуре. Мы не используем неактуальные технологии, постоянно следим за составом и актуальностью компонентов наших продуктов. За счет применения современных технических средств, например, сканеров уязвимостей, мы почти в режиме реального времени выявляем компоненты, которые имеют известные уязвимости.
Время на их устранение – не более 12 часов. Кроме того, перед выпуском наши продукты проходят серьезную проверку. Мы анализируем исходный код, и не допускаем того, чтобы индекс его безопасности опускался ниже 4.3 из 5. Другие пункты защиты я не буду раскрывать, так как наши проекты публичны и мы также представляем интерес злоумышленников.
Однако нельзя утверждать, что антивирус на машине под управлением устаревшей ОС – панацея. Защита должна быть выстроена и на других уровнях корпоративной сети: например, пограничный межсетевого экрана, анти-спам и антивирусной проверки, попадающей в периметр информации, безопасное применение отчуждаемых носителей информации, применение доверенного ПО, honeypot’ы и другие средства защиты.
В ближайшие несколько месяцев нахождение в периметре машин под устаревшей ОС – даже большая проблема, чем по неосторожности опубликованный в публичный доступ инстанс NoSQL СУБД. Принимать меры к закрытию рисков надо уже сейчас.
Планомерно, без влияния на проектные и операционные процессы. (Ваш Кэп)
2. Проверьте свой публичный периметр (например, с помощью бесплатного Greenbone Security Manager, ранее известного как OpenVAS, или других решений) на предмет наличия открытых портов, хостов серверов и компьютеров под управлением устаревших ОС.
3. Поставьте периметр на постоянный мониторинг.
Выявляйте уязвимые узлы в режиме реального времени. Все современные сканеры (в том числе и бесплатные) могут с установленной периодичностью проводить поиск уязвимых узлов и оповещать об этом заинтересованных лиц (администраторов или сотрудников ИБ). Есть шанс, что вы это сделаете быстрее, чем ботнет. Вопрос остается в скорости реагирования заинтересованных лиц, а также гибкости и возможности внесения изменений в инфраструктуру. Но тут на каждом предприятии – своя кухня. Именно публичный периметр компании – основной путь проникновения в корпоративные сети.
Уязвимые машины во внутреннем периметре – это риск, которым надо управлять. Постарайтесь минимизировать количество Windows 7 в корпоративной сети. Если есть необходимость – оставляйте их только под функции, для которых критично использование устаревшей ОС. Можно применять open-source виртуализацию: обновите ОС, установите на нее Oracle Vitualbox c образом устаревшей операционной системы и установите на нее только то ПО, которое не может функционировать иначе. Проявляйте инженерную смекалку. Все можно сделать относительно безопасно!
Работайте с персоналом. Люди должны быть осведомлены о методах современных злоумышленников. Все сферы бизнеса сейчас стремятся к цифровой трансформации и немаловажным вопросом остается то, насколько сотрудники способны встроиться в меняющиеся и цифровизирующиеся бизнес-процессы. Риски неосведомленности в элементарных гигиенических правилах кибербезопасности выходят на новый уровень актуальности. Выявить пробелы и довести уровень компетенций на необходимый компании уровень – вызов информационной безопасности бизнеса эпохи цифровой трансформации компаний.
Нужно ли добиваться того, чтобы любой сотрудник компании мог по щелчку пальца отличить фишинг от социальной инженерии? Мое мнение – нет! Он должен знать, что не стоит переходить по ссылкам из странных писем, и тем более открывать вложения к ним или вставлять найденную где-то флэшку в свой рабочий компьютер.
В этом и заключается моя работа (и коллег по цеху) – в повышении осведомленности персонала и развитии базового уровня компетенций сотрудников в период цифровой трансформации бизнеса. Общайтесь с коллективом, фокусируясь не только на интересах бизнеса. Учите коллег защищать личное информационное пространство и тем самым управляйте рисками бизнеса. Проводите киберучения, делитесь результатами, рассказывайте о печальном опыте и предлагайте варианты исправления ошибок на будущее.
Если говорить о рисках для частных лиц, я бы посоветовал воздержаться от подключения компьютеров с ОС Windows 7 к публичным и незащищенным сетям.
Можно привести в пример риски собственного ущерба от компрометации информации на компьютере: ваши учетные записи, платежная информация, переписки и прочее. Задумайтесь о том, сколько денег может лежать на той карте или на счету в банке/платежной системе, ведь всеми этими инструментами вы платите через интернет. Это первая составляющая потенциального ущерба.
Мы все сейчас выстраиваем коммуникации через интернет. Конфиденциальная информация в переписке тоже может быть использована против вас и она имеет свою цену. И, наконец, сколько стоят ваши цифровые активы? Учетные записи в онлайн-играх, аккаунты в социальных сетях? Ведь вы в них инвестировали свое время, а иногда и деньги, то есть у них тоже есть стоимость.
Сложите вышеперечисленные показатели. Сравните с затратами на обновления и базовый набор персональных средств защиты информации (антивирус, облачное резервное хранилище, менеджер паролей и другие). Скорее всего, вы поймете, что инвестиции в свою информационную безопасность оправданы. И применяйте все те же рекомендации по ИБ, которые дают мои коллеги на работе, в своем личном информационном периметре.
можно ли использовать для ведения бизнеса Windows Home
А в магазине РиК сказали, что коммерческие организации должны использовать Windows Professional и MS Office Home and Business. Home не вправе.
В Вашем случае в магазине в одну кучу смешали, и грешное, и праведное! 😉
Давайте, как говорится, сделаем так, чтобы мухи были отдельно, а котлеты отдельно!
Прежде всего, ни каких лицензионных запретов на использование домашних или начальной редакций в уреждениях или организациях нет. Если Вас устраивает имеющийся в этих редакциях функционал, то Вы совершенно спокойно можете использовать эти редакции на производстве.
.
Лицензионные соглашения конечного пользователя для Windows XP Home, Windows 7 Home Basic, Windows 7 Home Premium не содержат запрета на использование этих продуктов в организациях. Однако нужно иметь в виду, что данные продукты предназначены в первую очередь для домашних пользователей и не имеют необходимых для бизнес-пользователей функциональных и технических возможностей, например, возможности работы в домене.
Что касается офиса, в коммерческих организациях нельзя использовать редакцию «Для дома и учебы». В тех же разъяснениях, ссылка на которые есть выше сказано:
Из вышедших в последнее время продуктов запрет на коммерческое использование распространяется, например, на Office Home and Student 2010 и отдельные настольные приложения Home and Student 2010. См. выдержку из текста Лицензионного соглашения конечного пользователя (End User License Agreement или EULA) далее: «Вы можете установить по одной копии программного обеспечения на трех лицензированных устройствах у себя дома для использования лицами, проживающими с вами. Лицензия не дает права использовать программное обеспечение для какой-либо коммерческой, общественной деятельности или оказания платных услуг».
Windows 10 Home в организации
Навязший в зубах вопрос о легальности использования Win 10 Home в организации:
Есть компьютеры, собираемся приобрести Windows. Предлагают такой, как самый дешевый вариант:
Программное обеспечение: Windows 10 Home 32-bit/64-bit Russian Russian Only USB RS(KW9-00500)
При звонке в Майкрософт, сотрудники отдела продаж рьяно уверяют, что использовать этот продукт (и не только этот, а вообще Win 10 Home) в организации нельзя. Ссылаются на пункт 12 лицензионного соглашения.
Даже при ситуации, когда приобретается компьютер или ноутбук с предустановленной Windows 10 Home, нужно её удалить и установить Windows 10 Pro.
В поисках истины, нашел ссылку на такое письмо от Майкрософта:
В нем вроде написано, что «Продукты семейства Windows 10 за исключением Windows 10 Pro не предназначены для использования на коммерческих устройствах». Но это письмо о каких-то «специализированных устройствах».
Опять же, фраза «не предназначены» не говорит о том, что их нельзя использовать.
Может сама Майкрософт даст один конкретный ответ. Можно на главной странице сайта, огромными буквами. Достала уже эта юридическая казуистика: «можно, если прямо не запрещено», «а в Соглашении прямого запрета нет» и т.д.
Или может как-то получить разъяснение у проверяющих органов (например, ГСБЭП )? Опять же, как у них спросить?
Где получить конкретный ответ, БУМАГУ, которую в случае проверки можно предъявить проверяющим органам?
Ответы (4)
Добрый день.
Home, это только название продукта. Оно носит рекомендательный характер. Да, у домашней редакции ограниченный функционал для использования на предприятии. Но если вам не требуется доменная структура, и вполне устраивает одноранговая сеть предприятия, то пожалуйста, используйте.
У сотрудника отдела продаж задача продать. Надо связываться с юристами компании. Сотрудники проверяющих органов вполне грамотные и вменяемые люди. Они никогда не предъявят претензии при использовании домашней на предприятии. Главное чтобы не было контрафактных(пиратских) экземпляров на вашем предприятии.
35 польз. нашли этот ответ полезным
Был ли этот ответ полезным?
К сожалению, это не помогло.
Отлично! Благодарим за отзыв.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв, он поможет улучшить наш сайт.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв.
9 польз. нашли этот ответ полезным
Был ли этот ответ полезным?
К сожалению, это не помогло.
Отлично! Благодарим за отзыв.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв, он поможет улучшить наш сайт.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв.
Здравствуйте.
Цитата: «Ссылаются на пункт 12 лицензионного соглашения.»
12 пункт EULA под названием «Права потребителей, региональные отличия.» вообще ни коим боком не относиться к якобы ограничениям.:) Наверное «манагеры» пытались ссылаться на п. 13.d.: «Если приобретенная вами версия программного обеспечения отмечена или иным образом предназначена для конкретного или ограниченного использования, то вы можете использовать его только в соответствии с его предназначением. Вы не можете использовать такие версии программного обеспечения для коммерческой, некоммерческой или приносящей доход деятельности.»? Вот только дальнейшее описание в подпунктах (I, ii, iii, iv) расшифровывает, на какие именно версии ОС наложены эти ограничения (в плане коммерческой деятельности). И простыми словами это переводиться:
i. Для образовательных учреждений. Есть такая редакция ОС — Еducation (хотя может использоваться в таких учреждениях также Home и Pro)
ii. В целях оценки. Microsoft предоставляет для IT специалистов и представителей предприятий редакцию Корпоративная с ознакомительным периодом. Как видите — редакция Домашняя тут вообще не фигурирует.
iii. Метка NFR (не для перепродажи) — здесь, надеюсь и так понятно.:)
iv. Предварительная версия (инсайдерская) — обладает всеми «преимуществами» сырой версии. Ну и в магазинах, соответственно, не продаётся, а доступна (на добровольной основе) участникам программы предварительной оценки Windows. В названии редакции есть слово «Preview». К Windows 10 Home 32-bit/64-bit Russian Russian Only USB RS(KW9-00500) не имеет никакого отношения (если, конечно, на вашем предприятии не надумают вступить в инсайдеры).
Как то вот так.
EULA Windows 10: https://www.microsoft.com/en-us/Useterms/Retail.
P.S. Согласен с уточнением коллеги по поводу мотивов сотрудников отдела продаж. 🙂
21 польз. нашли этот ответ полезным
Был ли этот ответ полезным?
К сожалению, это не помогло.
Отлично! Благодарим за отзыв.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв, он поможет улучшить наш сайт.
