Можно ли использовать windows 7 домашняя в офисе

Привет, меня зовут Иван Дмитриев, директор по информационной безопасности TalentTech. Я в нашем ИТ-холдинге отвечаю за безопасность продуктов, их соответствие законодательству и за то, чтобы у клиентов не возникали дополнительные риски после применения наших продуктов для цифровой трансформации бизнеса.

После публикации «Коммерсанта» о возможных проблемах банков, вызванных окончанием поддержки операционных систем поколения Windows 7, в сообществе появились разные мнения как по поводу перспектив комплаенса требования регуляторам, так и о реальной защищенности информационных систем.

Действительно ли так страшен черт? И как это касается других сфер бизнеса, ведь не банками едиными? И какие риски есть у обычных людей, пользующихся компьютерами с неактуальной версией ОС? И что же нам с этим делать? Именно на эти вопросы я хочу порассуждать в этом посте.

Проблемы банков из-за Windows 7 сильно преувеличены

Окончание технической поддержки компанией Microsoft операционных систем Windows 7 и Windows Server 2008 c 14 января вызвало определенные волнения в информационном пространстве. Все начинают говорить о том, что это ставит банки в невыгодное положение.

Есть прямые требования регуляторов о запрете использования несертифицированного ПО, а согласно нормативной документации ФСТЭК (приказ № 55) сертификат на программное обеспечение прекращает свое действие вместе с окончанием срока технической поддержки производителем.

Безусловно, банки – одна из самых лакомых целей для киберпреступников. Также банковская сфера – одна из наиболее диджитализированных в экономике. Давайте разберемся, чем окончание поддержки грозит частным лицам и компаниям из других областей.

1. Поддержка не была прекращена внезапно и о ее грядущем окончании было сообщено заранее (23 марта 2019) и к этому надо было готовиться, тем более, что у всех была возможность бесплатно “мигрировать” на Windows 10.

2. Если говорить о реальной защищенности, то 15 января машины, под управлением «устаревших» версий Windows не стали более уязвимыми по сравнению с 14 января. Окончание поддержки – просто весомый аргумент задуматься о том, что пора обновляться. Это не означает, что можно бесконечно пользоваться устаревшими версиями ПО: после окончания поддержки компьютеры и серверы под управлением устаревших ОС будут становиться более уязвимыми, ведь ландшафт угроз прогрессирует, а встроенные механизмы защиты стагнируют.

3. Говорить о полном окончании поддержки рано. Как показывает практика, при выявлении серьезных угроз Microsoft выпускает патчи безопасности для выведенных из поддержки ОС, как это было в случае с экспортом Eternal Blue. Но это уже по желанию вендора.

Почему Windows 7 вообще до сих пор используют

В банковском секторе, скорее всего, проблем с обновлениями нет. Бюджеты на IT позволяют планово переходить на поддерживамые версии ОС.

Отсутствие обновлений безопасности – это хороший ландшафт для веерных автоматизированных атак. Ботнеты, да и простые злоумышленники могут сканировать общедоступные сети на предмет выявления уязвимых машин и попытки их эксплуатации. Возможна очередная волна заражения ransomware – так называемым, вирусом-вымогателем.

Даже если бюджеты – не проблема, не всегда возможно перейти на новую версию ОС. Так, например, некоторые продукты по сопровождению рекрутмента, работающие on-premise, то есть которые разворачиваются внутри периметра компании-пользователя, критичны к версии ОС, на которой развернут сервер. Это происходит из-за невозможности обновить СУБД (система управления базами данных) или усложненной процедуры миграции данных.

Кроме того, нередко используются самописные (разработанные внутри компании) решения, написанные много лет назад и использующие технологии, не совместимые с актуальными операционными системами. Облачные решения типа Potok.io – платформы для автоматизации рекрутмента IT-холдинга TalentTech – для клиента попросту не создают таких проблем. Для работы с ними необходим всего лишь браузер.

Вся логика Potok.io, так же как и других наших продуктов, работает на обслуживаемой нами инфраструктуре. Мы не используем неактуальные технологии, постоянно следим за составом и актуальностью компонентов наших продуктов. За счет применения современных технических средств, например, сканеров уязвимостей, мы почти в режиме реального времени выявляем компоненты, которые имеют известные уязвимости.

Время на их устранение – не более 12 часов. Кроме того, перед выпуском наши продукты проходят серьезную проверку. Мы анализируем исходный код, и не допускаем того, чтобы индекс его безопасности опускался ниже 4.3 из 5. Другие пункты защиты я не буду раскрывать, так как наши проекты публичны и мы также представляем интерес злоумышленников.

Однако нельзя утверждать, что антивирус на машине под управлением устаревшей ОС – панацея. Защита должна быть выстроена и на других уровнях корпоративной сети: например, пограничный межсетевого экрана, анти-спам и антивирусной проверки, попадающей в периметр информации, безопасное применение отчуждаемых носителей информации, применение доверенного ПО, honeypot’ы и другие средства защиты.

Начните делать это немедленно

1. Обновляйтесь.

Планомерно, без влияния на проектные и операционные процессы. (Ваш Кэп)

2. Проверьте свой публичный периметр (например, с помощью бесплатного Greenbone Security Manager, ранее известного как OpenVAS, или других решений) на предмет наличия открытых портов, хостов серверов и компьютеров под управлением устаревших ОС.

3. Поставьте периметр на постоянный мониторинг.

Выявляйте уязвимые узлы в режиме реального времени. Все современные сканеры (в том числе и бесплатные) могут с установленной периодичностью проводить поиск уязвимых узлов и оповещать об этом заинтересованных лиц (администраторов или сотрудников ИБ). Есть шанс, что вы это сделаете быстрее, чем ботнет. Вопрос остается в скорости реагирования заинтересованных лиц, а также гибкости и возможности внесения изменений в инфраструктуру. Но тут на каждом предприятии – своя кухня. Именно публичный периметр компании – основной путь проникновения в корпоративные сети.

Уязвимые машины во внутреннем периметре – это риск, которым надо управлять. Постарайтесь минимизировать количество Windows 7 в корпоративной сети. Если есть необходимость – оставляйте их только под функции, для которых критично использование устаревшей ОС. Можно применять open-source виртуализацию: обновите ОС, установите на нее Oracle Vitualbox c образом устаревшей операционной системы и установите на нее только то ПО, которое не может функционировать иначе. Проявляйте инженерную смекалку. Все можно сделать относительно безопасно!

Ваши сотрудники должны знать о киберугрозах

Работайте с персоналом. Люди должны быть осведомлены о методах современных злоумышленников. Все сферы бизнеса сейчас стремятся к цифровой трансформации и немаловажным вопросом остается то, насколько сотрудники способны встроиться в меняющиеся и цифровизирующиеся бизнес-процессы. Риски неосведомленности в элементарных гигиенических правилах кибербезопасности выходят на новый уровень актуальности. Выявить пробелы и довести уровень компетенций на необходимый компании уровень – вызов информационной безопасности бизнеса эпохи цифровой трансформации компаний.

Нужно ли добиваться того, чтобы любой сотрудник компании мог по щелчку пальца отличить фишинг от социальной инженерии? Мое мнение – нет! Он должен знать, что не стоит переходить по ссылкам из странных писем, и тем более открывать вложения к ним или вставлять найденную где-то флэшку в свой рабочий компьютер.

В этом и заключается моя работа (и коллег по цеху) – в повышении осведомленности персонала и развитии базового уровня компетенций сотрудников в период цифровой трансформации бизнеса. Общайтесь с коллективом, фокусируясь не только на интересах бизнеса. Учите коллег защищать личное информационное пространство и тем самым управляйте рисками бизнеса. Проводите киберучения, делитесь результатами, рассказывайте о печальном опыте и предлагайте варианты исправления ошибок на будущее.

Вместо заключения

Если говорить о рисках для частных лиц, я бы посоветовал воздержаться от подключения компьютеров с ОС Windows 7 к публичным и незащищенным сетям.

Можно привести в пример риски собственного ущерба от компрометации информации на компьютере: ваши учетные записи, платежная информация, переписки и прочее. Задумайтесь о том, сколько денег может лежать на той карте или на счету в банке/платежной системе, ведь всеми этими инструментами вы платите через интернет. Это первая составляющая потенциального ущерба.

Мы все сейчас выстраиваем коммуникации через интернет. Конфиденциальная информация в переписке тоже может быть использована против вас и она имеет свою цену. И, наконец, сколько стоят ваши цифровые активы? Учетные записи в онлайн-играх, аккаунты в социальных сетях? Ведь вы в них инвестировали свое время, а иногда и деньги, то есть у них тоже есть стоимость.

Сложите вышеперечисленные показатели. Сравните с затратами на обновления и базовый набор персональных средств защиты информации (антивирус, облачное резервное хранилище, менеджер паролей и другие). Скорее всего, вы поймете, что инвестиции в свою информационную безопасность оправданы. И применяйте все те же рекомендации по ИБ, которые дают мои коллеги на работе, в своем личном информационном периметре.

Мы работаем с юридическими лицами и индивидуальными предпринимателями.

Мы понимаем, что Вам нужно, мы продаем порядочность.

• с нами Вы всегда знаете, что сделали оптимальный выбор цена/качество
• теперь Вы уверены, что Вас не оставят без технической поддержки
• с этого дня у Вашей бухгалтерии не будет вопросов по документам
• юридическая чистота и безопасность позволяют Вам идти вперед

      При всем многообразии на рынке программного обеспечения, выбор инструментов для бизнеса (а программное обеспечение и есть один из инструментов) сводится к выбору функционала программного обеспечения. Как человеку без специальных знаний сделать правильный выбор, как не ошибиться? Специалисты HotSoft24 по лицензированию готовы проконсультировать Вас по всему ассортименту представленной продукции.

Какую версию Windows выбрать для организации или ИП.

      Юридическое или ИП лицо могут выбрать любую версию Windows для использования в своей деятельности. Названия в версиях “Home” (домашняя) не должны смущать при выборе конечного продукта. Лицензионные соглашения на данные продукты (Windows XP Home, Windows 7 Home Premium, Windows 10 Home и т.п.) не содержат запрета на использование их организациями. Сама по себе приставка “Home” (домашняя) появилась в линейке операционных систем от Microsoft как маркетинговый ход для реализации на североамериканском рынке, т.е. продукт ориентированный для дома. При этом продукты Office с приставкой “для дома и учебы” нельзя использовать в коммерческих организациях. Прежде всего при выборе следует учитывать функционал операционной системы и исходить из этого, при выборе Windows. К примеру, вся линейка ОС Windows с приставкой “Home” не позволяет пользователю работать в домене. Зачастую индивидуальные предприниматели задают вопросы: как сделать выбор Windows для ИП, можно ли пользоваться на работе домашний компьютер/ноутбук. Специалисты по лицензированию HotSoft24 дают на этот счет однозначный ответ. Если ОС Windows приобретена до регистрации ИП, то предприниматель может пользоваться ОС и дома и на работе (без передачи другому лицу/работнику). Простыми словами лицензионное соглашение Microsoft запрещает передавать в прокат/аренду или временное пользование программу приобретенную физическим лицом, т.е. при неправильно выбранной системе лицензирования, может сложиться ситуация когда юридическое лицо использует нелицензионное ПО.

Какой вариант поставки выбрать.

Основные варианты поставки ПО, которые на сегодня делают наши клиенты:

— Коробочная лицензия (BOX) 

Плюсом является то, что лицензия неименная и если Вы держите в руках коробку с программой, то Вы и можете установить программу и пользоваться ей. Минусом является то, что зачастую коробочные версии дороже электронных поставок (ключей). Коробка может потеряться, её могут украсть и тогда Вы теряете право на использование программного продукта. Передача коробочной программы возможна только один раз и для этого необходимо правильно оформить документы на передачу права пользования продуктом.

— Электронные ключи (ESD)

Плюсом является цена на ПО поставляемое в формате электронного ключа (ESD) и оперативность поставки. После активации ключ нельзя потерять и он останется в Вашей организации. Как правило заказчик может уже через 15 минут приступить к работе с программой. Минусом является то, что ключ нельзя перепродать.

— Подписка

Плюсом является, цена (она же и минус) оперативность поставки. Минус это то, что покупатель получается привязан к постоянным платежам. Фактически заказчик арендует ПО и постоянно платит аренду.

Для получения первичной документации:

— необходимо направить запрос на e-mail: zapros@hotsoft24.ru

— указать: номер заказа/счета

— указать адрес для доставки документов.  

При оформлении заказов просим учитывать следующее:

— исполнение заказа начинается после зачисления денежных средств на расчетный счет

— для ускорения процесса заказа высылайте копию платежного поручения с отметкой банка об исполнении платежа

— программное обеспечение поставляется по 100% предоплате

— отсрочка платежа решается в индивидуальном порядке

— при заказе уточняйте срок исполнения. Электронная дистрибуция проходит отгрузку в течении рабочего дня. Для уточнения сроков поставки программных продуктов на физических носителях либо поставок требующих согласования с производителем связывайтесь с менеджером. При отсутствии ограничений на реализацию программного продукта на физических носителях и наличии их на складе отгрузка происходит на следующий рабочий день, после зачисления денежных средств.