Higiena bezpiecznej pracy zdalnej
Tomasz Dacka
Bez wątpienia pandemia COVID-19 przyspieszyła to, co było nieuchronne, czyli upowszechnienie pracy zdalnej. Ten sposób wykonywania obowiązków nie jest efektem czy dziełem tylko pandemii, był oczywiście stosowany już wcześniej. Niemniej jednak na dużo mniejszą skalę, ograniczoną do wybranych zawodów.
Obostrzenia epidemiczne spowodowały, że wiele przedsiębiorstw z dnia na dzień stanęło przed olbrzymim wyzwaniem, jakim była konieczność wprowadzenia pracy zdalnej. Wyzwania te można podzielić na dwa rodzaje. Pierwszym są wyzwania techniczne związane z tym, że praca zdalna wymaga odpowiedniej infrastruktury IT nie tylko sprzętowej, ale także programowej, służącej zapewnieniu m.in. cyberbezpieczeństwa (np. VPN, VDI, zarządzanie certyfikatami). Nie wszystkie firmy były na to przygotowane.
Drugi rodzaj to wyzwania, który można nazwać mentalnym. Kadra menedżerska nagle straciła podwładnych z oczu. Praktycznie dosłownie. Jednocześnie pracownicy musieli zmienić swoje przyzwyczajenia i podejście do pracy. W wielu firmach zmodyfikowano sposób rozliczania pracy, a spotkania wideokonferencje zastąpiły spotkania w salach konferencyjnych.
Wspólny mianownik
Oba wyzwania miały wspólny mianownik: konieczność zadbania o przygotowanie takiego cyfrowego środowiska pracy, które zapewni użytkownikom optymalne warunki pracy, a jednocześnie będzie chronić dane gromadzone i przechowywane przez firmy.
Wprowadzenie takiego środowiska wymagało oczywiście czasu i odpowiednich zasobów. Nie stało się to z dnia na dzień, z czego skrupulatnie korzystali tzw. źli aktorzy, czego dowodem była gwałtownie rosnąca podczas pandemii liczba ataków hakerskich. Patrząc z perspektywy czasu, może się wydawać, że jeśli chodzi o cyfrowe bezpieczeństwo IT w kontekście pracy zdalnej, to najgorsze jest już za nami. Jednak nie powinniśmy spoczywać na laurach, do czego firmy i użytkownicy mają tendencję. Miałem ostatnio okazję zapoznać się z wynikami audytów przeprowadzonych w dużych przedsiębiorstwach, na potrzeby których zastosowano atak phisingowy. Rezultaty tych sfingowanych ataków nie napawają optymizmem. Warto zatem przypomnieć najważniejsze aspekty bezpiecznego funkcjonowania w zdalnym cyfrowym środowisku pracy.
Świadomość pracowników ma kluczowe znaczenie
Zdecydowanie najważniejszy, kluczowy aspekt całości układanki. Żadne kampanie, najznamienitsze systemy defensywne oparte na wielowarstwowych modelach ochrony nie pomogą, jeśli użytkownik nie będzie w sposób odpowiedzialny korzystał z powierzonych zasobów. Możemy zadać sobie pytanie, kiedy ostatnio czytaliśmy politykę bezpieczeństwa naszej organizacji. Zapewne znajdzie się tam kilka załączników dotyczących bezpieczeństwa fizycznego i teletechnicznego. Te dokumenty nie powstały na potrzeby audytów, lecz by nam, użytkownikom, na co dzień pomagać w sposób bezpieczny (a przynajmniej zgodny z przyjętymi wytycznymi) świadczyć swoją pracę. Dopóki przestrzegamy zapisów, dopóty jesteśmy chronieni i zgodni, a odpowiedzialność jest przenoszona na komórki odpowiedzialne za kwestie techniczne.
Rutyna bywa niebezpieczna
Skoro do tej pory nic się nie stało, oznacza to, że robię wszystko dobrze. Nawet nie wiem, kiedy machinalnie zaczynam wykonywać czynności. Kolejne cykliczne szkolenia odbywam na zasadzie odhaczenia obecności. Sami tworzymy tym samym żyzne podłoże dla nieuprawnionych ingerencji.
Aktualizacja wiedzy
Informacje o zagrożeniach i sposobach przeciwdziałania atakom powinny być aktualizowane równie często jak nasz system antywirusowy, czyli po pierwsze często. Po drugie aktualizacja powinna być częścią większego ekosystemu, tworząc holistyczny obrazek zapewnienia bezpieczeństwa naszym aktywom, a do nich należą nie tylko narzędzia pracy, ale także informacje przetwarzane za ich pomocą. Skąd zatem czerpać wiedzę? Jesteśmy nią obecnie wręcz zalewani, czego dobitnym przykładem jest również ten artykuł. Najlepiej korzystać ze sprawdzonych oficjalnych źródeł. W partykularnych organizacjach w sposób różny można podchodzić do kwestii bezpiecznej pracy, polecam zatem (jak zostało wspomniane już wcześniej) zacząć od wewnętrznych polityk, regulacji, wytycznych.
Informowanie o ataku
Firma każdej wielkości może paść ofiarą cyberataku. Nie ma znaczenia, czy to rodzinny zakład, czy korporacja międzynarodowa z ogromnym budżetem. Udany atak to najczęściej efekt ludzkiego błędu lub niedopatrzenia. Jeśli to nasz błąd, to nie wolno problemu ukrywać. Każdy taki incydent należy jak najszybciej zgłosić zgodnie z wewnętrznymi procedurami. Co jednak zrobić, jeśli nie wiadomo, czy faktycznie doszło do ataku. Droga jest dokładnie taka sama. Zgłaszamy i upewniamy się, że osoby odpowiedzialne za reagowanie na incydenty podejmą odpowiednie działania.
Dobre praktyki
Zacznijmy od tego, że sami powinniśmy dbać o powierzone nam narzędzia i dane. Firma przekazuje nam np. laptop, telefon, auto itp. Sprzęt może zostać skradziony lub uszkodzony. Warto zadbać, aby nie był nadto eksponowany czy w przypadku osób pracujących mobilnie pozostawiany bez opieki, np. w aucie, kawiarni czy w pociągu. Rozsądne jest także ubezpieczenie firmowych urządzeń od kradzieży czy na wypadek uszkodzenia.
Obecnie większą wartość niż sam sprzęt mają przechowywane na nim dane. W jaki sposób zadbać, by np. w przypadku utraty laptopa firmowe dane nie trafiły w niepowołane ręce? Oto zestaw dobrych praktyk, które warto wdrożyć w organizacji, by uniknąć np. wycieku danych:
• Szyfrowanie dysków – osoba niepowołana, która wejdzie w posiadanie urządzenia, nie będzie w stanie dostać się do zawartości dysku. Jednym z popularnych rozwiązań do szyfrowania jest BitLocker – domyślnie instalowana w systemach Windows funkcja służąca do szyfrowania danych.
• Praca przez VPN (Virtual Private Network) to specjalna usługa, która umożliwia łączenie się z Internetem za pomocą szyfrowanego tunelu, który ukrywa i maskuje zarówno dane przesyłane przez sieć, jak i prawdziwy adres IP oraz lokalizację korzystającego z niej użytkownika. Za pomocą tej usługi użytkownik może łączyć się z firmowymi zasobami w sposób bezpieczny, cała transmisja jest bowiem szyfrowana. Dlatego do pracy zdalnej, szczególnie przy połączeniu z firmowymi serwerami, zaleca się stosowanie VPN.
• Blokowanie stron internetowych – wdrożone polityki bezpieczeństwa firmy mogą zawierać blokowanie niektórych stron, ponieważ wielu cyberprzestępców wykorzystuje ten wektor ataku.
• Redundancja procesów – mamy wdrożony proces zgłaszania incydentu. Możemy to zazwyczaj zrobić za pomocą portalu zgłoszeniowego lub przez telefon. Co natomiast w sytuacji, kiedy z pewnych względów nie mamy dostępu do komputera i telefonu służbowego (np. kradzież, brak zasięgu lub rozładowanie baterii). Warto we własnym zakresie zbudować dodatkowy kanał informowania, może to być zapisanie numeru do Service Desku/przełożonego na kartce/w prywatnym telefonie.
• Stosowanie fizycznego filtru prywatyzującego na ekran – niby drobiazg, a rzecz bardzo przydatna. Taki filtr, zdejmowany lub mocowany na stałe, w znacznym stopniu ograniczy kąt, pod jakim widoczny jest obraz na ekranie. Jeśli pracujemy w strefach ogólnodostępnych, zdecydowanie warto wyposażyć się właśnie w takie zabezpieczenie.
Bez wątpienia wypracowane dziś mechanizmy ochrony jutro mogą być niewystarczające ze względu na zagrożenia związane z nowymi technologiami lub lukami pojawiającymi się w już używanych. Modele pracy będą również ewoluować czy to za sprawą przepisów prawa, czy możliwości technicznych. Ostatnie lata udowodniły, że to, co niewykonalne do tej pory, może zostać wdrożone w szybkim tempie, i to bez uszczerbku dla jakości naszej pracy. Niezmienna pozostaje natomiast jednak kwestia: to my jesteśmy odpowiedzialni za to, jak wykorzystujemy i chronimy powierzone nam narzędzia i dane. ⦁
|
Zobacz poprzednie artykuły tego autora:
Konwergencja bezpieczeństwa
Zarządzanie projektem – wprowadzenie w tematykę
Zarządzanie projektem – poszczególne etapy
Uwaga, stopień!
Bezpieczna organizacja