(Nie)bezpieczeństwo pracy zdalnej.
Praca zdalna, na odległość – jak ją zorganizować, aby nie narażać się na przykre konsekwencje? O co zadbać, na co zwrócić uwagę, co jest ważne, gdzie czyhają zagrożenia?
Niniejszy artykuł jest uzupełnieniem publikacji ‘Jak chronić swój biznes przed atakiem? ABC dla MŚP.’ i należy go odczytywać właśnie w takim kontekście. Nie będą tutaj szczegółowo omawiane wątki, poruszone już w ww. części pierwszej. Skupimy się natomiast na tych kwestiach, które mają szczególne znaczenie w przypadku pracy na odległość. Pamiętaj jednak proszę, że dalsze porady powinny być traktowane jako element całościowej polityki bezpieczeństwa organizacji.
Świadomy wybór, czy potrzeba sytuacji?
Tematyka pracy i współpracy na odległość nie jest oczywiście niczym nowym. Jeszcze prze nadejściem pandemii, wiele organizacji pracowało w takim trybie, przynajmniej częściowo. To nie tylko biznesy, które z racji charakteru swoich branż, w sposób naturalny mogły dostosować się i wykorzystać tę formę działalności, jak np. spora część usług IT. To również np. takie firmy, które utrzymywały rozsiane, mobilne struktury sprzedażowe, to branża logistyczna, itp. Natomiast, w pierwszym kwartale 2020r. sytuacja zmieniła zasady gry w sposób powszechny. Pandemia wymusiła, że również wiele organizacji, których charakter pracy dotąd był raczej stacjonarny, musiało dostosować się do sytuacji. Przynajmniej w części. Z kolei presja czasu i ogólnie niska świadomość zagrożeń spowodowały, że w całej tej transformacji popełnia się wiele błędów i zaniedbań.
W większych strukturach, gdzie do dyspozycji pozostają odpowiednie siły wsparcia IT i security, z pewnością sytuacja zostanie dosyć szybko opanowana, a przynajmniej zasadniczo udoskonalona. Dużo gorzej to oczywiście wygląda w przypadku mniejszych firm, które nie mają ani takiego wsparcia, ani odpowiednich środków na jego wynajęcie. Stąd pomysł, aby w niniejszym artykule, poświęcić trochę miejsca również na omówienie zagrożeń oraz stosunkowo prostych sposobów przeciwdziałania im.
Pamiętaj jednak proszę, że te porady nie mają mieć charakteru całościowej i doskonałej instrukcji, to byłoby praktycznie niemożliwe. Szczególnie dla specjalistów, zajmujących się takimi zagadnieniami. Nie da się w ten sposób zastąpić całych działów bezpieczeństwa, IT, prawników, IODO, itd. Poradnik ma przede wszystkim na celu zwiększenie ogólnej świadomości istniejących i wciąż pojawiających się zagrożeń, szczególnie wśród właścicieli i decydentów oraz nakreślenie sposobów prewencji. A, czym więcej z tych podpowiedzi uda Ci się wdrożyć, nawet w niewielkiej organizacji, tym lepiej. Z każdym kolejnym krokiem zmniejszysz podatność swojego e-commerce na atak o kolejny ułamek. I tym łatwiej będzie Ci nadążać również w tym obszarze, wraz z rozwojem Twojego e-biznesu.
Wg badań OpenVPN, prawie 70 % ekspertów uważa, że pracownicy zdalni stanowią większe zagrożenie, niż ci będący fizycznie na miejscu pracy, np. w biurze. Rozważmy więc większość, istniejących na chwilę obecną zagrożeń i stosunkowo łatwych do wdrożenia sposobów na walkę z nimi.
Zestaw podstawowych zasad bezpieczeństwa, których ignorowanie może doprowadzić Cię do poważnych strat.
Pamiętaj, że poniższe zestawienie jest raczej listą haseł – zagadnień, o których powinieneś pamiętać. Ich wdrożenie wymaga od Ciebie podjęcia takich działań i ustanowienia takich procedur, aby obejmowały całą strukturę Twojej e-firmy. Oczywiście, jeżeli dopiero zaczynasz i sam pełnisz wszystkie role w firmie, wówczas powinieneś je uwzględniać w swoich własnych działaniach. Natomiast, już w chwili, gdy zatrudnisz pierwszego współpracownika (np. księgowość), musisz przypilnować, aby wszystkie procedury były ściśle przestrzegane przez cały zespół. Jak to zrobić możesz przeczytać w pierwszej części, wspomnianej na początku artykułu.
Może wcześniej o tym nie myślałeś, ale wyobraź sobie np. bardzo powszechną sytuację. Twoja księgowa, pracując z domu, wysyła Ci dokument kadrowy. Akurat nie miała dostępu do komputera w pracy i wiadomość nadaje z prywatnego laptopa i z prywatnego e-maila. Zdajesz sobie sprawę, że w ten sposób naraziła Ciebie nie tylko na poważne zagrożenie bezpieczeństwa, ale również na odpowiedzialność prawną? Ciebie, nie tylko siebie. Oczywiście powszechnie wiadomo, że na rynku działa wielu kamika(d)ze. Ale to ich życie, ich ryzyko, ich sprawa. Skoro jednak czytasz ten artykuł, to zakładam, że nie należysz do tej grupy i chcesz prowadzić swój e-biznes dpowiedzialnie. Zapoznaj się więc z poniższymi poradami i wyciągnij z nich proszę tyle wniosków, ile tylko zdołasz.
Zacznij od podstaw.
Pamiętaj, że o sile każdego łańcucha decyduje najsłabsze ogniwo. A zdecydowana większość udanych włamań, przynajmniej w jakiejś części wykorzystała słabość lub błąd ludzki. Niewiele Ci da wdrożenie super zabezpieczeń i procedur, jeśli w Twoich strukturach znajdzie się choć jedna osoba, która nie będzie odpowiednio świadoma. Mało tego, natura ludzka powoduje, że skala takiej świadomości zmniejsza się praktycznie z każdym dniem. Zatem, jeśli rzeczywiście chcesz chronić swój e-biznes, musisz nie tylko szkolić i uświadamiać współpracowników (i oczywiście siebie), ale również okresowo odświeżać tę wiedzę. Ochrona to nieustanny proces. Więcej na ten temat oraz podpowiedzi, jak to ogarnąć, przeczytasz w artykule ‘Jak chronić swój e-biznes przed atakiem?’.
ABC bezpieczeństwa pracy na komputerze.
Wszystkie osoby, które będą pracowały zdalnie na komputerach, wyposaż w dobrze zabezpieczony sprzęt i daj dostęp do niezbędnych systemów, pamiętając o przestrzeganiu odpowiednich uprawnień. Wiem, że to może być trudne, ale przede wszystkim używajcie innych komputerów do celów prywatnych i innych do służbowych.
Pamiętaj, że laptopa o wiele łatwiej zgubić (np. jadąc na działkę) lub uszkodzić podczas pracy zdalnej (np. dzieci w domu), niż w sytuacji, gdy znajduje się w odpowiednim miejscu w biurze. To samo dotyczy wszelkich nośników informacji, jak przenośne dyski, pendrive, telefony, itp. Ponadto, w takich warunkach o wiele częściej może dochodzić do sytuacji, w której dane wyświetlone na ekranie mogą zostać podejrzane.
Weź pod uwagę, że łącza i sieci domowe nie są zazwyczaj odpowiednio zabezpieczone, a często w żaden sposób, nawet podstawowy. Dodatkowo, zazwyczaj nikt przecież nie zatrudnia w domu odpowiednich służb, które mogłyby chronić i kontrolować, czy np. w danej sieci znajdują się wyłącznie zaufane urządzenia. W takich warunkach bardzo często umieszczone są np. komputery służące do gier, oglądania filmów, serwery plików, proste drukarki, itp., a także urządzenia tzw. Internetu rzeczy (IoT). Np. wszelkiego rodzaju urządzenia RTV i AGD, które coraz powszechniej mają dostęp do Sieci, ale jednocześnie ich bezpieczeństwo jest na żenująco niskim poziomie. Żadnej trudności nie stanowi dla znawcy włamanie do Twojej sieci, z wykorzystaniem dziury w kamerze, TV, czy innej lodówce, jeśli jest podłączona do Wi-Fi.
Bezpieczeństwo prywatnych sieci pracowników.
Na początek przypilnuj, aby nikt nie korzystał z publicznych sieci (np. Wi-Fi). Nawet, jeżeli korzysta z VPN’a, ponieważ często występuje pewien błąd z VPN. Zdarza się, że nie cała komunikacja komputera ze światem jest wysyłana przez VPN, np. w chwili, gdy resetuje się połączenie. W takim momencie może uchronić przed podsłuchem jedynie szyfrowanie, ale przecież i ono nie działa zawsze, wszędzie i na odpowiednio wysokim poziomie. Pamiętaj też, że w każdej sieci publicznej jest wielu innych, anonimowych dla Ciebie użytkowników, jakiś administrator, którego przecież nie znasz, itp.
Dalej, weź pod uwagę, że w takich sytuacjach zdecydowana większość osób będzie wykorzystywała istniejącą domową sieć Wi-Fi. To oznacza, że możesz mieć do czynienia z domyślnymi ustawieniami routera. Często zdarzają się np. proste hasła dostępowe do Wi-Fi, czy domyślne dane dostępowe administratora sieci, typu admin/admin. Ktoś, kto zna hasło Wi-Fi, po zalogowaniu będzie miał identyczne uprawnienia, jak każde inne urządzenie domowe. To oznacza, że będzie miał np. dostęp do udostępnionych plików w Windowsie. Czy też, np. będzie mógł odczytać IP Twojego komputera, a jeżeli odgadnie Twoje hasło, będzie mógł zalogować się do usługi zdalnego pulpitu. Pamiętaj również, że cały ruch sieciowy przechodzi przez domowy router, więc np. wystarczy zmienić na nim ustawienia DNS. Wówczas każde zapytanie o dowolną domenę trafi do atakującego, a ten łatwo będzie mógł przekierować użytkownika np. do swojego ‘banku’, zamiast prawdziwego. Upewnij się, że w routerze włączono najlepszy możliwy na daną chwilę standard szyfrowania podczas łączenia z Wi-Fi.
Bardzo często też, używane w warunkach domowych routery są niskiej jakości, ich oprogramowanie jest dziurawe i/lub nigdy/rzadko aktualizowane, itp. Jednym słowem administracyjny horror. Tak więc, zadbaj lub wymuś i przypilnuj, aby przynajmniej zostały ustawione silne hasła dostępowe (jak to zrobić: artykuł ‘Jak chronić swój e-biznes przed atakiem?’). Dodatkowo postaraj się zorientować, czy istnieje możliwość odseparowania części sieci tylko do celów służbowych. Możesz również wykorzystać opcję AP / Client isolation, polegającą na blokowaniu możliwości komunikacji między sobą klientów tej samej sieci Wi-Fi.
Sprawdź też, czy uruchomiony został jakikolwiek firewall. Jest to taka jakby brama ze strażnikiem, który sprawdza kto/co i na jakich warunkach może wejść. Bariera ta działa na zasadzie zamykania portów komunikacyjnych na drodze pomiędzy Internetem i urządzeniem. Większość routerów ma wbudowaną i wstępnie skonfigurowaną usługę firewall, więc przynajmniej upewnij się, że jest włączona. Upewnij się również, że została wyłączona opcja WPS, czyli możliwość podłączenia do sieci przy pomocy kodu PIN i przycisku na routerze. Może i czasem wygodna, ale rzadko używana, można bez niej żyć, a stanowi kolejną potencjalną furtkę.
I na koniec tej części – postaraj się, aby wszyscy używali VPN’a w chwili, gdy łączą się z firmowymi zasobami, komputery były wyposażone w najnowsze wersje systemów operacyjnych i oprogramowania, a także korzystały z programu antywirusowego z aktualną bazą zagrożeń.
Łączność awaryjna.
Praca na odległość w e-commerce najczęściej będzie związana z koniecznością zapewnienia stałego dostępu do Internetu. W dzisiejszych czasach to raczej nie problem, ale zastanów się również co zrobisz, jeśli nastąpi awaria łącza. Jeżeli nie możesz pozwolić sobie na przestój, zapewnij zawczasu plan B. Oczywiście, raczej nikt w domowych warunkach nie będzie ponosił kosztów zdublowanego połączenia, ale przecież możesz do tego wykorzystać sieć komórkową. Większość smartfonów ma opcję udostępnienia Internetu poprzez sieć Wi-Fi (tzw. hotspot), więc możesz łatwo podłączyć komputer do telefonu (via Wi-Fi), który z kolei udostępni swoje połączenie internetowe. Zapewne nie byłaby to zbyt komfortowa sytuacja na dłuższą metę, ale mowa przecież o rozwiązaniu awaryjnym. Możesz przygotować się w ten sposób, że przynajmniej ustawisz odpowiedniej jakości hasło i zweryfikujesz, czy w Twoim przypadku takie połączenie zda egzamin w praktyce.
Rozwiązania VPN.
VPN może pełnić cztery funkcje: zwiększenia prywatności i ominięcia barier terytorialnych (zazwyczaj ogólnie dostępne usługi), ale również elementu ochrony zasobów i ułatwienia dostępu do zasobów (zazwyczaj w postaci własnego serwera VPN). Dzięki dobrze skonfigurowanemu i użytkowanemu VPN’owi, ew. atakującemu będzie dużo trudniej przechwycić lub zmienić transmisję. To coś w rodzaju tunelu, za pomocą którego przesyłane są dane w sposób odseparowany od reszty świata. Ponadto, własny VPN może zostać skonfigurowany w taki sposób, aby dostęp do zdalnych zasobów (np. serwera plików) odbywał się automatycznie w chwili, gdy łączący się z nimi komputer przedstawi prawidłowy certyfikat lub token. To oznacza, że może zostać pominięty etap logowania, a jednocześnie zapewniona jest weryfikacja tożsamości. Sama instalacja i poprawna konfiguracja własnego serwera VPN niestety wykracza poza charakter niniejszego poradnika, więc trzeba o to poprosić specjalistę. Tutaj jedynie sygnalizuję zagadnienie i zalecam dalsze jego rozpoznanie, bo rozwiązanie może być wygodne i skuteczne. Pamiętaj jednak, że dobrze skonfigurowany VPN bardzo mocno zwiększa bezpieczeństwo, choć nie w 100%. Protokół również można złamać (w zależności od stosowanego szyfrowania), dlatego nie warto oszczędzać na VPN.
Służbowy sprzęt do celów prywatnych i odwrotnie.
To niestety częsty, ale potencjalnie bardzo groźny przypadek, więc zwróć proszę uwagę na kilka elementarnych obostrzeń:
W sytuacji, gdy praca zdalna odbywa się np. z domu, częstym przypadkiem bywa przenoszenie plików pomiędzy urządzeniami prywatnymi i służbowymi. To najłatwiejsza droga, aby z zainfekowanego urządzenia przenieść zagrożenie na sprzęt firmowy, często nieświadomie. Powinieneś zabronić takich praktyk, co oczywiście może być trudne, ale jest niestety ważne. Przypilnuj, aby do służbowego sprzętu nie były podłączane żadne urządzenia prywatne.
Podobna sytuacja może mieć miejsce, gdy do przesłania informacji zostanie użyty prywatny e-mail. Pamiętaj, że nie istnieje coś takiego, jak pełna anonimowość w Internecie, a jednocześnie dane, które chociaż raz dostaną się do Sieci, w zdecydowanej większości przypadków pozostaną tam na zawsze lub bardzo długo. Czyli, jeżeli korzystasz z obcych usług, najczęściej również bezpłatnych (skoro używanych prywatnie), musisz zakładać, że całkowicie tracisz nad nimi kontrolę. I wcale nie musi to być sytuacja, w której jakiś gość w ciemnych okularach siedzi i czeka na Twoje poufne informacje. To może być np. wyciek danych (zdarzają się na ogromną skalę), ale również automaty, skanujące i profilujące wszystko, co tylko jest w ich zasięgu.
Z podobnych powodów powinieneś zabronić również używania zamiennie kanałów komunikacji służbowej i prywatnej, w tym mediów społecznościowych. A także używania sprzętu służbowego do rozrywki (filmy, gry, itd.).
Nielegalne oprogramowanie (używane świadomie lub nie) wciąż dosyć często zdarza się
w prywatnych zasobach. W pewnych sytuacjach sprzęt prywatny, używany do realizacji zadań służbowych, może zostać potraktowany jak firmowy. Wówczas może Cię to narazić na konsekwencje prawne lub finansowe. Poza tym, oprogramowanie pobierane z tzw. niepewnych źródeł, często jest zainfekowane, więc automatycznie naraziłbyś pozostałe urządzenia.
Nie pozwól, aby firmowy sprzęt był używany przez osoby trzecie, w tym innych domowników. Przede wszystkim dlatego, że takie osoby nie są uświadomione w zakresie obowiązujących zasad bezpieczeństwa. Ale również dlatego, że zwiększasz podatność sprzętu na przypadkowe uszkodzenie. I niestety nie tłumaczy takiego odstępstwa również płaczące dziecko, któremu pozwoliłeś obejrzeć bajkę na służbowym laptopie. Szczególnie, gdy go zaleje lub przypadkowo gdzieś kliknie.
Szyfrowanie dysków.
Praktycznie jedyną formą ochrony informacji i danych w przypadku, gdy firmowy sprzęt zostanie zgubiony lub skradziony, jest wcześniejsze zaszyfrowanie nośnika. Niektóre systemy operacyjne udostępniają odpowiednie oprogramowanie w komplecie. Użytkownicy pozostałych OS mogą skorzystać np. z VeraCrypt, Bitlocker, FileVault, itp. Generalnie jest to bardzo dobry pomysł, a minimalna uciążliwość w jego użyciu jest naprawdę niczym, w porównaniu do korzyści. Pamiętaj jednak, że najczęściej najsłabszym ogniwem jest człowiek, więc zwróć uwagę na kilka elementarnych zasad użytkowania.
W przypadku pamięci przenośnych (np. pendrive), których najlepiej unikaj, bo łatwo je zapodziać, użyj odpowiedniego dla nich rozwiązania. I przede wszystkim, ustaw odpowiednio silne hasło dostępowe (patrz artykuł ‘Jak chronić swój e-biznes przed atakiem?’). Hasło przechowuj w tzw. sejfie haseł, oczywiście w innym i bezpiecznym miejscu lub zadbaj o kopię nośnika na wypadek utraty hasła dostępowego.
Aktualizacje.
W kontekście bezpieczeństwa firmy, również w przypadku pracy zdalnej, aktualizacje systemu operacyjnego i wszystkich aplikacji są bardzo ważne. Co Ci bowiem przyjdzie z tego, że masz wdrożone wszystkie inne elementy bezpieczeństwa, jeżeli pokona je (więc i Ciebie) jakiś wirus lub złośliwy kod w aplikacji? Skala tworzonego oprogramowania jest już tak wielka, że nigdy nie doczekamy sytuacji, w której nie będą już pojawiały się żadne dziury i niedopatrzenia. Błędy były, są i będą, a najprawdopodobniej w coraz większej skali. Złośliwi ludzie również. Jedyną realną formą obrony jest nieustanne dbanie, aby wszelkie wykryte dziury były jak najszybciej łatane.
Przy tej okazji pamiętaj, że nie wystarczy aktualizacja np. samego systemu operacyjnego w używanym urządzeniu. To również np. bazy programów antywirusowych, wszystkie inne aplikacje, używane do pracy zdalnej, itd.
Kopie zapasowe.
Zapoznaj się proszę z artykułem na temat backupów w Rozdziale II (całkowicie bezpłatnego) poradnika. Co prawda opisano w nim zagadnienie w kontekście oprogramowania e-commerce, ale podstawowe zasady zawsze będą takie same. Tutaj jedynie zwróć uwagę na pewną komplikację, związaną ściśle z charakterem pracy na odległość, a mianowicie problem przechowywania plików z kopiami. W przypadku, gdy Twój system pracy polega głównie na zdalnym, bieżącym dostępie do firmowych zasobów (wszystko w postaci usług serwerowych, a u użytkownika jedynie ‘bierny’ interfejs), być może będziesz mógł zrezygnować z kopii dysków samych końcówek. W przeciwnym razie, właściwie pozostają Ci jedynie dwa rozwiązania. Albo wypracujesz system tworzenia kopii lokalnych (np. na dodatkowym dysku), ale wówczas musisz dobrze przemyśleć jego zabezpieczenia i ochronę. Albo zadbaj o miejsce, do którego takie kopie będą przesyłane automatycznie, oczywiście w bezpieczny sposób.
Podział kompetencji i uprawnień.
Wróć proszę do odrębnego artykułu ‘Jak chronić swój e-biznes przed atakiem?’ i zwróć uwagę na opisany tam problem kompetencji i uprawnień. Nie dopuść do sytuacji, że w imię wyższej konieczności (nagła i może czasowa zmiana sposobu pracy), np. nagle cały zespół uzyska niekontrolowany dostęp do całej infrastruktury firmowej.
Poczta e-mail.
Jak już zostało to podkreślone wcześniej, nie dopuszczaj do sytuacji wykorzystywania prywatnych skrzynek pocztowych do celów służbowych. Tego typu e-maile zazwyczaj nie mają odpowiednich zabezpieczeń, nie wspominając już o kwestiach prawnych, jak np. RODO. Ale to nie jedyny problem w kontekście pracy na odległość. W większości przypadków ludzka natura powoduje, iż w domowych pieleszach trochę odpuszczamy i tracimy czujność. Wpływają na to np. brak sformalizowanego (nawet minimalnie) otoczenia, współpracowników w pobliżu, czy też typowo domowe sytuacje oraz okoliczności (np. dzieci). Gdy człowiek traci tę czujność, jest bardziej podatny na zagrożenia, więc np. łatwiej nabierze się na phishing. Dopilnuj zatem, aby tym bardziej zwracano uwagę na zakaz klikania w niezamówione linki lub otwierania niespodziewanych załączników. Więcej na ten temat również dowiesz się z odrębnego artykułu ‘Jak chronić swój e-biznes przed atakiem?’.
Dlatego w domu posiadam specjalnie konto do pracy zdalnej i do użytkownika po pracy. Dzięki temu mam pewność co jest obecnie zainstalowane i że inna osoba nic nie zrobi z wgraniem wirusów czym tym podobnych.
Oczywiście najlepsza opcja to całkiem oddzielny sprzęt, ale nie wszyscy posiadają takie warunki.