(Nie)bezpieczeństwo pracy zdalnej.

Hasła i dwuskładnikowe uwierzytelnianie.

            Wróć proszę do odrębnego artykułu ‘Jak chronić swój e-biznes przed atakiem?’. W sytuacji pracy zdalnej również występują podobne zagrożenia i doskonale sprawdzą się opisane tam metody. Dodatkowo weź pod uwagę, że taki tryb pracy zazwyczaj wymusza częściej występująca konieczność logowania do zasobów firmowych, a w dodatku w dużo mniej przyjaznych warunkach. Tak więc, jeśli w trybie stacjonarnym, w jakimś elemencie struktur nie występowała konieczność uwierzytelniania dwuskładnikowego, tutaj może być zupełnie inaczej. O wiele większa skala ryzyka powinna skłonić Cię do ponownego przemyślenia tej kwestii. Jeśli masz wątpliwość, najlepiej wyjdź z założenia, że 2FA prawie zawsze będzie dobrym pomysłem.

Udostępnianie pulpitu.

            Praca zdalna, to również przypadki chwilowego udostępniania jakiegoś lokalnego zasobu. Czy to np. podczas wideokonferencji, czy w trakcie omawiania jakiegoś problemu, na przykładzie np. działającej aplikacji, czy w końcu udostępnianie komputera adminowi lub serwisantowi. Poza rzeczami elementarnymi, jak np. przestrzeganie hierarchii uprawnień (np. kierowca nie powinien żądać dostępu do danych kadrowych), zwróć uwagę na zagrożenia zewnętrzne. Pamiętaj, że funkcjonalność udostępniania pulpitu może zostać wykorzystana bez Twojej wiedzy, np. do przejęcia kontroli nad komputerem.
Wiele włamań (jeśli nie większość) udało się tylko dlatego, że został wykorzystany jakiś błąd ludzki. Dwóch rzeczy nie powinieneś nigdy odpuścić, zawsze najpierw upewnij się, że ten, kto prosi o dostęp:

  • ma prawo go żądać (ww. przykład kierowcy),
  • rzeczywiście jest tym, za kogo podaje się (np. zadzwoń do admina na jego oficjalny nr i zapytaj, czy to na pewno on właśnie czeka na zezwolenie dostępu).

Blokowanie ekranu to musi być nawyk.

            Wcześniej wspomniałem, że udostępnianie firmowego sprzętu w ogóle nie powinno mieć miejsca i mam nadzieję, że jest to dla Ciebie oczywiste. Weź jednak pod uwagę, że może również dojść do sytuacji, gdy udostępnisz komputer nieświadomie. Pamiętaj, że atakującemu może wystarczyć dosłownie kilka sekund. Oczywiście, zazwyczaj w swoim pokoju nie będziesz spodziewał się czekającego pod biurkiem włamywacza, ale już np. w pociągu, ogrodzie, kawiarni., itp. to jest możliwe. Ale również w domu może zdarzyć się wpadka – wystarczy, że przebiegające dziecko potknie się i przypadkiem dotknie myszki, wciśnie jakiś ‘enter’, itp. Najlepiej więc, abyś wypracował w sobie (oraz wymógł na współpracownikach) nawyk blokowania ekranu nawet w sytuacji, gdy odchodzisz „dosłownie na moment”.

Telefony.

            Pamiętaj również, aby zapanować nad telefonami, jeśli są używane w Twojej organizacji. Tutaj czyhają cztery główne zagrożenia:

  • Czasem telefon zostanie wykorzystany do realizacji jakiegoś służbowego zadania (np. skan/zdjęcie dokumentu), z wykorzystaniem standardowej aplikacji (a nie specjalnej, firmowej). Oczywiście lepiej, aby w ogóle unikać takich sytuacji. Jeśli jednak już do niej dojdzie, to przynajmniej pamiętaj, że wiele z tych aplikacji łączy się z zewnętrznymi zasobami, nad którymi nie masz żadnej kontroli. Pierwszy przykład z brzegu: włączona na Androidzie synchronizacja danych z kontem na Google. I nawet, jeśli to konto należy do Twojej organizacji – jesteś pewien, że chcesz, aby Twoje poufne dokumenty ‘pływały w tym oceanie’?
  • W przypadku, gdy pozwalasz używać standardowych aplikacji do połączeń z zasobami firmy (klient pocztowy, klient VPN, przeglądarka) musisz pamiętać, że większość z nich domyślnie chce robić wiele niekontrolowanych rzeczy. Musisz więc zadbać o opracowanie odpowiedniej procedury (np. instrukcji konfiguracji) i wymuszenie stosowania jej przez użytkowników.
  • Zabroń, albo przynajmniej wymuś ograniczenie instalowania innych aplikacji, poza niezbędnymi do samej pracy. Mimo, iż operatorzy sklepów z apkami dokładają starań, aby minimalizować zjawisko, co chwilę ujawniane są złośliwe aplikacje. Dobry programista (a zły człowiek) potrafi stworzyć takie oprogramowanie, które np. będzie do złudzenia przypominało uznany produkt, więc dosyć łatwo się nabrać. Do tego pozostaje problem opinii – podobnie, jak np. w przypadku usług hostingowych (artykuły w Rozdziale III poradnika), w Sieci kwitnie nieuczciwy handel, kupienie np. tysiąca poleceń, to żaden problem i niewielki koszt.
  • Dzisiejsze telefony to przecież trochę inaczej poukładane komputery, a jednocześnie prawie tak małe, jak pendrive. No, ok, dysk. Tak, czy inaczej, tak samo łatwo mogą zostać zgubione lub skradzione. Musisz więc traktować kwestie ich bezpieczeństwa tak samo, jak np. w przypadku laptopa.

Drukarki, skanery i niszczarki.

            Niestety, kolejny problem, nad którym dosyć trudno zapanować w warunkach domowych, a jednocześnie może stanowić sporą wyrwę w systemie ochrony. Urządzenia peryferyjne, generalnie bywają zmorą dla administratorów bezpieczeństwa, nawet w firmie, gdzie zazwyczaj warunki są o niebo lepsze, od omawianej sytuacji. Ich oprogramowanie bywa dziurawe, stare, podatne na infekcje, a jednocześnie często przechowują w pamięci wiele poufnych danych i są podłączone do sieci. Sytuacja komplikuje się jeszcze bardziej w warunkach domowych, bo np.:

  • Drukarka – najczęściej w domu jest jakaś, ale pamiętaj, że wiele z nich ma swoją pamięć. Nierealny jest wymóg, aby każdorazowo skutecznie czyścić pamięć. Zastanów się do kogo trafią ew. poufne dane, gdy za jakiś czas drukarka zostanie sprzedana lub wyrzucona, zakończysz współpracę, itp. Pozostaje również problem kontroli samych wydruków, raczej rzadko będą przechowywane w sposób spełniający wymogi bezpieczeństwa (oraz zobacz punkt dot. niszczarki poniżej). Właściwie masz tylko dwie możliwości i żadna nie będzie idealna:
    • zabroń drukowania, przynajmniej poufnych informacji,
    • wyposaż pracownika w służbową drukarkę, zadbaj, aby nie była podłączona do Sieci lub odpowiednio zabezpieczona i na zakończenie współpracy sprzęt musi powrócić pod kontrolę firmy.
  • Skaner – jeżeli jest, to zagrożenia są właściwie analogiczne, jak w przypadku drukarki. Tym bardziej, że w warunkach domowych najczęściej jest to tzw. kombajn, jedno urządzenie. Powinieneś więc postąpić analogicznie. W przypadku, gdy nie ma do dyspozycji skanera, bądź zabronisz jego używania, pamiętaj o tym, aby:
    • zabronić używania prywatnego telefonu jako skanera lub aparatu,
    • stosować wszystkie obostrzenia z punktu o telefonach (powyżej), jeżeli dopuścisz taką możliwość za pomocą telefonu służbowego.
  • Niszczarka – to chyba najrzadziej spotykane urządzenie w prywatnym domu. Powstaje więc problem trwałego zniszczenia poufnego dokumentu, a w żadnym przypadku nie wolno go wyrzucić do zwykłych śmieci. Właściwie masz tylko trzy możliwości:
    • zabroń drukowania/przechowywania,
    • wyposaż pracownika w służbową niszczarkę, mimo dodatkowego kosztu,
    • wypracuj procedurę bezpiecznego przechowywania przez pracownika takich dokumentów i okresowego przekazywania do zniszczenia w ramach struktur organizacji.

Wideo- i telekonferencje, czaty, komunikatory.

            Musisz mieć świadomość, że tego typu rozmowy mogą mieć dwojaki charakter. W części poruszane są tematy, których ew. wyciek nie będzie stanowił jakiegoś wielkiego zagrożenia, to prawda. Jednak odgórne założenie, że rozmowy zawsze będą wyraźnie dzieliły się na te ‘lekkie’ oraz poufne, może być bardzo złudne. Z co najmniej trzech powodów:

  • Nigdy nie przewidzisz, czy rozmowa, która miała dotyczyć np. ustalenia jakiegoś terminu, w którymś momencie nie przekształci się w dłuższą i nie zostaną poruszone inne tematy, w tym te poufne. Organizacja żyje, zapewne dziennie coś się dzieje, a zespół próbuje dostosować się do sytuacji. Powinieneś też pamiętać, że ludzie popełniają błędy i np. jakieś poufne zagadnienie, w oczach innej osoby zostanie ocenione inaczej. Istnieje również kolejny problem, związany z ludzką naturą, czyli skłonność do uproszczeń, pośpiechu i zachowań w rodzaju „ok, załatwmy to raz dwa i z głowy”, czy zwykłego lenistwa.
  • Jak w każdej formie komunikacji na odległość, występuje problem zabezpieczenia się przed metodami socjotechniki, jak np. próbą podszycia pod inną osobę.
  • Ochrona komunikacji, to nie tylko zabezpieczanie samej treści rozmowy. Podczas takiego połączenia często dochodzi do wymiany wielu innych informacji, jak np. synchronizacja kontaktów, przesyłanie metadanych. Skuteczny napastnik, zanim podejmie próbę włamania, najpierw dobrze przygotowuje się do ataku, szukając wszystkich słabych punktów. Tego typu informacje mogą być dla niego bardzo cenne.

Jak sobie z tym radzić? Przede wszystkim:

  • Nie pozwalaj na używanie do celów służbowych innych komunikatorów od tych, które dopuściła firma. A, już pod żadnym pozorem, wszelkiego rodzaju szeroko znanych i bezpłatnych komunikatorów społecznych. Nie powinieneś tego robić nawet w sytuacjach w rodzaju „pilna sprawa, a pod ręką mam tylko to”.
  • Upewnij się, że dopuszczony komunikator i/lub wdrożone procedury nie pozwalają na dołączanie poprzez kliknięcie w link, bez dodatkowej weryfikacji i bez wyraźnego komunikatu o nowym uczestniku. Nie wolno dopuścić do sytuacji, w której nieuprawniona osoba mogłaby ‘po cichu’ dołączyć do rozmowy.
  • Upewnij się, że komunikator używa szyfrowania i każdorazowo jest ono włączane. Najlepiej, gdy sposób szyfrowania gwarantuje, iż treść pozna tylko nadawca i odbiorca (end-to-end) i/lub komunikacja nie jest zapisywana w jakiejś niezdefiniowanej chmurze.

Kamery i mikrofony.

            Tutaj zdania wśród specjalistów są nieco podzielone. Jedni wychodzą z założenia, że skoro istnieje techniczna możliwość przejęcia dostępu, to lepiej nie ryzykować i najlepiej zupełnie wyłączyć. Z kolei inni mówią, że i tak nie ochroni nas to, skoro w dzisiejszych czasach wokół jest mnóstwo innych kamer (w tym w telefonach), a samo podejrzenie nie jest aż takie groźne. Po co więc tracić funkcjonalność (np. podczas wideokonferencji), w imię wyimaginowanych zagrożeń. Proponuję zatem postąpić wg jednego ze scenariuszy:

  • W przypadku, gdy stosunkowo często używasz kamery, np. do wideokonferencji, zasłaniaj kamerę (istnieją specjalne samoprzylepne ‘żaluzje’, a nawet można użyć kawałka zwykłej taśmy izolacyjnej). I oczywiście odsłaniaj ją tylko na czas jej użycia, pamiętając każdorazowo o ponownym zasłonięciu. Alternatywą może być całkowite wyłączenie wbudowanej kamery i mikrofonu oraz używanie ich w postaci urządzeń zewnętrznych, podpinanych tylko w razie potrzeby.
  • Natomiast, jeżeli używasz kamery i mikrofonu bardzo rzadko lub wcale, wówczas po prostu wyłącz je całkowicie w systemie oraz dodatkowo zasłoń kamerę.

Nie są to metody 100%-wo skuteczne, ale przynajmniej unikniesz przypadkowych lub krępujących sytuacji, o które w warunkach domowych o wiele łatwiej.

Nie klikaj, czyli phishing i inne niecne numery.

            Sytuacja związana z pandemią, niestety w żaden sposób nie wpływa na zmniejszenie przestępczości informatycznej. Co najwyżej zdarzyło się kilka przypadków, że przestępcy odstąpili od wymagania okupu za odszyfrowanie dysków lub zmniejszyli kwotę w przypadku jakiegoś szpitala. Generalnie jednak, tendencja jest wręcz odwrotna, ponieważ w ogólnym chaosie łatwiej znaleźć podatną ofiarę. Poza tym, jak już wcześniej wspomniałem, zazwyczaj ‘pół-domowy’ charakter pracy powoduje, że spada uważność. Zapoznaj się proszę z artykułem ‘Jak chronić swój e-biznes przed atakiem?’. I weź pod uwagę, że wszystkie wskazane w nim zagrożenia (oraz sposoby przeciwdziałania) są nie tylko wciąż aktualne, ale wręcz mogą być spotęgowane. Włącznie z problemem podszywania pod inne osoby, strony, systemy, instytucje, itd. Mimo, iż od tych historii minęło już trochę czasu, wciąż maksyma „łamałem ludzi, a nie hasła” Kevina Mitnicka jest jak najbardziej aktualne.

Wsparcie pracowników w razie awarii.

            W każdej organizacji powinien być wypracowany, znany wszystkim współpracownikom i przestrzegany przez nich, sposób realizacji wsparcia IT. Procedura, która zapewni, że:

  • każda osoba w organizacji będzie dokładnie wiedziała z kim i w jaki sposób ma kontaktować się w razie jakiegoś problemu,
  • nikt nie będzie czuł obawy przed takim kontaktem (np. przed ośmieszeniem), a wręcz powinien być taki nakaz.

Tylko w ten sposób masz szanse uniknąć sytuacji, w której pracownik będzie szukał pomocy na własną rękę lub ignorował jakiś błąd, czyli narażał Cię na wiele zagrożeń, różnego rodzaju, w dodatku bez Twojej wiedzy. Po raz kolejny odsyłam do artykułu ‘Jak chronić swój e-biznes przed atakiem?’, gdzie znajdziesz wiele informacji na ten temat. Pamiętaj też, że odpowiednie procedury chronią również w drugą stronę. Np., gdy pracownik poprosi o zmianę danych dostępowych (np. hasła) do jakiegoś firmowego zasobu. Wówczas administrator musi mieć pewność, że prosi osoba uprawniona.

Nie zmieniaj danych na słowo.

            Nie dopuść do sytuacji, w której ktoś zmieni jakiekolwiek dane (w tym również np. kontrahenta), w oparciu o niezweryfikowaną informację. Na przykład w sytuacji, gdy otrzymasz od rzekomego kontrahenta powiadomienie o nowym numerze rachunku, telefonu, loginie w komunikatorze, itp., zawsze sprawdzaj, czy informacja rzeczywiście pochodzi od uprawnionej osoby. Każda zmiana takiej informacji, jak np. numer rachunku bankowego, numer telefonu osoby uprawnionej, musi mieć wcześniej ustaloną i dopełnioną procedurę.

Ekran, wraz z całą jego zawartością, należy do firmy.

            Człowiek ma swoje wady, przyzwyczajenia i pragnienia. Nie pozwól, aby pracownik udostępniał w social mediach zdjęcie sprzętu, który jest wykorzystywany do pracy, np. dlatego, że chciał pochwalić się nową zabawką. I nie chodzi tutaj wyłącznie o tak skrajne przypadki, jak np. widoczny na takim zdjęciu CRM z danymi kontrahenta, czy fragment korespondencji. Już same informacje o używanym o/sprzęcie, w pewnych sytuacjach mogą być podpowiedzią dla potencjalnego włamywacza. A, że nie sposób stworzyć pełnej listy wszystkich możliwych przypadków, kiedy może dojść do naruszenia poufności, po prostu trzeba w ogóle zabronić takich działań.

            W dobrze zorganizowanej przestrzeni biurowej, m.in. minimalizuje się możliwość podejrzenia ekranu przez osoby postronne. Oczywiście, nadal zdarzają się przypadki, kiedy to przechodząca obok biurowca osoba może dokładnie zobaczyć, co takiego ogląda jakiś pracownik, ale mowa tutaj o odpowiedzialnych organizacjach. Niestety, w systemie pracy na odległość i ten problem dużo trudniej rozwiązać. Tym ważniejsze są porady z punktu o blokadzie ekranu oraz konieczność uświadamiania i przypominania.

Chroń firmowe pliki.

            Przygotuj odpowiedni sposób i miejsce do bezpiecznej wymiany dużych plików pomiędzy współpracownikami. Pamiętaj, że poczta elektroniczna ma swoje ograniczenia, więc musisz zadbać o alternatywę. Nie pozostawiaj wyboru innej osobie, bo wówczas będzie ona korzystała z powszechnie dostępnych, bezpłatnych rozwiązań. Systemów, które mogą być bardzo dobrą usługą, ale z pewnością nie dla plików, zawierających poufne informacje. Przygotuj własny serwer plików lub skorzystaj z profesjonalnej i bezpiecznej usługi oraz poinstruuj użytkowników jak mają z niego korzystać. Więcej na ten temat oraz podpowiedzi znajdziesz w artykule ‘Jak chronić swój e-biznes przed atakiem?’.

Podsumowanie

W jaki sposób zorganizować pracę zdalną? Jak współpracować na odległość i jednocześnie zapewnić elementarne bezpieczeństwo? Niniejsza publikacja pomoże Ci znaleźć odpowiedzi na tego rodzaju pytania. Bez marketingowej ściemy, uczciwie, obiektywnie i merytorycznie.

Polub proszę nasz FanPage, abyśmy mieli szansę Cię poinformować o nowych publikacjach :).

Przypominam również, że w ramach pakietów hostingowych masz dostęp do cPanel. Za jego pośrednictwem uruchomisz lub skonfigurujesz setki aplikacji i ustawień, w tym wiele platform, dzięki którym możesz wesprzeć procesy pracy na odległość.

Potrzebujesz dodatkowej pomocy lub porady? Serdecznie zapraszamy do naszego Działu Pomocy lub do kontaktu z Pomocą Techniczną.

Servizza Team, przy wsparciu Stefana wsparciu Stefana stefan-servinski-servizza