Útmutató és gyakorlati tanácsok a biztonságos távoli munkavégzéshez

2020. március 16. hétfő, 17:14
A világjárvány miatt kialakult vészhelyzetben egyre több cég, illetve szervezet kényszerül arra, hogy távoli munkavégzési lehetőséget biztosítson minél több munkatársának.

Twitter megosztás
Cikk nyomtatása

Mivel a kihívások sokszor lehetőségeket is rejtenek, így jó lehet, ha itt is keressük ezeket. A távmunkával – a járvány elleni fontos védekezés mellett – kényelmesebb munkakörnyezetet, rugalmasságot adhatunk kollégáinknak, miközben csökkentjük az irodai költségeinket. Másrészt tekinthetünk jelen helyzetre, mint a szervezetünk digitalizációjának fejlődésére, ami komoly hatékonyság növelő tényező is lehet. E mellett persze fontos az adat, információ és informatika biztonság fejlesztése is, mind a személyes adatok, mind az üzleti, pénzügyi adatok tekintetében!

Tekintettel arra, hogy a távmunka kialakítására sokan nem készültek fel tudatosan és tervszerűen, így ez komoly informatikai biztonsági kockázatokat is rejthet magában. Mint tudjuk, a fizikai világunkban is katasztrófa-helyzetek esetén megjelennek fosztogatók és rendbontók.  Sajnos a szakértők arra számítanak, hogy a kibertérben kialakult jelenlegi helyzetet egyes bűnözői, illetve hacker csoportok ki fogják használni.

Cikkünkben szeretnénk rövid áttekintést adni arról, hogy amennyiben távoli munkavégzést teszünk lehetővé, úgy mely biztonsági területekre figyeljünk.

Szabályozás

Alapvető dolog, hogy a munkavégzés kereteit, szabályait rögzíteni kell, nem csak a munka és idő tekintetében, de a biztonság területén is. Ez számos szervezetben bizonyára létezik, azonban át kell tekintetni, hogy a távmunka szabályai is megfelelően rögzítve vannak-e, például nyilvántartások, engedélyezések, titoktartás, betartandó szabályok. Ez talán felesleges időhúzásnak és macerának tűnhet jelen helyzetben, azonban egy későbbi incidens esetén ez fontos lehet és akkor már nem fogjuk tudni pótolni. A szabályozásnak fontos része, hogy ki-mihez-hogyan férhet hozzá, ez egy nagyon fontos terület. A szabályozás előzetes áttekintése, meghatározása olyan, mint egy projekt elején a gondos tervezés: ugyan idő és erőforrás megy el rá, de az a későbbiekben hasznosnak, sőt elengedhetetlennek bizonyul.

Ezután a felhasználó irányából haladjunk a céges hálózat felé:

Kliensek biztonsága

Talán az összes komponens közül a kliensek biztonságának biztosítása a legnehezebb feladat, így érdemes ezzel külön is foglalkozni – akár külön cikket is szánhatnánk neki.

Ahogy a napokban hallhattuk számos cég nincs felkészülve arra, hogy céges laptoppal lássa el a munkatársakat, így magántulajdonú eszközöket engednek be a céges hálózatra. Ennek a biztonsági kérdései természetesen nem új-keletűek, amióta sok cégnél létezik a BYOD (bring your own device – hozd a saját eszközöd), azóta van ezzel probléma. Saját tulajdonú gép esetében a szabályozásnak erre a területre külön ki kell térni, munka, adózási és biztonsági szempontból is.  Természetesen önmagában a céges eszköz nem predesztinálja a biztonságot, számos biztonsági megfontolást kell figyelembe venni, bármely eszköz esetében is.

Néhány gyakorlati tanács:

  1. A laptopok, otthoni gépek adattárolóit javasolt titkosítani. Így egy eszköz elvesztése / ellopása esetén nem kompromittálódnak a rajta tárolt adatok, illetve hozzáférések.

  2. A gépet mindenképpen védjük erős azonosítással, erős jelszóval (vagy akár egyéb hitelesítési móddal: ujjlenyomat, sms-es kiegészítés)! Hordozható eszköz lévén sokkal könnyebben hozzáférhetnek illetéktelenek, így ha egyszerűen be tudnak lépni, könnyen elérhetik a fájlokat, a levelezést, sőt legrosszabb esetben mindent, akár a belső céges hálózat elemeit is. Különösen veszélyes ez, ha az alkalmazás / rendszer jelszavak is el vannak mentve a gépen, és automatikus bejelentkezés van a rendszerek esetében! Ezekben is használjunk erős, akár több elemű hitelesítést (mint például a banki rendszereknél az SMS).

  3. Lehetőség szerint céges adatokat ne tároljunk a felhasználói gépen! A dokumentumokat, táblázatokat mentsük a céges hálózatra, céges erőforrásokra, hiszen az adatok menthetőségét így garantáljuk. Ami a felhasználói gépen van – főleg ha az magán tulajdonú – az nem biztos, hogy mentésre fog kerülni. Másrészt GDPR szempontból is aggályos, ha a saját tulajdonú gépünkön keverednek a magán / személyes, illetve a céges adatok; ez céges gépen jobb ha tiltott.

  4. A munkára használt gépet lehetőleg ne használja más felhasználó, például családtagok, gyerekek – céges gép esetében ez legyen szabály! Adott esetben komoly biztonsági kockázata lehet, ha a gépen más felhasználók online játékokat játszanak, szoftvereket, illetve egyéb tartalmakat töltenek le. A vírusfertőzéstől a nem megengedett tartalmakig számos kockázati tényező felmerülhet ebben az esetben.

  5. A magán tulajdonú gépek esetében is érdemes a munkával foglalkozó felhasználóhoz külön felhasználói fiókot rendelni, hogy más felhasználó esetleges incidenseinek hatását csökkentsük. Ugyanígy nem javasolt adminisztrátori fiókkal dolgozni, böngészni, játszani, hisz ebben az esetben egy támadás az egész gépet – s benne a munka területet – is kompromittálhatja.

  6. Minden munkagép szoftvereit – mind a rendszer, mind az alkalmazói szoftvereket – naprakészen kell tartani, a biztonsági frissítéseket rendszeresen telepíteni kell! Ezt céges gépek esetében távmenedzsmenttel, szabályokkal ki lehet / kell kényszeríteni. Ennek hiányában könnyen támadás áldozata lehet a gépünk, s ezen keresztül a céges infrastruktúra is.

  7. A felhasználói gépeken legyen vírusvédelmi eszköz, amelyek adatbázisát rendszeresen frissíteni kell! Céges gép esetében erről nyilván a szervezetnek kell gondoskodnia, de magántulajdonú gépek esetén ez szükséges védelem. Bizonyára nem válna dicsőségünkre, ha a céges hálózatot a mi magángépünkről döntené romba egy zsarolóvírus.

  8. A VPN kiszolgáló a csatlakozáskor ellenőrizze a csatlakozandó kliens gép biztonsági beállításait, például az operációs rendszer és a vírusvédelem állapotát.

  9. Oktatás: mivel általános biztonsági tapasztalat, hogy az egyik leggyengébb láncszem az ember, így mindenképpen emeljük a kollégák biztonság tudatosságát! A biztonsági szabályzatok, eljárások, illetve szoftverek használatának oktatása jelentősen csökkentheti az esetleges incidensek számát, illetve lehetséges következményeit. Természetesen manapság ezen a területen is számos rendszer áll rendelkezésre, hogy az oktatásokat is on-line valósítsuk meg!

Biztonságos kapcsolat

A biztonságos kapcsolatnál az egyik legelterjedtebb jó gyakorlat, hogy ha a felhasználó kliense és az elérendő, céges belső rendszer között egy VPN (virtuális magán hálózat) kapcsolatot építünk ki. Persze nem ez az egyetlen megfelelő eljárás, de az ilyen összeköttetéseknél is több dologra kell figyelni. A VPN kapcsolat kialakítása során – amelyre számos megoldás létezik -  követni kell a gyártói ajánlásokat, jó gyakorlatot (hardening guide), hogy ne használjunk gyenge beállításokat (pl.: gyenge titkosítás, szivárgó információk a felhasználókról). A megfelelő kapcsolat biztosíthatja, hogy csak azok a gépek férjenek hozzá, amelyeket mi meghatározunk: alkalmazhatunk különböző szűréseket, akár gépekre, akár földrajzi területekre, akár idősávokra. Ezek beállítása szakértelmet igényel.

Számos, egyébként elterjedt rossz gyakorlat nem javasolt, ilyenek például a terminál szerverek közvetlen elérése windows távoli asztallal (RDP, Remote Desktop Protokoll) vagy SharePoint portálok közvetlen elérése http vagy akár https-en keresztül, vagy Windows fájlszerver közvetlen internetes elérése (SMB protokollon keresztül).

Azonosítás, hitelesítés

A távoli felhasználók egyértelmű azonosítása elengedhetetlen a hozzáférések kialakításánál és a működés közbeni tevékenységek nyomon követésénél. Ennek érdekében csak személyhez köthető VPN felhasználói azonosítókat biztosítsunk a távolról csatlakozóknak.

A távoli VPN csatlakozáshoz csak a kétfaktoros hitelesítés tekinthető kellően biztonságosnak, amelynek során a felhasználónak a jelszava mellett van egy további hitelesítője (második faktor), amely típusa függ a választott VPN megoldástól. Ez leggyakrabban sms-ben kapott egyszeri kód (OTP), mobil alkalmazás (pl. Google Authenticator) vagy valamilyen fizikai eszköz (token). Gyakran láthatunk olyan VPN kialakítást, amely csak felhasználói nevet és jelszót használ a hitelesítéskor, ezek a hálózatok előbb-utóbb a támadók áldozatává válnak.

A VPN hozzáférés kialakításakor másik gyakori hiba, hogy a csatlakozási adatokat e-mailben küldik ki a felhasználónak. Ez a megoldás azért nem jó, mert egy támadó aki hozzáfér a felhasználó levelezéséhez ezzel megkapja a VPN csatlakozási adatokat és így már a levelezés mellett a céges hálózathoz is hozzáférést szerezhet.

Hozzáférések

A hozzáférések biztosításánál mindenképpen kerülni kell azt, hogy a felhasználó a teljes belső hálózathoz hozzáférjen távolról. Az alapelv, hogy mindenki ahhoz, és csak ahhoz férjen hozzá, ami szükséges a munkájához. Ez természetesen a vezetőkre és az informatikus kollégákra is vonatkozik!

Ennek megfelelően jól kell konfigurálni, hogy a felhasználó mely belső rendszerekhez, könyvtárakhoz, erőforrásokhoz férjen hozzá.

Természetesen ehhez is az informatikus kollégáknak megfelelő szinten értenie kell a használt technológiákhoz. A hozzáféréseket egyébként lehet korlátozni gépekre, könyvtárakra, szolgáltatásokra. Megoldható, hogy a felhasználó akár csak egyetlen szolgáltatáshoz, könyvtárhoz férjen hozzá.

Abban az esetben, ha ez a szervezet számára egy új, gyorsan megoldandó feladat, amit nem gondolnak át megfelelően, úgy sajnos az a tapasztalat, hogy a kevéssé jó szakértők gyakorlatilag kinyitják a teljes hálózatot és mindenki hozzáférhet mindenhez. Ez beláthatatlan kockázatokkal jár. Egy felhasználói gépet támadó zsaroló vírus pont azt fogja látni, amit a felhasználó, így ha neki túl nagy jogosultsága van, akkor a támadó is ezzel fogja elérni a belső hálózatot. Ha egy zsaroló vírus elszabadul, akkor a teljes hálózatot fogja támadni, és ennek egy magán tulajdonú, rosszul karbantartott gép esetén nem kicsi a valószínűsége.

Határvédelem, monitoring

Tekintettel arra, hogy a szervezet megnyitja a távoli hozzáféréseket a felhasználók számára, így esetlegesen újabb feladatok is felmerülhetnek. Míg egy belső hálózat védelme esetében – szélsőséges esetben – akár az internetről is leválasztható, addig ebben az esetben ez nyilvánvalóan nincs így. A távmunkát kiépítő cégek esetében mindenképpen fontos feladat a hálózati határvédelem megfelelő kialakítása. A tűzfalak, proxy-k, VPN érkeztetők nem túl közismert eszközök az egyszerű felhasználók számára, mégis kiemelt fontosságúak a hálózatok védelmében. Feladatuk, hogy a szervezet által meghatározott biztonsági beállításokat (hozzáférések kezelése) technikai eszközökkel kikényszerítsék a hálózatban, megakadályozva ezáltal az illetéktelen hozzáféréseket!

Mivel a távoli munkavégzéssel jelentősen átalakul a hálózatunk működése, így azt monitorozni érdemes. A rendszerünk monitorozásának alapvetően két célja van: elsőként érdemes figyelni a szervereink, szolgáltatásaink állapotát, működését, mivel itt egy rendszerleállás komolyabb következményekkel is járhat, mint benti irodai munka esetén. Távmunkában az erőforrások elérhetetlensége akár meg is akadályozhatja a munkavégzést, míg egy esetleges belső hálózaton, az irodában történt kiesést könnyebb időszakosan pótolni.

Másik terület az események, illetve a forgalom biztonsági ellenőrzés célú monitorozása. Itt azt vizsgálják a szakértők – illetve egyes biztonsági eszközök – hogy biztonsági szempontból rendben működnek-e a rendszerek, nincs-e nyoma támadásnak. Ezeket manapság már igen fejlett módon lehet igénybe venni, sőt specialista cégek akár távolból nyújtott szolgáltatásként is tudják ezt biztosítani!

Ellenőrzések

Sajnos a technikai-technológia beállítások meglétét egy vezető nem feltétlenül tudja ellenőrizni. Másrészt az időnyomás alatt dolgozó informatikai munkatársak, illetve azok, akik most először találkoznak ilyen feladatokkal könnyen lehet, hogy hibáznak: a funkcionalitást meg tudják valósítani, azonban a biztonsági követelményekkel bajok lehetnek. Ezt két módon lehet elkerülni: először a speciális feladatokra (tűzfal, VPN beállítás) érdemes szakértőket alkalmazni. Másodszor adminisztratív és gyakorlati biztonsági vizsgálatokkal, sérülékenység vizsgálatokkal lehet ellenőrizni azt, hogy valóban azok a jogosultságok, hozzáférések és kapcsolatok kerültek-e kialakításra, amit a szervezet vezetése meghatározott. Jobb ezt még azelőtt elvégezni, mielőtt a fosztogatók, vagy zsaroló vírusok találnak rá a hálózatunkra!

Összefoglalás

Fenti javaslatok természetesen egy nagyobb cég esetében komoly feladatokat jelentenek, azonban a mai világban ezeket nem lehet megúszni – nem az egészségügyi vészhelyzet miatt, hanem – a kiberbiztonság jelenlegi helyzete miatt. A gazdasági folyamatokkal mit sem törődve a kiberbűnözés folyamatosan növekszik. Ironikus lenne a helyzet, ha cégünket digitalizációval, hatékonyságnöveléssel megmentjük a koronavírus által okozott következményektől, majd egy zsarolóvírus tönkreteszi az eredményeket. Olyan lenne ez, mintha frissen megnyitott és prosperáló éttermünkben tűz keletkezne a konyhában, mert nem figyeltünk a tűzbiztonsági előírásokra.

Megjegyezzük, hogy a javasolt megoldások közül számos megoldható szabad szoftverek alkalmazásával, licenc díjak fizetése nélkül is. Persze a megfelelő szaktudás ezekhez is szükséges, de ez a kereskedelmi termékekre, és a „dobozos” megoldásokra is igaz. Nem az cél, hogy sokat költsünk a biztonságra, hanem hogy ezt hatékonyan, tudatosan és kockázat arányosan tegyük!

Összegezve: Az emberi élet és az egészség a legfontosabb! Jelenleg a távmunka lehetőségek bővítése az egyik legjobb eszköz ennek védelmére, aminek viszont meghatározó komponense a kiberbiztonság! A jelenlegi nehéz helyzetben használjuk ki a modern technika lehetőségeit, hogy hatékonyabban, kényelmesebben és rugalmasabban de mindezek mellett biztonságosan tudjunk dolgozni.

Erdei Csaba az Infotér Egyesület és a Modern Vállalkozások programjának IT biztonsági szakértője, valamint az ACPM IT Kft. IT biztonsági tanácsadó cég ügyvezetője

Badari Csaba az ACPM IT Kft. IT biztonsági szakértője

Fotó: pexels.com