Bezpieczeństwo pracy zdalnej

Praca zdalna to dzisiaj powszechny element korporacyjnego krajobrazu. Sięgają po nią także małe i średnie przedsiębiorstwa, doceniając elastyczność takiej formy zatrudnienia. Pracownik zdalny to jednak, poza wygodą, także szereg zagrożeń związanych z faktem, że dane z założenia są przetwarzane poza firmą w środowisku, któremu często daleko do bezpieczeństwa.

Praca zdalna to dzisiaj zarówno pracownicy rozliczani w systemie zadaniowym (opcja zwłaszcza atrakcyjna dla rodziców), jak i na codzień pracujący w terenie. Pracownik dysponuje zwykle komputerem lub PDA zawierającym dane firmowe, z dostępem do sieci firmowej. Może pracować na komputerze przez większość czasu pozostającym u niego w domu, może kilka razy w tygodniu jeździć z laptopem do biura, może też wreszcie codziennie poruszać się pomiędzy klientami, spędzając więcej czasu w samochodzie niż w biurze. Dla wielu organizacja głównym problemem w takim przypadku będzie nie tyle utrata laptopa czy PDA, co utrata zawartych na nim danych - w przypadku danych wrażliwym może się to wiązać z poważnymi konsekwencjami finansowymi.

W każdym z tych scenariuszy zarówno pracownik jak i przetwarzane przez niego dane znajdują się poza macierzystym biurem, które stanowi zwykle środowisko o podniesionym poziomie bezpieczeństwa. Na środowisko to składają się elementy takie jak kontrola dostępu do biura, systemy alarmowe, gaśnicze, niszczarki dokumentów, sejfy czy chociażby firmowa zapora sieciowa, system wykrywania włamań i antywirusowy. Z drugiej jednak strony warto zauważyć, że pracownik, który pracuje lub nawet potencjalnie może pracować poza biurem to także element poprawiający ciągłość działania firmy w razie braku dostępu do biura (pożar, zalanie, awaria zasilania). Zwłaszcza w przypadku jesiennych epidemii grypy czy zwykłych przeziębień sama możliwość pracy w domu pozwoli ograniczyć liczbę pracowników wyłączonych z pracy z powodu choroby.

Zobacz również:

  • Czym jest system zabezpieczeń DLP - Data Loss Prevention?
  • To bezpłatne narzędzie pozwala ofiarom ataków MegaCortex odzyskiwać pliki

Podstawowe zagrożenia dla pracowników mobilnych wiążą się z przewożeniem przez nich laptopów, które w ten sposób są narażone na kradzież czy zgubienie w stopniu znacznie większym, niż gdyby stale znajdowały się one w biurze czy w domu. Komputer służbowy przechowywany na stałe w przeciętnym mieszkaniu jest również narażony na kradzież w większym stopniu niż w biurze. Najskuteczniejszym rozwiązaniem jest tutaj szyfrowanie dysków (full-disk encryption). Dzięki niemu w razie kradzieży lub zgubienia sprzętu jedyną stratą jest sam sprzęt, którego wartość w porównaniu z wartością danych jest często pomijalna. Ryzyko kradzieży z mieszkania może ograniczyć także stosowanie linek zabezpieczających. Natomiast zabezpieczeniem najprostszym i równocześnie najtańszy jest regularna edukacja i przypominanie pracownikom jak ograniczyć ryzyko kradzieży podczas podróży - pilnowanie bagażu w pociągu oraz samolocie i nie pozostawianie sprzętu w samochodzie nawet podczas "pięciominutowego wypadu do sklepu".

Kolejne istotne zagrożenie to dane przenoszone przez użytkowników na pamięciach flash czy dyskach USB np. żeby pracować na nich z domu. W tym przypadku ryzyko utraty jest jeszcze większe niż w przypadku laptopa, bo niewielką pamięć flash można zgubić przy pierwszej lepszej okazji i nawet tego nie zauważyć. W takim przypadku jedynym zabezpieczeniem jest znowu szyfrowanie danych wdrożone jako standard w firmie, czy to jako "szyfrowany kontener" (TrueCrypt), czy to po prostu jako szyfrowane hasłem archiwum (SecureZIP, WinZIP, RAR). Również i w tym przypadku pracownicy muszą otrzymać pełne wsparcie ze strony personelu IT tak, by szyfrowanie danych podczas zapisywania ich na zewnętrzne nośniki było równie naturalne jak blokowanie komputera po zakończeniu pracy. W środowiskach o zwiększonych potrzebach bezpieczeństwa konieczne może być wykorzystanie albo systemów, które automatycznie szyfrują wszystkie dane zapisywane na zewnętrzne nośniki (Utimaco LAN Crypt) lub uniemożliwiają zapisanie danych niezaszyfrowanych (większość rozwiązań klasy DLP).

Niemniej istotne z punktu widzenia wycieków danych są dokumenty papierowe i wydruki. W większości firm standardowym wyposażeniem są niszczarki dokumentów lub bezpieczne pojemniki opróżniane przez wyspecjalizowane firmy. Oba te elementy są rzadkością w prywatnych mieszkaniach i najskuteczniejszym zabezpieczeniem jest tutaj znowu odpowiednia edukacja pracowników. Firmowe wydruki powinni oni gromadzić i utylizować podczas cotygodniowej wizyty w biurze - to czego z całą pewnością nie powinni robić, to wyrzucanie tych dokumentów do przydomowego kosza na śmieci.

Praca na komputerze w domu z dostępem do zasobów firmy przez VPN wiąże się zwykle z wolniejszym niż w biurze dostępem np. do dysków sieciowych. Stwarza to uzasadnioną pokusę, by większość dokumentów trzymać na lokalnym dysku komputera. Ponieważ dyski komputerów osobistych, zwłaszcza przenośnych, nie są wieczne może się to skończyć tym, że pewnego dnia dysk po prostu przestanie działać a zawarta na nim kilkuletnia historia zamówień zostanie stracona. Najskuteczniejszym zabezpieczeniem w takim przypadku jest uwzględnienie specyfiki użytkowników zdalnych i stworzenie dla nich mechanizmu automatycznej synchronizacji dokumentów na firmowy dysk sieciowy np. wtedy gdy komputer jest akurat nieużywany. Pracownicy mogą też po prostu kopiować te pliki ręcznie, jeśli uświadomi im się, że jest to działanie w jak najlepiej pojętym własnym interesie.

Zagrożeniem dla sieci firmowej są także same komputery, które często są używane poza siecią firmową, często do celów prywatnych, niezależnie od tego czy jest to formalnie dozwolone czy nie. Specyfika pracy zdalnej i ograniczona przepustowość VPN często utrudnia automatyczną aktualizację komputerów, zwłaszcza jeśli dystrybuowane przez firmowy serwer. Podstawową zasadą powinna być tutaj praca na koncie nieuprzywilejowanym oraz brak dostępu do konta administratora przez zwykłych pracowników, co ograniczy pokusy instalowania "zabawnych" programów z różnymi niespodziankami w środku czy chociażby pirackiego oprogramowania. Instalacja aktualizacji systemu operacyjnego oraz pozostałego oprogramowania powinna być automatyczna tak, by nie dało się jej odkładać "w nieskończoność". Dobrym rozwiązaniem jest tutaj także NAC, które w przypadku wielu rozwiązań może po prostu nie wpuścić do sieci firmowej po VPN komputera bez wszystkich aktualizacji systemu i antywirusa.

Ostatnim elementem, który należy wziąć pod uwagę planując środowisko dla pracowników zdalnych jest zgłaszanie incydentów. Pracownicy muszą rozumieć z czego wynika potrzeba dbania o bezpieczeństwo informacji w firmie oraz jakie konsekwencje grożą zarówno firmie jak i im osobiście w razie incydentów skutkujących np. utratą kontroli nad danymi wrażliwymi. Nie powinni mieć także żadnych oporów przed zgłaszaniem zgubienia pamięci flash i USB, bo jedynie szybka reakcja działu bezpieczeństwa może w takim przypadku zminimalizować straty dla organizacji oraz zapobiec tego typu zdarzeniom w przyszłości.

Menedżerowie, którzy chcieliby oprzeć wytyczne do pracy zdalnej na standardach znajdą poświęcone jej rozdziały w ISO 27001, ISO 27002. Bezpieczeństwu pracy zdalnej w całości poświęcone są także amerykańskie wytyczne NIST SP 800-46.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200