Jak zabezpieczyć pracę zdalną

Liczba ataków rośnie, a liderzy IT w wielu badaniach podkreślają, że zapewnienie bezpieczeństwa pracownikom zdalnym to duże wyzwanie. Wyjaśniamy, z jakimi problemami mierzą się menedżerowie, a także wskazujemy konkretne rozwiązania oraz polecane praktyki, aby praca zdalna była nie tylko wygodna, ale i bezpieczna.

Foto: Andrew Neel/Unsplash

Cyberbezpieczeństwo zawsze było dużym problemem dla organizacji. Naruszenia danych i włamania mogą drogo kosztować – zarówno jeśli chodzi o kwestie finansowe, jak i wizerunkowe. Żadna firma nie chciałaby, aby do sieci trafiły informacje o jej pracownikach, użytkownikach czy klientach.

Wraz z coraz powszechniejszym trendem pracy zdalnej w ciągu ostatnich dwóch lat pojawiły się nowe zagrożenia bezpieczeństwa, z którymi muszą walczyć zarówno firmy, jak i pracownicy. Rozproszenie personelu po całym świecie, gdzie większość osób używa do pracy własnych urządzeń, może prowadzić do poważnych luk w zabezpieczeniach.

Zobacz również:

  • Jednak wolimy hybrydowo
  • Bezpieczna praca zdalna. Zalecane praktyki dla firm i pracowników
  • Sztuczna inteligencja w tworzeniu oprogramowania - wyzwania dotyczące bezpieczeństwa

Dział IT może monitorować wszystkie sieci i urządzenia w fizycznym biurze, aby zapewnić ochronę, a także potrafi niemal natychmiast identyfikować zagrożenia i im przeciwdziałać. Skonfigurowanie tych samych protokołów bezpieczeństwa w domu każde „remote friendly” muszą szkolić swoich pracowników w zakresie bezpiecznych praktyk pracy zdalnej. A jest tutaj sporo do zrobienia, bo jak podaje OpenVPN, prawie jedna organizacja na trzy miała do czynienia z naruszeniem bezpieczeństwa, które dotyczyło niezabezpieczonych pracowników zdalnych. Do tego 73% wiceprezesów i liderów IT, którzy brali udział w badaniu OpenVPN, przyznało, że pracownicy zdalni stanowią większe zagrożenie dla bezpieczeństwa niż ich koledzy i koleżanki, którzy wykonują swoje obowiązki w biurze.

Silne hasła to za mało

W ostatnich latach dużo uwagi przywiązuje się do edukacji pracowników z zakresu haseł dostępu. Firmy wprowadzają np. politykę obejmującą pracowników zdalnych, która zakłada, że ci mają zmieniać hasła dostępu co miesiąc do trzech miesięcy (zależnie od organizacji). Do tego hasła muszą być odpowiednio silne (małe, duże litery, znaki specjalne, cyfry, odpowiednia długość).

To oczywiście ważne zabezpieczenie, ale tego typu praktyka nie wystarczy, aby zapewnić sobie bezpieczeństwo. Warto iść kilka kroków dalej i wraz z polityką silnych haseł oczekiwać od personelu, że będzie wykorzystywał aplikacje do uwierzytelniania dwuskładnikowego. Narzędzia takie jak Duo Mobile, Microsoft Authenticator, Authy czy fizyczny klucz Yubico YubiKey 5C NFC znacznie poprawią poziom bezpieczeństwa.

Idąc dalej, warto wdrożyć sieć VPN (Virtual Private Network), która zapewni bezpieczny dostęp do internetu dla pracowników zdalnych – to ważne zwłaszcza w przypadku publicznych sieci Wi-Fi. Kolejnym sposobem powinno być stosowanie bezpiecznych DNS-ów i ich filtrowania. Pomaga to chronić pracowników poza siecią firmową przed atakami typu man-in-the-middle, a także umożliwia zdefiniowanie polityki bezpiecznych witryn i kategorii online (gdzie możemy, a gdzie nie możemy wchodzić).

Należy rozważyć również zabezpieczenie AMP (Anti-Malware Protection), czyli ochronę przed złośliwym oprogramowaniem malware. Większość ataków odbywa się bowiem z zaufanych punktów końcowych, zwykle przy użyciu oprogramowania zaprojektowanego w celu zapewnienia zdalnego dostępu do komputera. AMP działa jak dodatkowa warstwa ochronna, która uniemożliwia instalację aplikacji malware'owych.

KOMENTARZ EKSPERTA

Marcin Kubit, ekspert ds. rozwiązań sieciowych SD-WAN, Product Owner,

T-Mobile Polska SA

W dzisiejszych czasach odpowiednie zabezpieczenie zasobów firmowych staje się coraz większym wyzwaniem dla działów IT. Dzieje się tak ze względu na większe skomplikowanie architektury sieci korporacyjnych, wzrost liczby urządzeń, które komunikują się ze światem za pomocą internetu, a także wykorzystywanie narzędzi do pracy zdalnej szczególnie po zmianach. jakie zaszły w sposobie pracy po pandemii. Jednym z kluczowych elementów, na jakie trzeba zwrócić uwagę, jest odpowiednie szkolenie pracowników, którzy powinni w odpowiedzialny sposób korzystać z zasobów firmowych.

Cyberprzestępcy posiadają nowoczesne narzędzia ataków, ale na szczęście również firmy potrafią coraz skuteczniej chronić zasoby korporacyjne przed niebezpieczeństwem. Do takich standardowych narzędzi należą: firewalle, systemy do pracy zdalnej, dodatkowe narzędzia do uwierzytelnienia, czy też zabezpieczenia antywirus lub antymalware. Wraz z rozwojem technologii zarządzanych software'owo (software define) typu SD-WAN firmy mogą również korzystać z rozwiązań bezpieczeństwa zintegrowanych z siecią korporacyjną, przenosząc zabezpieczenia sieci na jej brzeg oraz wykorzystując możliwości konfigurowania wszystkich polityk bezpieczeństwa na platformie centralnej. Dodatkowo dzięki integracji SD-WAN z rozwiązaniami SASE (Secure Access Service Edge), które łączy funkcje sieciowe z funkcjami bezpieczeństwa natywnymi dla rozwiązań dostarczanych z chmury, takimi jak firewalle, gateway, oraz mechanizmami ZTNA (Zero-Trust Network Access). Dzięki tym rozwiązaniom również praca zdalna może być bardziej bezpieczna przez takie funkcjonalności jak: bezpieczne połączenie z siecią korporacyjną z dowolnego miejsca, widoczność użytkowników i aplikacji oraz monitorowanie wydajności, split tunneling realizowany per aplikacja, weryfikacja systemu operacyjnego, zainstalowanego oprogramowania antywirusowego przed otrzymaniem dostępu do zasobów korporacyjnych, czy też tworzenie rożnych profili dla poszczególnych użytkowników. Wdrożenie rozwiązań SD-WAN i SASE zdecydowanie poprawia bezpieczeństwo zasobów korporacyjnych, dlatego przy planowaniu zmian działy IT powinny rozważyć wdrożenie technologii SD-X, które stawiają bezpieczeństwo na pierwszych miejscu, a wszystkie mechanizmy starają się zabezpieczać każdy element sieci na takim samym wysokim poziomie.

Więcej niż standardowe praktyki

Nic nie stoi też na przeszkodzie, aby zacząć stosować bardziej zaawansowane praktyki i rozwiązania. Po pierwsze, rozważmy wdrożenie systemu DLP (Data Loss Prevention), czyli do zapobiegania utracie danych. Włączenie DLP do swojej strategii zabezpieczającej sprawi, że administratorzy zyskają wygodną możliwość kontrolowania, jakie dane pracownicy mogą przesyłać i komu je udostępniać. Dzięki temu znacznie podniesiemy bezpieczeństwo w zakresie udostępniania poufnych lub krytycznych informacji poza sieć firmową.

Drugim rozwiązaniem, które warto wziąć pod uwagę, jest VDI (Virtual Desktop Infrastructure). Zapewnia bezpieczną i prostą w zarządzaniu korporacyjną stację roboczą jako połączenie wirtualne bez względu na to, z jakiego urządzenia korzystają pracownicy. Krytyczne aplikacje i dane klientów, do których uzyskuje się dostęp za pośrednictwem bezpiecznych połączeń ze scentralizowanymi farmami serwerów VDI, znacznie zmniejszają wpływ na włamania do sieci i pomagają chronić ważne dane firmy.

I kolejna praktyka: poleganie na oprogramowaniu do współpracy, które działa w chmurze, a przy tym pochodzi od zaufanych dostawców. Nie powinniśmy skupiać się tylko na bezpieczeństwie samych urządzeń – ważne są także bezpieczne narzędzia do pracy, a chyba wszyscy doskonale zdajemy sobie sprawę, że chmura jest wręcz konieczna do wygodnej współpracy online w rozproszonych zespołach. Stawiajmy więc na zaufanych dostawców, a przy tym używajmy funkcji nadawania uprawnień. Dla przykładu, starszy menedżer w firmie może mieć dostęp do większości plików i dokumentów, natomiast dopiero co zatrudniony pracownik powinien otrzymywać dostęp indywidualnie do każdego pliku (na żądanie). To tylko podstawa podejścia zero-trust, które również bardzo pomaga w zachowaniu bezpieczeństwa podczas pracy zdalnej.

Nie zapominajmy o szkoleniach

Posiadanie polityki bezpieczeństwa i wspieranie jej narzędziami IT jest kluczowe, ale działa tylko wtedy, gdy pracownicy faktycznie wiedzą, czego się spodziewać i dlaczego powinni zachowywać się w określony sposób. Szkolenia w zakresie najlepszych praktyk z cyberbezpieczeństwa są więc konieczne. Dzięki nim wszyscy zrozumieją dlaczego muszą przestrzegać konkretnych zasad, nawet jeśli wydaje się, że niepotrzebnie komplikują wykonywanie pewnych zadań.

Pamiętajmy też, aby nie przeprowadzać tego typu szkoleń tylko raz na rok. Wiedzę z zakresu cyberbezpieczeństwa warto utrwalać i poszerzać, tym bardziej że zagrożeń stale przybywa i poszczególne szkolenia często szybko stają się nieaktualne lub przynajmniej częściowo nieaktualne. Dobrą praktyką jest organizowanie szkoleń raz na kwartał, aby pracownicy wyrobili sobie dobre nawyki i mieli świadomość występujących cyberzagrożeń.

Praca zdalna może być świetną aktywnością dla firmy i pracowników, ale istnieją pewne ryzyka. Aby zapewnić bezpieczeństwo firmie i danych, musimy zatroszczyć się o odpowiednie fundamenty i zasady. Bez konkretnych rozwiązań zabezpieczających będziemy tylko czekać, aż wcześniej czy później dojdzie do naruszenia. A dojdzie na pewno.

Cyberzagrożenia związane z pracą zdalną

Praca zdalna to już standardowa praktyka w wielu firmach. Jednocześnie tradycyjne podejście do bezpieczeństwa IT od dawna opierało i nadal często opiera się na granicach – skupia się głównie na tym, co dzieje się wewnątrz biura i kontrolowanej sieci korporacyjnej. Kiedy więc użytkownicy wykonują swoje obowiązki służbowe z różnych i prywatnych lokalizacji, takich jak biuro domowe lub poczekalnia na lotnisku, potencjalne zagrożenia bezpieczeństwa znacznie rosną. Nagle bowiem ludzie uzyskują dostęp do danych korporacyjnych i poufnych systemów poza „bezpiecznym obszarem” firmy i przekraczają wspomniane granice. Z jakimi wyzwaniami pracy zdalnej musimy sobie radzić? To odpowiednio:

  • Niezabezpieczone sieci Wi-Fi: dostęp do danych i systemów firmowych ze słabo zabezpieczonych publicznych lub domowych sieci Wi-Fi może narazić firmę na nieautoryzowany dostęp.
  • BYOD (bring your own device): coraz popularniejsza praktyka używania w pracy urządzeń osobistych, takich jak laptopy i smartfony, powoduje wzrost liczby urządzeń, które nie są zgodne z korporacyjnymi protokołami bezpieczeństwa i przyjętą polityką.
  • Brak szkoleń: brak świadomości w zakresie cyberbezpieczeństwa dla pracy zdalnej. Pracownicy, którzy nie zostali przeszkoleni w zakresie bezpieczeństwa, są bardziej skłonni do używania słabych haseł i narażania firmy na ryzyko (udostępnianie danych, wysyłanie służbowych plików w social mediach itp.).
  • Zmniejszona widoczność: dział IT nie ma wglądu w używane przez pracowników zdalnych punkty końcowe.
  • Czynnik ludzki: jeśli pracownik nie do końca rozumie zagrożenia związane z bezpieczeństwem, stosunkowo szybko może paść ofiarą ataku, np. oszustwa phishingowego.

Weźmy pod uwagę wszystkie te wyzwania, a następnie przygotujmy odpowiednią politykę bezpieczeństwa. Taką, która uwzględnia pracę zdalną i reguluje wszystkie zasady i procedury dla osób wykonujących swoje obowiązki poza biurem firmy. Polityka powinna obejmować m.in.: zarządzanie dostępem do danych, menedżery haseł, uwierzytelnianie dwuskładnikowe, ochronę danych przed wirusami, zgodność z przepisami, a także szkolenia w zakresie bezpieczeństwa.

Zabezpiecz spotkania wideo

W przypadku firm pracujących zdalnie występuje m.in. atak pod hasłem Zoom-bombing, który dotyczy nie tylko aplikacji Zoom, ale także innych stosowanych do rozmów wideo.

Nazwa wzięła się stąd, że Zoom miał swojego czasu problemy z dostępem nieproszonych osób do spotkań – osoby te wchodziły na spotkania, by trollować lub nękać ludzi. Platforma wyeliminowała problem, usuwając luki w zabezpieczeniach. Mimo to podobne zagrożenia ciągle istnieją i zdarza się, że jednak ktoś „przypadkowo" wprosi się na rozmowę.

Jeśli korzystamy z platformy do wideokonferencji, powinna ona spełniać następujące warunki:

  • Szyfrowanie typu end-to-end, zapewniające prywatność i bezpieczeństwo danych.
  • Kontrola dostępu za pomocą ochrony hasłem lub poczekalni, w której goście mogą poprosić o dostęp.
  • Regularne aktualizacje, które zapewniają lepszą ochronę i usuwają wszelkie luki w zabezpieczeniach.

Zastosowanie ma tu podobna zasada jak w przypadku oprogramowania do współpracy online w chmurze: wybierajmy przede wszystkim narzędzia od zaufanych dostawców.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200