Bezpieczeństwo pracy zdalnej – poradnik dla użytkownika i administratora

No dobrze, pracujemy zdalnie, ale czy pomyśleliśmy o bezpieczeństwie? Czy sam VPN wystarczy? Co z bezpieczeństwem mojej sieci WiFi? Co jeśli ktoś ukradnie mi laptopa? To tylko kilka tematów, o których wspominam w opracowaniu poniżej.

Zacznijmy od zagrożeń. Praca zdalna dla wielu jest na pewno wygodna, ale gołym okiem widać, że niesie trochę nowych zagrożeń. Przykładowo:

• Laptopa o wiele łatwiej jest zgubić czy zniszczyć (zalać) w warunkach zdalnej pracy – niż w przypadku gdy leży on na biurku, w odpowiednio chronionym biurze.
• Często sieci domowe nie są w żaden dodatkowy sposób zabezpieczane, a nie jest rzadkim przypadkiem obecność w takiej sieci zainfekowanych / podatnych urządzeń czy innego niezaufanego sprzętu (np. komputery dzieci). Czasem sieć WiFi jest albo niezabezpieczona albo zabezpieczona bardzo słabo. W skrócie – laptop z firmowymi danymi znajduje się we wrogim środowisku.
• “W terenie” łatwiej o to by ktoś niezaufany zobaczył nad czym pracujemy.

Dalsza część opracowania przedstawia rekomendacje dla użytkowników i osobno dla administratorów. Pamiętajmy także, że różne firmy będą zapewne chciały zastosować różne (mniej lub bardziej restrykcyjne) zasady. Jeśli skorzystasz tylko z jednego czy dwóch hintów – super :-)

Podstawowe zasady bezpieczeństwa pracy na komputerze [użytkownicy, administratorzy]

Sprawa dla wielu oczywista, ale zacznijmy właśnie od niej: rozdzielmy komputer do pracy i komputer do zabaw/innych czynności prywatnych. Przykładowo instalowanie VPN-a z dostępem do zasobów firmowych na swoim “prywatnym laptopie do gier”, nie jest zbyt mądrym posunięciem.

Wracając do konkretnych zasad – tutaj sporo firm powinno mieć to mniej lub bardziej szczegółowo opracowane odpowiednio wcześniej, ale praca zdalna to dobra okazja żeby nieco przypomnieć o temacie. Kilka ważnych aspektów to:

• Blokuj komputer przy wyjściu na każdą przerwę (choćby “tylko na chwilę”). Pod Windows umożliwia to skrót klawiaturowy Win+L, w macOS: control+command+Q
• Używaj odpowiednio złożonych haseł dostępowych (obecnie cztery-pięć względnie losowo dobranych słów stanowi solidne hasło).
• Korzystaj z managerów haseł.
• Skonfiguruj automatyczne blokowanie komputera po pewnym krótkim czasie bezczynności (“Raz kot mi przeleciał przez klawiaturę i wysłał wiadomość do osoby z firmy”).
• Nie pożyczaj komputera firmowego (a w szczególności Twojego zalogowanego konta!) innym osobom.
• Nie używaj komputera firmowego do grania czy wspólnego oglądania filmów (szczególnie pirackich :P).
• Zamykaj komputer po zakończonej pracy (pamiętaj o “zamykaniu” nie “usypianiu” czy “hibernowaniu”).
• W miarę możliwości zadbaj o osobny pokój do pracy.

Administratorzy mogą dodatkowo zadbać o:

• Przekazanie pracownikom kont nieposiadających uprawnień administracyjnych.
• Aktualizacje zarówno oprogramowania systemowego (np. Windows) jak i dodatkowego (np. przeglądarki internetowe, czytnik PDF, …)
• Włączenie firewalla (zapory sieciowej) – najlepiej w trybie całkowicie uniemożliwiającym nawiązanie połączenia do komputera pracownika z zewnątrz (czytaj: z kompletnie niezabezpieczonej, domowej sieci WiFi).
• Dostarczenie i bieżące aktualizacje oprogramowania antywirusowego.
• Wymuszenie zakazu instalacji oprogramowania niezatwierdzonego przez firmę.

Korzystanie z sieci WiFi  [użytkownicy]

Zapewne przytłaczająca większość osób w trakcie pracy zdalnej korzystała będzie ze swojej domowej sieci WiFI. Czyli jest to bezpieczne? O tym można by napisać całą książkę :-)

Miejmy jednak świadomość że sporo użytkowników ma:

• Domyślne hasło administratora na routerze WiFi.
• Firmware routera WiFi z dziurami i bez aktualizacji.
• Proste hasło dostępowe do WiFi.

Spróbuj przynajmniej zadbać o dość skomplikowane hasło dostępowe (np. 4 połączone ze sobą słowa, może być również w gdzieś w środku znak specjalny). Może to być również hasło wygenerowane w managerze haseł. Idealnie gdyby udało się w ogóle wydzielić osobną, odseparowaną sieć WiFi – tylko do celów zawodowych. Nieco bardziej zaawansowani mogą poszukać i włączyć opcję AP isolation / Client isolation (producenci stosują różne nazwy).

Na koniec – pamiętaj żeby nie korzystać z otwartych sieci WiFi (nawet jeśli korzystasz z VPN-a). Dlaczego? Otóż nie każda komunikacja z komputera musi być wysyłana VPN-em (a jeśli nie jest ona dodatkowo szyfrowana – atakujący mogą ją zobaczyć bez wielkiego problemu); dodatkowo Twój komputer będzie mógł być atakowany przez inne osoby podłączone do takiej sieci (czy atak będzie skuteczny to już inna sprawa). A kto może być podłączony do sieci otwartej? Każdy…

Komunikatory [użytkownicy, administratorzy]

Częsta komunikacja z wieloma pracownikami poprzez telefon czy mail. Możliwe, ale uciążliwe. Czasem wygodniej jest użyć komunikatora.

Od strony użytkownika – pamiętaj żeby nie uruchamiać “na boku” alternatywnego komunikatora.

Od strony administratora – jeśli komunikator dostępny jest również w trybie pracy zdalnej to zastanów się czy zadbaliście o odpowiednią ochronę kryptograficzną przesyłanych wiadomości. Standardowo – warto również kontrolować aktualizacje po stronie serwerowej i klienckiej.

Kontrola kamerki na komputerze firmowym [użytkownicy]

Tutaj rekomenduję w ogóle zakleić oraz dodatkowo wyłączyć kamerę. W szczególności oszczędzi to nasze łącze Internetowe. Nie zawsze jest to możliwe, ale czasem oszczędzi nam to również oglądania przez obce osoby wnętrza naszego niezbytbiurowego mieszkania, czy niezbytbiurowego stroju.

Dostęp do poczty e-mail [użytkownicy, administratorzy]

Pamiętajmy o nieco większej czujności w kontekście ataków phishingowych. Komfortowa atmosfera domowa (oraz brak kolegów czy koleżanek przy sąsiednim biurku) jednak wyłącza nieco czujność. Minimalnie – nie otwieraj podejrzanych załączników, nie klikaj w dziwne linki przesłane e-mailem czy na komunikatorze.

Pamiętaj również, że korzystanie “na szybko” z prywatnych skrzynek pocztowych żeby wysyłać korespondencję zawodową to nienajlepszy pomysł. Bezpieczeństwo takiej skrzynki jest często mizerne, a dodatkowo zazwyczaj łamiemy wymagania poufności przesyłanych danych. Podobnie sprawa wygląda z serwisami społecznościowymi – nie używaj ich np. jako alternatywnego komunikatora firmowego czy łatwego sposobu na dzielenie się firmowymi dokumentami.

W przypadku korzystania z rozwiązania typu webmail, warto:

• Sprawdzić czy używasz odpowiednio skomplikowanych haseł dostępowych (idealnie jeśli dodatkowo administratorzy skonfigurowali tzw. 2FA).
• Po zakończonej pracy wyloguj się z webmaila.

Kilka rad dla administratorów:

• Pamiętaj o tym by połączenie z serwerami firmowymi było w odpowiedni sposób szyfrowane (czasem dostęp do poczty możliwy jest tylko po podłączeniu się poprzez VPN, który najczęściej automatycznie zapewnia szyfrowanie) oraz szyfrowanie to było wymuszone (inaczej część klientów może korzystać z połączenia szyfrowanego, inne z nieszyfrowanego).
• Pamiętaj o regularnym wgrywaniu poprawek bezpieczeństwa na serwer pocztowy (dotyczy to również serwera, na którym dostępne jest rozwiązanie, a także rozwiązań klasy webmail).
• Nie zapomnij o odpowiednim zabezpieczeniu ew. dostępu do poczty na smartfonie (jeśli jest on w firmie dopuszczalny).
• W bardziej wrażliwych branżach rozważ również wykorzystanie szyfrowania poczty typu end2end (tutaj np. dobrze sprawdzi się dodatek Enigmail do Thunderbirda).
• Rozważ konfigurację 2FA przy dostępie do poczty.
• Inne, kompleksowe porady w kontekście zabezpieczenia poczty e-mail znajdziesz tutaj: Guidelines on Electronic Mail Security.

Drukowanie dokumentów [użytkownicy, administratorzy]

To często zapominany, a czasami ryzykowny aspekt związany z pracą zdalną. W firmie często dostępne są niszczarki dokumentów. A co w domu? W domu wydrukowane, poufne dokumenty czasem potrafią się “plątać” czy być wyrzucane do śmieci, ewentualnie stosowane są jako kolorowanki dla dzieci ;-). Możliwości jest tutaj kilka:

• Używajmy w domu niszczarki do dokumentów (trudne / kosztowne przy wielu pracownikach).
• Zakażmy (proceduralnie czy odpowiednią konfiguracją) drukowania w domu.
• Pozwólmy tylko na druk dokumentów nie zawierających wrażliwych danych (ryzykowna opcja, choć lepsza niż zupełnie pozostawienie tematu “samemu sobie”).

Pamiętajcie, że część drukarek posiada wbudowane nośniki pamięci – warto zatem zadbać żeby nie znalazły się tam poufne dane (w szczególności jeśli będziemy drukarkę sprzedawać / wyrzucać).

Skanowanie dokumentów [użytkownicy]

Najczęściej użytkownicy domowi nie mają skanerów. W takim przypadku zawsze jest pokusa “zeskanowania” dokumentu za pomocą smartfona (dostępne jest do tego celu wiele sprawnie działających appek). Tutaj oczywiście problematyczny jest fakt, że dokument zostanie zapisany w pamięci prywatnego telefonu (niebezpieczne) lub wysłany na prywatną skrzynkę pocztową użytkownika (pozdrowienia dla wp.pl :) lub nawet do bliżej niesprecyzowanego miejsca w cloudzie.

Zapasowe łącze [użytkownicy, administratorzy]

Oczywiście nikt nie będzie w domu specjalnie zakładał dodatkowego, zapasowego łącza. Jednak niemal każdy z nas posiada smartfona z możliwością uruchomienia hotspotu. Przygotuj się na awaryjną konieczność korzystania z hotspotu, przynajmniej ustawiając do niego odpowiednio złożone hasło. Rozważ również (najlepiej przetestuj) czy możesz skorzystać z łącza internetowego udostępnionego ze smartfonu z wykorzystaniem kabla (jest to bezpieczniejsze / wygodniejsze).

Hint dla administratorów: warto również sprawdzić czy korzystanie z naszego łącza internetowego przez pracowników zdalnych nie przepełni go (pamiętajmy, że komunikacja odbywająca się normalnie w szybkiej sieci LAN teraz wysyca nasze łącze internetowe). Problematyczna może być też wydajność korporacyjnego firewalla oraz serwera VPN.

Wrzutnia na pliki [administratorzy, pracownicy]

Często zachodzi konieczność przesyłania pomiędzy pracownikami dużych plików. Co wtedy? Jeśli firma ma gotowe sprawdzone rozwiązanie – super (choć warto zastanowić się czy duża liczba pracowników przesyłających spore pliki nie wysyci nam łącza / łącza VPN). Jeśli nie – często korzysta się z mało bezpiecznych rozwiązań typu darmowe WeTransfer (nie ma problemu w przypadku plików bez poufnych informacji) czy słabo zabezpieczonego, nieszyfrowanego serwera ftp.

Idealnie aby to administratorzy przygotowali odpowiednie miejsce na wymianę plików oraz poinformowali o nim użytkowników.

Wsparcie dla pracowników w przypadku awarii [administratorzy, użytkownicy]

Po pierwsze warto to dobrze zakomunikować. Jeśli masz problem: dzwoń lub pisz w takie a takie miejsce.

Czasem administratorzy umożliwiają sobie zdalny dostęp do komputerów pracowników (wygoda). W skrajnej sytuacji jest to np. VNC, gdzie ktoś “zapomniał” ustawić danych dostępowych.

W każdym razie, niezależnie od wykorzystanego rozwiązania: warto wcześniej zadbać o odpowiednie zabezpieczenie kryptograficzne takiego dostępu oraz odpowiedniego uwierzytelnienia podczas dostępu dla administratorów.

Szyfrowanie danych na komputerze [administratorzy]

Często jeśli zgubimy laptopa (czy ktoś go nam ukradnie), o wiele bardziej cenne niż sprzęt są dane na nim zawarte (zobacz przykład z kradzieżą laptopa należącego do SGH). Problem można stosunkowo łatwo rozwiązać instalując oprogramowanie klasy Full Disk Encryption (FDE). Pod systemami Windows dostępny jest domyślnie Bitlocker (ale tylko w systemach Windows 10 Pro). Użytkownicy systemu macOS mogą skorzystać z FileVault 2. Osoby preferujące bardziej niezależne rozwiązanie mogą skorzystać z VeraCrypta.

Na co zwrócić uwagę przy konfiguracji takiego rozwiązania? Przynajmniej:

• Ustawić odpowiednio złożone hasło dostępowe (nic nam z szyfrowania dysku jeśli hasłem będzie: Katarzyna1).
• Mieć przygotowany plan na wypadek utraty / zapomnienia hasła dostępowego.
• Użyć odpowiedniego rozwiązania dla nośników przenośnych (to na wypadek zagubienia pendrive); najlepiej w ogóle nie zapisywać poufnych danych na nośnikach przenośnych.

Jaki pracownik powinien mieć dostęp do jakich systemów? [administratorzy]

Często podejmowana jest decyzja typu: OK, przestawiamy się na pracę zdalną – więc wszyscy (w jakiś mniej lub bardziej bezpieczny sposób) mają dostęp do całej infrastruktury firmowej. Błąd. Być może niektórzy (większość?) mogą mieć dostęp np. tylko do poczty firmowej oraz jednej czy dwóch aplikacji webowych dostępnych i tak on-line.

Warto spokojnie zastanowić się nad takim podziałem.

Rozwiązania klasy VPN [administratorzy]

Obecnie bardzo dużo osób kojarzy VPN-a z tematyką zapewnienia prywatności. W kontekście pracy zdalnej chodzi jednak o coś innego. Zatem po co skonfigurować dostęp przez VPN do firmy? W największym skrócie – żeby nikt nie mógł podsłuchać / zmodyfikować danych które przesyłamy z / do firmy oraz zapewnić wygodny dostęp do lokalnych zasobów firmy tylko odpowiednim pracownikom.

Rozwiązań zarówno sprzętowych jak i softwareowych realizujących VPN jest mnóstwo. W tekście wspomnę jednak o kilku rzeczach, o których warto pamiętać, niezależnie od wybranego produktu.

• Pamiętaj o aktualizacjach (części serwerowej i klienckiej).
• Pamiętaj o zapewnieniu odpowiedniej liczby licencji (jeśli korzystasz z rozwiązania komercyjnego).
• Pamiętaj o przetestowaniu wydajności całego rozwiązania (jeśli VPN “zawsze sprawnie nam działał”, to nie oznacza, że tak będzie po przestawieniu setek czy tysięcy pracowników na pracę zdalną).
• Pamiętaj żeby logować po stronie serwerowej każdy dostęp realizowany z wykorzystaniem VPN (to na wypadek analizy ew. fraudów).
• Rozważ wprowadzenie 2FA przy dostępie do VPN-a.
• Unikaj możliwości automatycznego zestawienia połączeń do VPN-a (np. po kliknięciu – “połącz”; hasło/login zapisane jest w konfiguracji klienta VPN).
• Rozważ czy wszystkim dostęp VPN jest absolutnie potrzebny? Może wystarczy odpowiednio bezpieczny dostęp do jednej czy dwóch aplikacji, które i tak udostępniasz na zewnątrz firmy.
• Rozważ czy użytkownik może łatwo przenieść konfigurację VPN na inny komputer (np. na komputer domowy…) – może to być spore zagrożenie dla bezpieczeństwa.
• Rozważ czy warto wymusić przesyłanie całej komunikacji z wykorzystaniem VPNa (są plusy i minusy).
• Rozważ dostęp czasowy (np. na 6 miesięcy) – jeśli praca zdalna nie będzie już konieczna, użytkownicy automatycznie stracą dostęp.

Aktualizacje [administratorzy]

Z aktualizacjami często jest problem nawet i bez telepracy. I zazwyczaj znajdzie się trochę “czarnych owiec”, które z jakiegoś powodu się nie zaktualizowały. Aktualizacje warto rozważać w kilku aspektach:

• Systemy operacyjne pracowników.
• Dodatkowe oprogramowanie pracowników (np. przeglądarki internetowe, czytnik PDF-ów).
• Aktualizacja sygnatur programu antywirusowego.
• Część serwerowa (pamiętajcie żeby odpowiednio wcześniej przetestować aktualizację, a najlepiej wykonać wcześniej kopię zapasową).

Kopie zapasowe [administratorzy]

Choćby w dobie ransomware (ale oczywiście nie tylko) kopie zapasowe to sprawa oczywista. W przypadku telepracy jest to nieco bardziej skomplikowane.

Po pierwsze jeśli archiwizowany jest cały komputer (czy całe katalogi z komputerów pracowników), może to powodować bardzo duże wysycenie łącza i po prostu zdestabilizować pracę całej firmy.

Można spróbować wykonywać kopie lokalne (np. na dysku USB), jednak koniecznie trzeba zadbać o odpowiednią poufność takich kopii (podobnie zresztą jak w poprzednim przypadku).

Są też pracownicy, którzy w zasadzie korzystają tylko z zasobów online (np. poczta elektroniczna, CRM, system klasy document management) więc kopia zapasowa komputera ma tutaj nieco mniejsze znaczenie.

Gdy czasem ktoś zapomni hasła… [administratorzy]

… to w normalnej sytuacji udaje się do helpdesku, hasło jest resetowane, po temacie. W sytuacji pracy zdalnej może być nieco trudniej potwierdzić, że osoba która dzwoni na helpdesk jest rzeczywiście tą, za którą się podaje. Wypracujmy tutaj sobie odpowiednie procedury.

Na koniec

Potrzebujecie jeszcze więcej rad? Zachęcam do lektury dokumentu:Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security

–Michał Sajdak