Czas pandemii zredefiniował model pracy na całym świecie. Według źródeł dostępnych w Internecie, bazujących na badaniach przeprowadzonych w sektorze digital, szacuje się, że ponad połowa pracowników na całym świecie przeszła na pracę zdalną w wyniku kryzysu Covid-19. Włącznie ze strukturami, w których wydawałoby się, że przejście na pracę zdalną nie jest możliwe. Po ponad dwóch latach kryzys związany z pandemią Covid-19 zaczął się stabilizować. Mimo to ludzie, zmuszeni wcześniej do przejścia w tryb pracy zdalnej, nie zawsze chcą wracać do pracy w biurze. Liderzy słusznie zauważyli, że zamiast z tym walczyć, lepiej skupić się na dostosowaniu do nowych okoliczności i środowiska. W ten sposób sytuacja wymusiła na decydentach zmiany organizacyjne, procesowe i technologiczne.
W porównaniu z czasami sprzed pandemii, mamy dziś więcej wirtualnych spotkań. Również więcej informacji przetwarzanych jest cyfrowo. Wzrosła więc też skala cyberzagrożeń i wektorów ataku. Ponadto pracujemy blisko naszej rodziny i współdomowników, co także stanowi nowe wyzwania. Musimy na nowo zorganizować czas i osobistą przestrzeń, będąc jednocześnie zobligowanymi do przestrzegania poufności powierzonych nam danych. Oznacza to więcej obowiązków i odpowiedzialności dla nas - użytkowników końcowych.
W tym artykule wyjaśniam o co zadbać, by zdalna praca korporacyjna (i nie tylko) była bezpieczniejsza. Budując tę treść bazowałem zarówno na praktykach stosowanych na co dzień w CGI, jak i na własnym, wieloletnim doświadczeniu.
Bezpieczne łącze internetowe
Zacznijmy od bezpiecznego łączenia się z Internetem. Możesz dzielić z innymi osobami prywatną sieć z dostępem do Internetu i jednocześnie bezpiecznie pracować zdalnie. Wyobraź sobie, że sieć WiFi jest drzwiami wejściowymi do Twojego domu. Upewnij się więc, że dostęp do Twojej sieci jest odpowiednio zabezpieczony. Zazwyczaj routery i modemy, udostępniane nam przez dostawców Internetu, standardowo posiadają nazwę (SSID), hasło i podstawowe ustawienia bezpieczeństwa (np. Firewall). Zacznij od ukrycia nazwy sieci WiFi lub zmień ją na własną. Większość urządzeń ma przypisaną nazwę nawiązującą do nazwy samego urządzenia, co znacząco ułatwia zdobycie informacji na temat dziur w oprogramowaniu (podatności). Nie ułatwiajmy pracy hakerom. Jeśli Twoje WiFi z jakiegoś powodu nie wymaga hasła przy połączeniu, niezwłocznie je ustaw! Uniemożliwisz w ten sposób dostęp do urządzeń połączonych w Twojej sieci domowej z zewnątrz.
Jak wykonać te czynności? Z poziomu komputera połączonego z siecią WiFi wpisz w przeglądarce IP routera. Domyślnym IP dla wszystkich urządzeń powinno być 192.168.0.1. Otworzy się strona logowania do panelu admina. Najczęściej jest to login i hasło, typu admin/admin lub user/user. Jednak nie zawsze - u mnie domyślnie brakowało loginu i hasła (!). Po pierwszym logowaniu zmień hasło do panelu admina na coś na tyle skomplikowanego, aby uniemożliwić nieautoryzowaną konfigurację swojego urządzenia. Następnie zmień nazwę sieci i ustaw do niej hasło, o ile wcześniej go nie było. Najlepiej w najnowszym standardzie WPA3. Hasło powinno być silne, składać się z 8-16 znaków, w tym z cyfry, dużej i małej litery oraz znaku specjalnego. Sprawdź, czy aktualizacje i Firewall są aktywowane. Voila! Masz solidne drzwi zamykane na klucz.
Pracownicy, którzy są krytyczni dla ciągłości biznesu lub pracują z informacjami poufnymi, powinni mieć dostęp do osobistego Internetu. Ważne jest zapewnienie niezależności od czynników lokalnych oraz wyeliminowanie możliwości korzystania z publicznych, niezabezpieczonych sieci WiFi. Kolejnym krokiem jest utworzenie wirtualnej sieci prywatnej, czyli VPN (ang. Virtual Private Network). Dzięki temu dane, przesyłane pomiędzy urządzeniami i usługami poprzez sieć Internet, będą zaszyfrowane, czyli równie bezpieczne jak te przekazywane w sieci wewnętrznej. VPN powinien być używany w trakcie zdalnego połączenia z siecią firmową i ważnymi usługami. Jeśli jeszcze nie wdrożyłeś narzędzia VPN w swojej organizacji, to rozważ wprowadzenia go jako standard.
Aktualizacje
Aktualizacje na sprzęcie służbowym (i nie tylko) są istotnym ogniwem całego łańcucha. Sprzęt korporacyjny ma często domyślnie ustawione przypominanie lub wymuszanie aktualizacji, ale do komunikacji z serwerami wymagane może być połączenie VPN. Jeśli pracujesz przez większość czasu na środowisku klienta, połącz się ze swoją macierzystą firmą przynajmniej raz w miesiącu i pozostaw w niej komputer na jakiś czas. OK, system operacyjny pobrał aktualizację, ale to jeszcze nie koniec procedury. Często ukończenie jej wymaga ponownego uruchomienia komputera. Przy dużych aktualizacjach może zająć nawet kilkanaście minut. Moja rada jest taka, aby wykonać restart na koniec pracy. Zapomniałeś? Masz chwilę dla siebie.
Z perspektywy bezpieczeństwa oraz dbałości o środowisko, idealnie byłoby wyłączać i odłączać od zasilania sprzęt codziennie po zakończeniu pracy. Jednak życie to weryfikuje - spieszymy się, kończymy pracę, zamykamy ekran laptopa i koniec. Dobrze jest, mimo wszystko, wyrobić sobie nawyk ponownego uruchomiania urządzania choć dwa razy w tygodniu. Jest to o tyle przydatne, że w momencie restartu zamykamy wszystkie procesy systemu operacyjnego. Przy okazji, poza dokończeniem ważnych instalacji bezpieczeństwa, naprawia to różne błędy systemowe. Po restarcie zauważysz, że komputer działa szybciej.
Czy to wszystko? Nie. Upewnij się, że aktualny jest także Twój prywatny komputer. Z mojego doświadczenia wynika, że większość haseł (także służbowych) wycieka na skutek zainfekowania naszego osobistego sprzętu. Dlaczego? Ponieważ nikt nam nie przypomina o aktualizacjach, nie mamy na to czasu, bagatelizujemy to, itd. W efekcie nieaktualny jest zarówno system operacyjny, jak i aplikacje na nim zainstalowane.
Internet Rzeczy
Twoja sieć domowa jest zabezpieczona, a komputer zaktualizowany. Co dalej? Mówi się, że złodziej wchodzi przez okno, a haker przez drukarkę. Pomówmy więc o IoT. Czym jest IoT, czyli Internet Rzeczy (ang. Internet of Things)? To każde urządzenie posiadające procesor i podłączone do sieci Internet. IoT też może zostać zaatakowane, jak tylne drzwi do Twojego domu i skutecznie wykorzystane do podejmowania kolejnych ataków. Takim urządzeniem może być kamera, drukarka, telewizor, głośniki, lodówka, pralka lub oczyszczacz powietrza. Nawet Twój robot odkurzający, który jest często wyposażony we własną kamerę.
Czy znalezienie takich urządzeń jest trudne? Nie. Wystarczy użyć legalnego narzędzia o nazwie Shodan, które przeszukuje sieć Internet pod kątem połączonych z nim, publicznie dostępnych urządzeń. Atakujący może następnie wykorzystać luki w oprogramowaniu takiego urządzenia, jego systemu operacyjnego lub podzespołów. Niestety, standardy w dziedzinie zabezpieczeń urządzeń Internetu Rzeczy dopiero się kształtują i, póki co, dla hakerów niebo jest granicą (z angielskiego: sky is the limit).
Co Ty możesz zrobić? Jeśli masz w domu poufne dane, ale i dużo technologii, to:
- Stwórz osobną sieć WiFi dla gości i to z nią połącz IoT. Uniemożliwi to atakującemu dotarcie do Twojego komputera służbowego.
- Zmień nazwy urządzeń. Większość urządzeń w moim domu bazuje na Google Assistant, którym łatwo zarządza się z poziomu aplikacji na telefonie. Brak nazwy to brak wiedzy o tym co i jak atakować.
- Jeśli możesz, ustawiaj różne i silne hasła dla swoich urządzeń.
- Pamiętaj o aktualizacji oprogramowania sprzętu domowego.
Higiena informacyjna i odseparowanie środowisk
Unikaj trzymania informacji firmowych na sprzęcie prywatnym i na odwrót - osobistych spraw nie załatwiaj na sprzęcie służbowym. Żyjemy w czasach, w których mamy dostęp do wielu rozwiązań z poziomu smartfona i tabletu. Możemy więc wykonać zadanie służbowe już po zamknięciu służbowego komputera. Korzystanie z urządzeń mobilnych i środowisk chmurowych jest sprytne i wygodne. Musisz być jednak świadomy, że niesie to ze sobą pewne ryzyka. Przede wszystkim urządzenie prywatne może stać się bezpośrednim źródłem wycieku lub wprowadzić złośliwe oprogramowanie do środowiska służbowego. Dzieje się tak, ponieważ prywatne urządzenia są poza zakresem monitorujących narzędzi korporacyjnych, takich jak skanery podatności, skanery antywirusowe, wymuszanie aktualizacji i tak dalej. Nie zawsze więc zapewnimy poziom zabezpieczeń adekwatny do przetwarzanych na nim informacji.
Warto upewnić się też, czy wykonywanie prac na sprzęcie innym niż służbowy nie będzie naruszało zapisów umownych z klientem. Sprawdź, czy w Twojej firmie jest polityka Bring Your Own Device (BYOD) oraz Mobile Device Management (MDM), regulujące kwestie urządzeń, którymi możecie połączyć się zdalnie z narzędziami korporacyjnymi.
Menadżer Haseł
Pamiętaj o korzystaniu z Menadżera Haseł. Dobrą praktyką jest tworzenie unikalnych haseł przynajmniej dla ważnych zasobów, usług i danych. Wielokrotnie spotykałem się z incydentami, których podstawą było ujawnienie (udostępnienie w Internecie) haseł i adresów e-mail dużej liczby osób jednocześnie. Było to skutkiem ataku na serwis lub sklep internetowy i kradzież bazy danych użytkowników. Równie dużo incydentów dotyczy zainfekowania wirusem jednego, prywatnego komputera i zaatakowanie nieaktualnej przeglądarki internetowej, w której użytkownik trzymał swoje hasła.
Posiadanie Menadżera Haseł rozwiązuje oba problemy. Po pierwsze: jeśli hasło wycieknie z serwisu X, to w pozostałych serwisach masz inne unikalne hasła. Niekiedy informacja o wycieku dociera do opinii publicznej po kilku dniach, a nawet tygodniach. Po drugie: Menadżer Haseł jest osobno rozwijaną aplikacją, której zadaniem jest wygenerowanie bardzo silnego hasła oraz przechowanie go w zaszyfrowanym repozytorium. Jest rozwiązaniem znacznie bezpieczniejszym i trudniejszym do zaatakowania niż przeglądarki internetowe. Nie trzeba go tak często aktualizować z powodu występujących luk bezpieczeństwa, a jednocześnie może być synchronizowany pomiędzy kilkoma urządzeniami. Ja od lat synchronizuję go pomiędzy urządzeniami z systemem Windows, MacOS, iOS i Android. Przy okazji możesz sprawdzić, czy Twoje hasło nie wyciekło na tej stronie: haveibeenpwned [.] com.
Uwierzytelnianie wieloskładnikowe
Uwierzytelnianie wieloskładnikowe (MFA) to, w cyfrowym świecie, kilkuetapowy proces potwierdzenia naszej tożsamości. To podstawowy mechanizm chroniący Ciebie po udanej kradzieży hasła i włamaniu się na Twoje zasoby. Po uzyskaniu dostępu do profilu lub konta użytkownika, uwierzytelnianie wieloskładnikowe powstrzymuje cyberprzestępcę przed przejęciem pełnej kontroli. Jak? Logujący się musi po raz kolejny potwierdzić swoją tożsamość, na przykład podając kod, który Ty masz zapisany albo otrzymałeś w SMS. Upewnij się, że włączyłeś MFA we wszystkich możliwych miejscach, takich jak: VPN, poczta, serwisy transakcyjne. Wiele organizacji rezygnuje z wdrożenia tego mechanizmu, ponieważ uznają je za uciążliwe dla użytkownika końcowego. To duży błąd.
Ograniczaj dostęp do informacji
Co dalej? Ograniczaj dostęp do informacji. Tak, nawet w domu ważne jest, aby kontrolować dostęp do swojego służbowego komputera, telefonu, tabletu oraz zapisanych i przetwarzanych na nich informacji. Twoja rodzina, współlokatorzy lub znajomi mogą wejść w posiadanie informacji poufnych przez przypadek, a tym samym zaszkodzić Tobie i Twojej firmie. Dobrą praktyką jest ustawianie automatycznej blokady ekranu, w przypadku braku aktywności na urządzeniu. Załóżmy, że zapomniałeś zablokować swój sprzęt służbowy i oddaliłeś się na chwilę. Im krótszy czas do auto-blokady, tym bezpieczniejsze są informacje, na których właśnie pracowałeś. O ile nie masz zablokowanych uprawnień administracyjnych, to warto zmienić czas na 5-15 minut. Niedopuszczalne jest pozostawienie bez opieki odblokowanego urządzenia w miejscu publicznym (kawiarnia), czy w środkach transportu (pociągu lub samolot). Pozostawienie komputera bez opieki w miejscu publicznym jest akceptowalne, ale tylko po przypięciu go stalową linką do elementu, który uniemożliwi jego kradzież oraz po zablokowaniu ekranu.
Zwracaj uwagę na otoczenie w miejscach publicznych. Pracując przez wiele lat jako konsultant uczulany byłem, aby w trakcie podróży służbowych wybierać takie miejsca do pracy, w których niemożliwe będzie obserwowanie treści na ekranie mojego komputera. I te same zasady można zastosować w czasach, w których dużo pracujemy zdalnie, a miejsca pracy mogą być różne. Dobrym rozwiązaniem jest filtr prywatyzujący na ekranie Twojego komputera, tabletu, czy telefonu. Sprawia on, że osoba stojąca lub siedząca obok Ciebie zobaczy jedynie ciemny ekran. W miejscach publicznych nie posługujemy się też nazwą klienta i nie rozmawiamy o szczegółach projektów. Pamiętajmy, że zachowanie poufności w projekcie może wynikać wprost z zapisów umownych pomiędzy stronami. Warto potwierdzić z Managerem jakie są nasze prawa i obowiązki w trakcie wykonywanych zadań.
Podsumowanie
Rozpowszechnienie pracy zdalnej, w wyniku kryzysu Covid-19, z jednej strony dało nam więcej swobody i możliwości, ale z drugiej - pogłębiło istniejące ryzyka lub stworzyło nowe. Środowisko pracy i przestrzeń prywatna przecinają się bardziej niż kiedykolwiek, a technologia rozwija się szybciej niż jesteśmy w stanie zapewnić jej odpowiedni poziom bezpieczeństwa. Osoby pracujące zdalnie są więc mocniej wyeksponowane na cyberzagrożenia.
Na koniec chcę zwrócić Twoją uwagę na to, że niełatwo jest stworzyć kompletną listę w tak zmiennym środowisku. Dlatego zachęcam Cię do poszerzania wiedzy w tym zakresie, obserwowania kolejnych wpisów, a także do kontaktu i dyskusji. Z chęcią dowiem się od Ciebie, jakie jeszcze mechanizmy warto zaadoptować i rozwijać, czy to w biznesie, czy w przestrzeni prywatnej.