W miarę rozprzestrzeniania się najpopularniejszego obecnie zagrożenia jakim jest COVID-19, firmy masowo wysyłają swoich pracowników do domu i przerzucają się na tryb pracy zdalnej, a wszyscy uczniowie i studenci uczestniczą w zajęciach online. Jednak wraz z dystansem społecznym pojawiły się nowe zagrożenia, te związane z cyberatakami. Gdy organizacje starają się wdrożyć pracę online, cyberprzestępcy zwiększają aktywność i zmieniają taktykę, aby w pełni wykorzystać obecną sytuację. Biorą pod uwagę wyzwania związane z poprawnym zabezpieczeniem środowiska pracy zdalnej, powierzchnia ataku jest teraz prawdziwą okazją dla hackerów.
O nowych trendach w cyberatakach, związanych z koronawirusem napiszemy w oddzielnym artykule. Teraz skupimy się na wyzwaniach, które stawia przed oficerami bezpieczeństwa przejście na pracę zdalną.


Największe wyzwania

Jednym z największych i dość oczywistych problemów, który dotyka obecnie organizacje przeprowadzające zmianę sposobu pracy jest brak zasobów informatycznych. Chodzi zarówno o brak sprzętu, jak i brak specjalistów IT. Kiedy pracownicy wysyłani są poza swoje normalne miejsce pracy, potrzebują przenośnego firmowego komputera lub korzystają ze swojego własnego. Pierwszy przypadek nie jest zawsze możliwy, gdyż zasilenie wszystkich pracowników w przenośny sprzęt komputerowy w tak krótkim czasie może nie być możliwe. Wtedy dochodzi do najgorszej dla zespołu bezpieczeństwa sytuacji, praca na prywatnych urządzeniach użytkowników. Nie dość, że użytkownicy wystawieni są poza swój normalny obwód pracy, gdzie część narzędzi i polityk bezpieczeństwa nie jest dostępna, to dodatkowo pracują na urządzeniach, które nie są nadzorowane, aktualizowane i monitorowane. W takiej sytuacji zespół bezpieczeństwa traci kontrolę nad środowiskiem, w którym pracuje użytkownik. Nie wie czy odpowiednio zabezpieczył swoje Wi-Fi, czy nie korzysta z niezaufanego oprogramowania. Zasadniczo powierzchnia ataku rozrasta się do wszystkich sieci domowych użytkowników, co bez odpowiedniego przygotowania i zabezpieczenia jest właściwie niemożliwe do nadzoru.

Istnieją organizacje, które w ogóle nie są gotowe na prace zdalną lub takowa jest niemożliwa. Urzędy, banki, opieka zdrowotna to przykłady branż, które nie są przygotowane na nagłe przełączenie trybu pracy. Oprócz aspektów społecznych, wiele z tych firm i organizacji pracuje na starszym sprzęcie i dedykowanym oprogramowaniu, które nie jest odpowiednio zabezpieczone. Wyjście z taką technologią „na zewnątrz” mogłoby skończyć się tragicznie. W dodatku przeszkolenie pracowników i przygotowanie zaplecza, wiązałoby się z nieproduktywnym i negatywnym doświadczeniem dla pracowników jak i dla samego biznesu. Warto wspomnieć, że niektóre organizacje (najczęściej szkoły i uczelnie) posiadają oprogramowanie, które wymaga wyłącznie dostępu lokalnego.

Praca zdalna to oczywiście urządzenia mobilne. W ruch pójdą smartfony i tablety, które są największym bólem głowy dla bezpiecznika. Ataki na urządzenia mobilne są szczególnie niebezpieczne, ponieważ natychmiast wyzwalają reakcję odbiorców poprzez komunikatory WhatsApp, Messenger czy po prostu SMS. Bez odpowiedniego zabezpieczenia, trudno nad tym zapanować.


Jak do tego podejść?

Przede wszystkim nie iść na całość. Przejście całej firmy na pracę zdalną to nie tylko przełączenie odpowiedniej wajchy przez dział IT. Ważne jest tutaj strategiczne podejście i działanie krok po kroku. Nikt nie chce przecież sparaliżować całej firmy. Pierwszym krokiem, jaki należałoby podjąć jest ustalenie, które usługi, aplikacje i systemy krytyczne nie mają trudności z dostępem zdalnym. Następnie powinno się przenieść na pracę zdalną najbardziej krytycznych biznesowo kierowników i członków zarządu. Dopiero po upewnieniu się, że wszystko po ich stronie jest w porządku i wszystkie niezbędne aplikacje funkcjonują, można zabrać się za kompleksowe udostępnienie pracy zdalnej wszystkim pracownikom.
W tym momencie warto przeprowadzić testy wydajności i ciągłości działania aplikacji o kluczowym znaczeniu. W przypadku korzystania z usługi SaaS, skontaktować się z dostawcami i spytać o ewentualne komplikacje. Dla systemów lokalnych, do których dostęp będzie realizowany prawdopodobnie poprzez VPN, przetestować poprawność połączenia i wydajność przy wykorzystaniu dużo większym niż zwykle.

Jeśli chodzi o bezpieczeństwo warto na początku przeprowadzić ocenę ryzyka. Dobrą praktyką jest oczywiście wykorzystanie przenośnych urządzeń firmowych lub workspace’ów takich jak Amazon Workspace czy Citrix, ale w praktyce nie zawsze jest taka możliwość. W tej sytuacji dział bezpieczeństwa powinien przeprowadzić wśród użytkowników ankietę i zadać pytania w jaki sposób będą łączyć się do systemów, z jakich urządzeń, z jakiej sieci, itd. Takie działanie pomoże poznać nową powierzchnię ewentualnych ataków, określić punkty krytyczne i przygotować mechanizmy obronne.

Bardzo ważne w kwestii zmiany sposobu pracy jest edukacja użytkowników. Od teraz oni sami są administratorami swojej sieci oraz swoich urządzeń, a jak na złość nasilenie ataków phishingowych oraz ataków na urządzenia mobilne zwiększa się dramatycznie. Niezbędne jest przygotowanie poradnika bezpieczeństwa dla użytkowników końcowych z zaleceniami i ostrzeżeniami, o których poniżej.


Best Practices

Wdrażając masową pracę zdalną w organizacji dział IT oraz departament bezpieczeństwa powinien:

  • Przekazać pracownikom niezbędne informacje na temat zasad „dobrej higieny” pracy zdalnej:
    • Odpowiednie zabezpieczenie sieci Wi-Fi
    • Aktualizacja/instalacja oprogramowania antywirusowego na urządzeniu
    • Niełączenie pracy na krytycznych systemach ze swobodnym przeglądaniem Internetu
    • Wylogowywanie się z kont służbowych po zakończeniu pracy
    • Niezapamiętywanie poświadczeń w przeglądarce
  • Przygotować procedurę zgłaszania oraz postępowania w razie incydentu lub awarii
  • Zadbać o odpowiednie zabezpieczenie kanału komunikacyjnego – VPN, 2FA, szyfrowanie
  • Dostarczyć wirtualne narzędzia, których brakuje, np. wdrożyć cyfrowe podpisywanie dokumentów
  • Zapewnić odpowiednią wydajność i ciągłość działania systemów krytycznych
  • Rozważyć zastosowanie zasady „Zero Trust Security” dla urządzeń mobilnych, ewentualnie ograniczyć dostępy do wrażliwych danych do niezbędnego minimum

Użytkownicy pracujący zdalnie powinni pamiętać o:

  • Prawidłowym zabezpieczeniu połączenia Wi-Fi, nie używać starego szyfrowania, otwartych sieci – o zabezpieczeniu Wi-Fi pisaliśmy tutaj
  • Upewnieniu się, że oprogramowanie antywirusowe działa poprawnie i jest w najnowszej wersji
  • Aktualizacji każdego innego oprogramowania wspomagającego pracę, przeglądarki Internetowej, klienta poczty, klienta VPN, jak również samego systemu operacyjnego
  • Tworzeniu regularnych kopii zapasowych, jeśli przechowują wyniki swojej pracy na lokalnych dyskach
  • Odseparowaniu w miarę możliwości środowiska służbowego od prywatnego, inne urządzenie, inna przeglądarka, inne konto lokalne