A karanténhelyzet talán egyik legérdekesebb hozadéka az otthoni munkavégzés kiterjesztése. Akik eddig is dolgoztak otthonról, azoknál egyszerűbb lehetett – de még ott sem biztos, hogy az IT felkészült a teljes cég távoli munkavégzésének biztosítására. Vajon megfelelőek a biztonsági intézkedések a kiadott laptopoknál? Tudják a dolgozók, mit tegyenek, ha otthon dolgoznak, hogyan őrizzék meg a céges adatvagyon integritását? A szabályozás felkészült erre?
Az alábbi tíz plusz egy kérdést úgy írtuk meg, hogy azok átgondolásával és megválaszolásával az Ön cége képet kaphasson arról, az IT mely területeit lenne szükséges átgondolni, szabályozni és ellenőrizni a biztonságos otthoni munkavégzéshez. A kérdések alá írtunk egy-egy rövid magyarázatot, hogy egyértelműbb legyen, mire gondoltunk.
A kiértékelés egyszerű – minél több kérdésre „Igen” a válasz, annál átgondoltabb és biztonságosabb a helyzet.
1. Az az eszköz, amiről az otthoni munkát végzik, rendelkezik-e ugyanazokkal a végpontvédelmi megoldásokkal, mint amikkel a céges gépek?
Azaz, ha az irodában lévő számítógépeken van szabályzásban kötelezővé tett módon BitLocker, antivírus vagy többfaktoros azonosítás a belépésez; ez megoldott az otthonra kiadott gépeken is?
2.Van-e biztonságos másodlagos csatorna, ahol a kollégákkal vagy az IT csapattal elérik egymást, ha szükséges?
IT biztonsági probléma vagy incidens esetén; ha az egyik kollégának megakadt az otthoni internet-szolgáltatása, vagy ha az elsődleges csatorna hitelesítésére van szükség (pl. e-mailen érkezett banki utalás vezetői jóváhagyására van), tudják-e a kollégák, ezt milyen csatornán vagy alkalmazáson keresztül tegyék?
3. Biztonságos, az otthoni eszközeiktől elválasztott internet-hálózaton keresztül dolgoznak?
A távolról dolgozó munkavállaló kapott megfelelő eszközt, hogy internet-hozzáféréssel rendelkezzen (SIM + adatcsomag + USB modem vagy telefonon megosztva), és ne az otthoni hálózatán keresztül csatlakoztassa a céges eszközeit az internetre? Ha nem, volt intézkedés arra, hogy az otthoni hálózaton lévő egyéb eszközök (családtagok telefonjai, otthoni PC) ne ugyanazon a hálózaton legyenek?
4. Van-e adminisztratív és/vagy technikai intézkedés arra, hogy az eszközén lévő szoftvereket naprakészen tartsa?
Van szabályozás, amely kötelezi a kollégákat a használt eszközök operációs rendszereire és szoftvereire érkező frissítéseket azonnal letöltsék és telepítsék? Esetleg az IT tudja ezt távoli eléréssel vagy telepített eszközzel menedzselni a dolgozók helyett?
5.A céges gépet csak munkavégzésre használják? Ha nem, a magáncélok és a munkavégzés elkülönül, pl. virtuális gépek használatával?
Van szabályozás, amely tiltja a kollégáknak, hogy a kiadott céges eszközeiket (laptop, telefon) magáncélokra használják (pl. magán teendők intézése, közösségi oldalak használata személyes fiókokkal, streaming szolgáltatások igénybevétele)? Ha használhatják magáncélokra, azt az IT által jóváhagyott, a céges géptől elkülönített módon tudják tenni (pl. külön virtuális gép a céges gépnek, és külön a személyes használatra)?
6. Meg lett-e szabva, hogy a céges információcsere milyen csatornákon és alkalmazásokon keresztül történjen?
Például melyik platformon át történjen a céges meeting; a dokumentumok és céges információk megosztása a kollégákkal vagy partnerekkel mehet email csatolmányként, vagy van erre más megoldás; a kollaboráció hogyan történjen?
7.A céges adatvagyon-elemeket (dokumentumok, adatbázis stb.) és belső hálózatot az IT csapatod által biztosított VPN hozzáférésen keresztül érik el?
A kollégák bejelentkezéséhez a céges gépeikbe épített ki a belső IT csapat hivatalos, egyedi azonosítást igénylő VPN csatornát, amelyet a kollégák kötelesek és tudnak is használni?
8.Vonatkozik-e a távoli munkavégzésre (is) szabályozás a jelszavak és azonosítók kezelését illetően?
A céges szabályozások előírják jelszómenedzser használatát, a többfaktoros azonosítást, ahol csak lehet, és hogy a jelszavak legalább 12 karakteresek legyenek, és tartalmazzanak kisbetűt, nagybetűt és speciális karaktert? Ha igen, ez él az otthoni munkavégzésre is, és a kiadott céges eszközök használata során?
9.Tudják-e biztosítani, hogy az otthoni munkavégzés során kezelt üzleti titkokhoz, személyes adatokhoz és egyéb érzékeny információhoz illetéktelen személy (pl. családtag, szomszéd) ne férjen hozzá?
Erre megoldás lehet a zárható dolgozószoba; annak előírása, hogy a monitor ne olyan ablak felé nézzen, ahonnan belátni; vagy az online meetingek vagy hívás esetére fülhallgató biztosítása.
10. Tudják-e, hogy mik a céges IT biztonsági szabályzat otthoni munkavégzésre vonatkozó elemei?
Vannak a biztonsági szabályozásoknak az otthoni munkavégzésre vonatkozó elemei? Ha igen, a kollégák biztosan tudják, mik ezek és hogyan érik el ezeket? Biztosított a vonatkozó szabályzatok elérése minden kolléga számára, távmunka esetén is?
10+1. A jelen helyzetben azoknál a biztonsági kérdéseknél, ahol elhangzott, hogy „átmenetileg”, kialakult azóta a biztonságos, állandó megoldás?
Jelen helyzetben könnyen előfordulhatnak olyan megoldások, amelyek hirtelen kellettek a hatékony távoli munkavégzéshez, de a biztonsági szempontból nem megfelelőek. Ráadásul nem egyszer ezeket átmenetinek szánja ugyan a cég, de esetleg még dokumentálva sincsenek, így amikor lenne idő átgondolni, már nincs meg, miket is kellene visszacsinálni vagy kijavítani. Önöknél dokumentálva és javítva lettek az átmeneti megoldások?
Ez a tizenegy kérdés persze nem fedi le az összes témát, ami támadási felületet adhat. Aki részletesebb helyzetértékelést szeretne, vagy további kérdése van, írjon a homeoffice@whitehat.eu címre, és feliratkozási, regisztrációs és egyéb kötelezettség nélkül küldünk egy részletesebb kérdőívet. Az ebben feltett 65 kérdéssel és kiértékelésükkel már jobban megállapítható, mely területek szorulhatnak fejlesztésre, illetve milyen intézkedésekre lenne még szükség – és mennyire sürgősen.