Zbog aktuelne situacije sa širenjem COVID-19 virusa u Srbiji i regionu neke firme su se već odlučile da omoguće rad zaposlenih od kuće a neke razmišljaju o tome. Smatram da je ovo ozbiljna tema ako gledamo sa aspekta IT bezbednosti firme. Iz tog razloga smatram da treba posebno obratiti pažnju kako realizovati rad od kuće za zaposlene i to je i razglog zašto sam odlučio da napišem ovaj post.
Hajde da prvo razmotrimo šta zapravo znači rad od kuće i koji se tu problemi javljaju.
Najjednostavnija
varijanta rada od kuće
Rad
od kuće može podrazumevati da zaposleni može da pristupi svom mailu i da sve
radi na svom računaru a onda šalje u određeno vreme koje je dogovoreno to što
je uradio. Ovo je najjednostavniji vid rada od kuće i tu nema većih problema
osim što treba voditi računa o tome da neko ne pokuša da lažira mail zaposlenog
i da umesto njega pošalje fajl koji je zapravo neka vrsta virusa što može biti
ozbiljan problem jer će neko u firmi otvoriti attachment jer će smatrati da je
to bezbedno jer stiže sa adrese kolege. Još jedna opasnost ovakvog načina rada
može biti i to da privatni računar bude zaražen nekom vrstom virusa ili crva i
da onda sam zaposleni kada šalje fajl pošalje zapravo zaražen fajl.
Malo
komplikovanija varijanta
Ovakav
načina rada od kuće kakav je gore opisan
uglavnom neće biti dovoljan većini jer je potrebno da zaposleni ima pristup
nekom direktorijumu gde se nalaze fajlovi koji su mu potrebni za rad. Ovde sada
možemo koristiti novije tehnologija kao što je Cloud ali moramo biti vrlo
oprezni i voditi računa ko i kakav pristup ima podacima koji se dele na ovakav
način. Znači ovde treba voditi najviše računa o kontrolama pristupa i striktno
voditi računa o tome ko je, kada i na koji način pristupao fajlovima. Bilo bi
izuzetno korisno aktivirati ako je moguće i opciju geotagovanja koja bi mogla
da ograniči pristup samo na Srbiju ili na region.
Ozbiljan
sistem za rad od kuće
Ukoliko
ne želite da koristite Cloud tehnologiju onda ostaje da se na neki koliko
toliko bezbedan način dele fajlovi. Ovo se može realizovati tako što zaposleni
može pristupiti daljinski svom računaru na poslu i onda raditi sve normalno kao
da je u kancelariji. Takođe ovo je korisno i ako zaposleni ima potrebe da
pristupa određenim servisima i bazama koje nisu dostupna na internetu već je
pristup isključivo moguć iz zgrade firme. Da bi se sve ovo realizovalo potrebno
je koristiti neku tehnologiju koja će ovo omogućiti. VPN odnosno virtualna
privatna mreža je nešto što će se koristiti u većini slučajeva. Treba voditi
računa da ova tehnologija ima svoje nedostatke i propuste koje neko zlonameran
može iskoristiti. Tako da iako koristite VPN nemojte davati nepotrebne pristupe
i privilegije korisnicima već samo ono što im je minimalno potrebno da bi mogli
da neometano obavljaju svoj posao od kuće. Takoće potrebno je da imamo dobar
log menadžment sistem koji će pratiti sve što se dešava u mreži i kako bi mogli
monitorisati daljinski pristup internoj mreži firme.
BYOD
(Bring Your Own Device)
Bez
obzira koji model od prethodno navedenih izabrali postavlja se još jedno važno
pitanje a to je da li je pametno dozvoliti pristup zaposlenog sa svog privatnog
računara. Treba imati u vidu da firmin računar koji zaposleni koristi je
zaštićen na različite načine i da je moguće dodatno ga kontrolisati čak i
daljinski. U tom slučaju takav računar ima u najvećem broju slučajeva instaliran
legalan softver, neki enterprise antivirus softver i kontroliše se šta je od
programa instalirano na njemu. Za razliku od toga privatni računar zaposlenog
moguće da koristi više ljudi u porodici gde se često može dogoditi da to budu i
deca koja često koriste računar za igru. Antivirus softver je moguće da je samo
onaj koji dolazi sa samim operativnim sistemom Windows ili eventualno neki
besplatan koji se ne može meriti sa ozbiljnim enterprise rešenjima u sprečavanju
širenja virusa i ostalih malignih programa. Takođe je moguće i da je računar
dosta star i da operativni sistem bude Windows XP ili Windows 7 koji više
nemaju podršku i za koje Microsoft više na izbacuje ažuriranja pa samim tim
ovakav računar nije uopšte bezbedan. Još jedna od čestih stvari jeste
korišćenje torrent klijenata za skidanje piratskih filmova i igrica što je
itekako ozbiljan problem. I na kraju još jedna stvar može biti izuzetno važna a
to je kako zaposleni pristupa internetu tj. da li je u pitanju žična veza putem
kabla ili je bežični pristup u pitanju. Ako je u pitanju bežični pristup preko
nekog rutera odnosno AP-a koji je zaposleni dobio od svog provajdera i ništa
nije podešavao moguće je da je takva mreža neadekvatno zaštićena.
Na
kraju bih hteo da sve sumiram i dam neke
preporuke takstativno.
Rad od kuće jeste poseban izazov za firme koje inače
nemaju tu praksu i potrebno je dobro razmotriti šta koristiti i na koji način
to realizovati. Moje preporuke za koliko toliko bezbedan rad od kuće su
sledeće:
- Ne dozvoliti zaposlenom da koristi svoj privati računar već mu dati firmin računar sa ažuriranim operativnim sistemom
- Obavezno koristiti VPN za daljinski pristup
- Voditi računa na koji način se pristupa podacima firme
- Uključiti logovanje na što više mesta kako bi znali šta se dešava u mreži
- Uključiti ograničavanje lokacija sa kojih se može ulogovati zaposleni
- Pratiti sve daljinske sesije poput RDP, VNC, Web i SSH konekcija
Nadam
se da sam ovim tekstom bar malo skrenuo pažnju ljudi koji su odgovorni za
zaštitu IT sistema i da će bar razmisliti malo na ovu temu i ako sam u tome
uspeo onda sam ostvario svoj cilj pisanja ovog posta.