субота, 14. март 2020.

Kako omogućiti bezbedan rad od kuće za zaposlene



Zbog aktuelne situacije sa širenjem COVID-19 virusa u Srbiji i regionu neke firme su se već odlučile da omoguće rad zaposlenih od kuće a neke razmišljaju o tome. Smatram da je ovo ozbiljna tema ako gledamo sa aspekta IT bezbednosti firme. Iz tog razloga smatram da treba posebno obratiti pažnju kako realizovati rad od kuće za zaposlene i to je i razglog zašto sam odlučio da napišem ovaj post.

Hajde da prvo razmotrimo šta zapravo znači rad od kuće i koji se tu problemi javljaju. 


Najjednostavnija varijanta rada  od kuće
Rad od kuće može podrazumevati da zaposleni može da pristupi svom mailu i da sve radi na svom računaru a onda šalje u određeno vreme koje je dogovoreno to što je uradio. Ovo je najjednostavniji vid rada od kuće i tu nema većih problema osim što treba voditi računa o tome da neko ne pokuša da lažira mail zaposlenog i da umesto njega pošalje fajl koji je zapravo neka vrsta virusa što može biti ozbiljan problem jer će neko u firmi otvoriti attachment jer će smatrati da je to bezbedno jer stiže sa adrese kolege. Još jedna opasnost ovakvog načina rada može biti i to da privatni računar bude zaražen nekom vrstom virusa ili crva i da onda sam zaposleni kada šalje fajl pošalje zapravo zaražen fajl. 

Malo komplikovanija varijanta
Ovakav načina rada od kuće kakav je gore  opisan uglavnom neće biti dovoljan većini jer je potrebno da zaposleni ima pristup nekom direktorijumu gde se nalaze fajlovi koji su mu potrebni za rad. Ovde sada možemo koristiti novije tehnologija kao što je Cloud ali moramo biti vrlo oprezni i voditi računa ko i kakav pristup ima podacima koji se dele na ovakav način. Znači ovde treba voditi najviše računa o kontrolama pristupa i striktno voditi računa o tome ko je, kada i na koji način pristupao fajlovima. Bilo bi izuzetno korisno aktivirati ako je moguće i opciju geotagovanja koja bi mogla da ograniči pristup samo na Srbiju ili na region.

Ozbiljan sistem za rad od kuće
Ukoliko ne želite da koristite Cloud tehnologiju onda ostaje da se na neki koliko toliko bezbedan način dele fajlovi. Ovo se može realizovati tako što zaposleni može pristupiti daljinski svom računaru na poslu i onda raditi sve normalno kao da je u kancelariji. Takođe ovo je korisno i ako zaposleni ima potrebe da pristupa određenim servisima i bazama koje nisu dostupna na internetu već je pristup isključivo moguć iz zgrade firme. Da bi se sve ovo realizovalo potrebno je koristiti neku tehnologiju koja će ovo omogućiti. VPN odnosno virtualna privatna mreža je nešto što će se koristiti u većini slučajeva. Treba voditi računa da ova tehnologija ima svoje nedostatke i propuste koje neko zlonameran može iskoristiti. Tako da iako koristite VPN nemojte davati nepotrebne pristupe i privilegije korisnicima već samo ono što im je minimalno potrebno da bi mogli da neometano obavljaju svoj posao od kuće. Takoće potrebno je da imamo dobar log menadžment sistem koji će pratiti sve što se dešava u mreži i kako bi mogli monitorisati daljinski pristup internoj mreži firme.

Bez obzira koji model od prethodno navedenih izabrali postavlja se još jedno važno pitanje a to je da li je pametno dozvoliti pristup zaposlenog sa svog privatnog računara. Treba imati u vidu da firmin računar koji zaposleni koristi je zaštićen na različite načine i da je moguće dodatno ga kontrolisati čak i daljinski. U tom slučaju takav računar ima u najvećem broju slučajeva instaliran legalan softver, neki enterprise antivirus softver i kontroliše se šta je od programa instalirano na njemu. Za razliku od toga privatni računar zaposlenog moguće da koristi više ljudi u porodici gde se često može dogoditi da to budu i deca koja često koriste računar za igru. Antivirus softver je moguće da je samo onaj koji dolazi sa samim operativnim sistemom Windows ili eventualno neki besplatan koji se ne može meriti sa ozbiljnim enterprise rešenjima u sprečavanju širenja virusa i ostalih malignih programa. Takođe je moguće i da je računar dosta star i da operativni sistem bude Windows XP ili Windows 7 koji više nemaju podršku i za koje Microsoft više na izbacuje ažuriranja pa samim tim ovakav računar nije uopšte bezbedan. Još jedna od čestih stvari jeste korišćenje torrent klijenata za skidanje piratskih filmova i igrica što je itekako ozbiljan problem. I na kraju još jedna stvar može biti izuzetno važna a to je kako zaposleni pristupa internetu tj. da li je u pitanju žična veza putem kabla ili je bežični pristup u pitanju. Ako je u pitanju bežični pristup preko nekog rutera odnosno AP-a koji je zaposleni dobio od svog provajdera i ništa nije podešavao moguće je da je takva mreža neadekvatno zaštićena.

Na kraju bih hteo da sve sumiram i dam  neke preporuke takstativno. 
Rad od kuće jeste poseban izazov za firme koje inače nemaju tu praksu i potrebno je dobro razmotriti šta koristiti i na koji način to realizovati. Moje preporuke za koliko toliko bezbedan rad od kuće su sledeće:

  • Ne dozvoliti zaposlenom da koristi svoj privati računar već mu dati firmin računar sa ažuriranim operativnim sistemom
  • Obavezno koristiti VPN za daljinski pristup
  • Voditi računa na koji način se pristupa podacima firme
  • Uključiti logovanje na što više mesta kako bi znali šta se dešava u mreži
  • Uključiti ograničavanje lokacija sa kojih se može ulogovati zaposleni
  • Pratiti sve daljinske sesije poput RDP, VNC, Web i  SSH konekcija

Nadam se da sam ovim tekstom bar malo skrenuo pažnju ljudi koji su odgovorni za zaštitu IT sistema i da će bar razmisliti malo na ovu temu i ako sam u tome uspeo onda sam ostvario svoj cilj pisanja ovog posta.