Beigazolódtak a járványhelyzetben hirtelen nagy mértékben elosztottá vált munkakörnyezet sérülékenységével kapcsolatos aggodalmak. Az OTRS Csoport tavaly ősszel készült globális felmérésében ugyanis az IT-vezetők több mint fele (55 százaléka) mondta, hogy vállalatánál akár 25 százalékkal is emelkedett a kritikus biztonsági incidensek száma, miután a kollégák otthonról folytatták a munkát.
Rácáfolt viszont a kutatás egy másik, sokak által még mindig hangoztatott nézetre, amely szerint a felhő növeli a biztonsági kockázatokat. Kiderült ugyanis, hogy a felmérésben megkeresett vállalatok 95 százaléka már a világjárvány kitörése előtt is használt felhőszolgáltatásokat - még ha nem is olyan intenzíven, mint a múlt évben -, és az IT-vezetők 81 százaléka ezeket ugyanolyan biztonságosnak tartja, mint a házon belül bevezetett megoldásokat.
Másban gyökereznek eszerint az elosztott munkakörnyezetek biztonsági problémái, amelyekről Mathias Röhlt, az OTRS Csoport globális menedzselt szolgáltatásainak igazgatóját és Jens Bothét, az OTRS AG globális tanácsadási igazgatóját kérdeztük.
Computerworld: Miután a kollégák otthoni irodába költöztek, gyakoribbakká váltak a biztonsági események; felmérésük szerint ezt az IT-vezetők kétharmada (66 százaléka) tapasztalta vállalatánál. Mely tényezők fokozzák a biztonsági kockázatokat a leginkább a céges és az otthoni irodában?
Mathias Röhl: A vállalatot felkereső látogatók, illetve például a takarítók komoly kockázatot hordozhatnak a céges irodában, ezért különösen veszélyes, ha az alkalmazottak lezáratlanul hagyják számítógépüket akár egy rövid kávészünet erejéig. Otthoni irodában hasonló kockázatot jelenthet a barát, aki USB-kulcson hozott videóját szeretné lejátszani a házigazda munkához használt számítógépén. Sokan otthoni wifi-hálózatukat sem védik megfelelően, de gondot jelent az is, hogy egy otthoni iroda nem zárható, fizikailag sem védhető úgy, mint a céges. Elszigeteltségükben a távmunkások az adathalász támadásoknak is könnyebben áldozatul esnek, különösen olyan helyzetben, amilyet a világjárvány teremtett, és ezt a kiberbűnözők igyekeznek kihasználni.
Jens Bothe: Otthoni irodájukban az alkalmazottak jobban kitettek a manipulációnak, mivel a támadók könnyebben kiadhatják magukat a cég informatikusának, valamely főnökének, akár vezérigazgatójának is. Sok vállalatot és kormányzati intézményt ráadásul felkészületlenül ért, hogy egyik napról a másikra távmunkára vagy mobileszközökre kellett váltania, így alkalmazottaik kénytelenek voltak például személyes email-fiókjaikat használni. De komoly kockázattal jár az is, ha a távmunkások helyben, nem megfelelően védett vagy a család más tagjaival is megosztott számítógépükön, tárolóeszközükön őriznek érzékeny üzleti adatokat, dokumentumokat.
CW: Mit tapasztaltak a felmérés során, csoportjuknál például milyen gyakorlatot követnek a távmunkában?
MR: Az OTRS a tiszta íróasztal elvét vallja, függetlenül attól, hogy az alkalmazottak céges vagy otthoni irodában dolgoznak. Semmi sem maradhat szem előtt, ami bizalmas információt árulhat el. Az irodába érkező látogatókat regisztráljuk, és a megbeszélt találkozójuk helyszínére, a kijelölt tárgyalóba vezetjük, nem sétálhatnak az íróasztalok között. Otthoni irodában dolgozó alkalmazottainktól is elvárjuk, hogy a munkavégzés helyét különválasszák a lakás többi részétől, ha ez lehetséges. Számítógépüket otthon is úgy kell beállítaniuk, hogy az már rövid inaktivitás után is automatikusan lezárjon.
Az OTRS-nél írásban is rögzítettük a szabványos működési eljárásokat (SOP-okat). A számítógépek belső meghajtóit és a mentésre szolgáló, külső merevlemezeket is titkosítani kell például, a levelezést pedig különválasztani, magán- és üzleti célra nem használható ugyanaz az email-kliens. Az eljárásokat minden meglévő és újonnan belépő kollégának híven követnie kell, a biztonságtudatosság, az éberség elkötelezettséget jelent.
JB: Oktatni kell ehhez az alkalmazottakat, és megfelelő gyakorisággal emlékeztetni őket a tanultakra. Az OTRS-nél ezt körlevelekben és webináriumok formájában is megtesszük. Az otthoni munkavégzést persze nem ellenőrizhetjük, de megbízunk kollégáink józan ítélőképességében.
CW: Mit tanácsolnak a vállalatoknak, hogyan tegyék biztonságosabbá a távmunkát?
MR: A házirendet ki kell terjeszteni az otthoni irodákra is, kezdve a kommunikáció szabályaitól - például mikor, milyen célra mely kommunikációs csatornát használja a vállalat - egészen addig, hogy használaton kívül a számítógépet és a külső tárolót biztonságos helyre kell elzárni. Távmunkásaiknak a vállalatok a lehető legkisebb jogosultságok mellett adjanak hozzáférést a központi alkalmazásokhoz, adjanak meg nekik a munkavégzéshez minden útmutatást, de ne akarják megfigyelni őket. Az emberek többsége otthoni irodában is fegyelmezetten dolgozik, a tapasztalatok szerint valójában még többet is, mint benn a cégnél. Rövid szüneteket tartani, felállni a számítógép mellől otthon is fontos, jót tesz a koncentrációnak, így a biztonságot is fokozza, mert a jól összpontosító alkalmazott kevésbé kiszolgáltatott az adathalászok próbálkozásainak.
JB: Otthon vagy más, távoli helyszínen végzett munkához mindenkor használjunk virtuális magánhálózatot (VPN-t) vagy a titkosított kommunikáció más formáját. Az alkalmazottak otthoni irodából is ugyanolyan eljárás szerint jelentkezzenek be, mint amilyet a céges irodában vagy nyilvános hálózatokon követnek. Rendszeres oktatással fejlesszük ismereteiket és teszteljük őket, hogy a végfelhasználók is védekezés közben, folyamatosan tanuljanak, ne csupán a biztonsági szakemberek.
CW: Gyakran az ember a védelem leggyengébb láncszeme, ha tehetik, az alkalmazottak például előszeretettel használnak kézenfekvő jelszavakat vagy kevéssé biztonságos hálózatokat. Hogyan fokozható az éberségük és ezzel együtt biztonságuk az elosztott munkakörnyezetben?
MR: Az OTRS-nél a jelszóhasználatot is szabályoztuk, de valóban így van, az emberek általában az egyszerű, könnyen megjegyezhető jelszavakat részesítik előnyben, vagy felírják őket egy papírfecnire, és a billentyűzet aljára ragasztják. A vállalatoknak ezért a KeePassX jelszómenedzserhez hasonló megoldások használatát javasoljuk az azonosítók kezeléséhez. Központi alkalmazásainkhoz SAML (Security Assertion Markup Language) mechanizmust vezettünk be, felhasználóinknak így nem kell különböző jelszavakat észben tartaniuk.
Az ügyfelek rendszereihez mindenképp VPN-en keresztül kapcsolódjunk, a böngészős munkameneteket pedig kivétel nélkül biztonságos HTTPS kapcsolaton keresztül végezzük. Az alkalmazottak ismerjék fel a weboldalak tanúsítványait, ha bizonytalanok, minél előbb forduljanak az IT-osztályhoz. Ugyanez vonatkozik a levelezésre is. Tíz téves riasztás is jobb, mint egyetlen, támadás áldozatává lett számítógép, amely a vállalat teljes hálózatát megfertőzheti. Minden email-fióknak megfelelő S/MIME vagy PGP tanúsítvánnyal kell rendelkeznie.
JB: Adatbiztonság témakörében több online tanfolyamot kínálunk, amelyeken a megszerzett tudás tesztelhető és igazolható. Időről időre megjátszott adathalász támadást indítunk, így az alkalmazottak oktatása a kimenetel ismeretében folytatható, szükség szerint ráirányítva a figyelmet például a kommunikáció elfogadott eljárásaira. Tapasztalataink szerint a felhasználók idővel éberebbekké, tudatosabbakká válnak, néhány fordulót követően az utóbbi pár évben jelentősen csökkent a horogra akadó kollégák száma. Az oktatás eredményességét a vállalatok nemcsak mérhetik ezen a módon, hanem egyúttal a tudásgyarapítás szükségességét is hangsúlyozhatják.
CW: Tavaly márciusban, a koronavírus-járvány első hullámával egy időben jelent meg az OTRS 8-as verziója. A szolgáltatásmenedzsment-csomag új képességeivel a vállalatok hogyan tehetik biztonságosabbá elosztott munkakörnyezetüket?
MR: Az OTRS 8 minden korábbi verziónál jobban használható folyamateszközként. Ha egy felhasználónak új eszközre vagy hozzáférésre van szüksége, akkor azt kérvényeznie kell, amit a vállalat elfogad vagy elvet, de mindig dokumentál. A hozzáférés különböző szintjeihez a megfelelő beállítások így önkiszolgáló alapon is megadhatók, ami nem csak időt takarít meg. A folyamat biztosítja, hogy a felhasználók mindig a megfelelő engedélyeket kapják meg. A felmerülő kérdések hasonlóan gyors megválaszolásához pedig központi GYIK cikkek tehetők közzé. Mindez követhető és felügyelhető az OTRS szoftverrel.
JB: Igazolt kommunikációs csatornákkal és dobozból kivehető, biztonságos konfigurációkkal - például kétfaktoros azonosítással -, a levelezés teljes titkosításával és a kommunikáció más platformokra - például LinkedInre vagy Facebookra - történő kiterjesztésének lehetőségével a vállalatok egy helyen és struktúrában kezelhetnek minden érzékeny információt, és szükség esetén előre meghatározott módon értesíthetnek minden érintett felet. A Tudásbázis szintén segít a munkavégzéshez, például a VPN-csatlakozáshoz szükséges információk gyors átadásában, még akkor is, ha a tavaly tavaszi helyzethez hasonlóan a vállalatoknak és alkalmazottaiknak hirtelen kell olyan megoldást találniuk, amely nem növeli a biztonsági kockázatokat.