Az otthon maga a biztonság – legalábbis gondolhatjuk így, hiszen a mi házunk a mi várunk. De ez egyáltalán nem igaz akkor, ha home office-ban dolgozunk, ilyenkor a kisszobánk a cégünk egyik távoli bástyájává válik, ami bizony igencsak sebezhető.
A klasszikus irodai munkavégzés – jó esetben persze – azzal is jár, hogy egy olyan céges infrastruktúrában dolgozunk, amelyet a biztonságért felelős kollégák minden oldalról levédenek. Odafigyelnek a vállalati gépek frissítéseire, a folyamatosan karbantartott biztonsági szoftverekre, a hardveres tűzfalakra. Egy komolyan védett rendszer esetében az is egyértelmű, hogy az irodai gépeken nem lehet futtatni csak úgy bármilyen kívülről behozott szoftvert, ahogy a feltöltött dokumentumok vagy a beérkező levelek is szűrésen esnek át. És persze eleve adott, hogy a belső fájlszervereket nem tudják elérni illetéktelenek a belső hálózaton kívülről, ha pedig cloud alapon működik a cég, akkor a szakértők gondoskodnak arról is, hogy a távoli erőforrásokat is a vállalat jól bejáratott útvonalain lehessen elérni.
Ehhez képest, ha valaki otthoni munkavégzésre vált, a megszokott védőpajzs nagy része eltűnik, és nincs is a közelben senki, aki figyelmeztetne, ha valami olyasmit teszünk, ami veszélyes lehet a saját gépen tárolt adatokra, vagy épp azon keresztül a teljes céges adatvagyonra. Nézzük át gyorsan, mik a legfontosabb veszélyforrások a home office-ban, és miket tehetünk azért, hogy a legjobban védve maradjunk!
A munka nem játék
Az otthoni munkavégzésre való átálláskor kétféle eset lehetséges: vagy a cég ad egy olyan laptopot vagy egyéb PC-t, amelyet a munkavállaló otthon működésbe állíthat, vagy szépen rábízzák, hogy az egyébként is otthon használt számítógépéről dolgozzon. Az első változat még viszonylag működőképes lehet biztonsági szempontból, hiszen ilyenkor a cég szakembere úgy konfigurálhatja azt, hogy a lehető legkevesebb esélye legyen annak, hogy ezen keresztül, távolról piszkálnak illetéktelenek a rendszerbe. Ha tehát valaki céges gépet kap otthonra, minden esetben érdemes rákérdeznie egyrészt arra, hogy milyen védelmet kapott az eszköz (és ekkor derülhet ki az is, ha esetleg semmilyet).
Nagyobb a rizikó akkor, ha a már otthon használt gép lesz egyben a munkaeszköz is. Ilyenkor ugyanis már eleve lapulhatnak olyan szoftverek, amelyek “alanyi jogon” valamilyen kiskaput hagynak nyitva külső behatolás felé, de ha például a gyerek telepít egy illegálisan letöltött játékot ugyanarra a gépre, amin érzékeny céges dokumentumok, vagy épp jelszavak, kapcsolódási adatok találhatóak, követhetetlenné válik, hol nyílnak rések a bástya falán.
Ugyancsak komoly veszélyt jelenthet az, ha a céges hálózatba, vagy épp a vállalat által használt felhőtárhelyekre, cloudban működő alkalmazásokra mindenféle titkosítás nélküli internet-kapcsolattal jelentkezünk be otthonról. Ilyenkor az adatfolyamot “meglékelve” szintén nagyon könnyű illetékteleneknek bármilyen információt megszerezni.
Fontos azt is megemlíteni, hogy egyáltalán nem csak egy laptop jelenthet biztonsági kockázatot: ha például mobilról is használunk céges erőforrásokat, akár egy egyszerű e-mailezést erről intézünk, szintén veszélybe kerülhetnek a bizalmas adatok, hiszen már egy levélbe rejtett apró, kártékony kód is alagutat nyithat támadóknak.
Mit tanácsol a szakértő?
Kovács Zoltán, a T-Systems CTRL SWAT operációs vezetője szerint két irányból kell megközelíteni a biztonsági kérdéseket egy távmunkás helyzetben. Egyrészt a munkáltató feladata, hogy kialakítsa azokat a sztenderdeket, amelyek használatával a külső munkatársak a cég hálózatához kapcsolódhatnak. Az eszközöknek aztán ezen sztenderdeknek megfelelő állapotra alakítása a használat előfeltétele. Ez tipikusan szoftverfrissítésket, biztonsági beállítás módosításokat jelent és bizonyos esetekben szoftverek eltávolítását is magával vonhatja. Része továbbá a céges hálózatra kapcsolódáshoz szükséges állapot kialakítása: ilyen például a megfelelő tanúsítványok telepítése az eszközre, távolról kapcsolódás esetére pedig VPN (virtuális magánhálózat) biztosítása. Természetesen a cég által használt végpontvédelmi megoldás telepítése és naprakészen tartása szintén elengedhetetlen.
Másrészt a fenti szabályokat innentől az otthonról dolgozóknak minden esetben be is kell tartania, ez a másik oldal kiemelten fontos, hiszen elég akár egyszer valamilyen külső szoftvert telepíteni, ellenőrizetlen USB-meghajtót csatlakoztatni, vagy épp a magánlevelezést a céges gépen megnyitva észrevétlenül elindítani valamilyen kártékony kódot: ezek még a legnagyobb vállalati biztonsági előkészületek mellett is feltörhetik a védelmet.
Figyelem, figyelem, figyelem!
A szakértő szerint léteznek kifejezetten általános hibák, amelyekre fontos odafigyelni. Általánosságban elmondható, hogy a vizibilitás hiánya biztosan problémák forrása lehet. A triviálistól indulva – egy eszköz a beléptetési folyamatot megkerülve, „saját” állapotában csatlakozik a védendő hálózathoz – egészen odáig, hogy a vállalati sztenderdeknek már megfelelő és a hálózatba beengedett eszköz rendelkezik egy másodlagos hálózati csatlakozással – például egy tablet SIM adatkártyával –, amin keresztül közvetlen, határvédelem nélküli, internetkapcsolatot tud létesíteni, ezáltal egy felügyelet nélküli „bejáratot” nyitva a védendő hálózatba. A biztonsági beállítások felhasználók általi módosítása szintén forrása lehet incidenseknek, ezért a beállítások elvégzése mellett szükséges az azokhoz hozzáférés jogosultságait is szabályozni.
Az internet felőli védelem mellett érdemes előre gondolni a gépeken található adatok, dokumentumok közvetlen védelmére is. Mobil eszközök – beleértve a tabletek is természetesen – esetében a megoldás egy MDM (Mobile Device Management) eszköz használata. A legtöbb ilyen képes arra, hogy úgy garantáljon egy megfelelő szintű biztonságot – végpontvédelem, szoftver verziók naprakészen tartása, szenzitív adatok védelme –, hogy közben a felhasználó privát szférája sem sérül. Ezt egyfajta szeparációval oldják meg, melynek eredménye a privát (tehát például fotók, üzenetváltások, böngészési előzmények) és a vállalati (céges levelezés, chat, megosztott erőforrások) részek teljes elkülönítése egymástól.
Arra a kérdésre, miszerint kiberbiztonsági szempontból mi számít a legkönnyebben kijátszható gyenge pontnak saját eszköz használatakor, Kovács Zoltán szerint egyértelmű a válasz: maga a felhasználó. Emberi oldalról ugyanis a saját eszközön egy fokkal mindig kitettebbek vagyunk egy átveréssel induló támadással szemben. Ha a saját eszközre nincs kikényszerítve egy minimális védelem a frissítések, végpontvédelem és egyéb módszerek segítségével, úgy természetesen még rizikósabb a helyzet: ekkor már a gyenge pontok közé meg is érkeznek a nem frissített rendszerelemek, például maga az operációs rendszer, a böngészők és egyéb szoftverek.
Épp ezért összegzésképpen az otthoni irodák védelmében kiemelten fontos a vállalat távoli figyelme és a felhasználó ébersége egyaránt. A céges szakembereknek mindent meg kell tennie a biztonságos kapcsolat, valamint a távoli gép védelme érdekében, míg a home office-ban dolgozóknak fokozottan oda kell figyelnie ezek betartására, valamint a munkához használt és magáncélú erőforrások elkülönítésére.