Kiberbiztonság az otthoni munkavégzésben
A koronavírus-járvány miatt rengeteg cég kényszerült arra, hogy egyik napról a másikra álljon át home office munkavégzésre, ez azonban a munkaadókat és a munkavállalókat egyaránt felkészületlenül érte.
Az új koronavírus gyors terjedéséhez hasonló veszélyhelyzetekben a szervezetek ad-hoc megoldásokkal próbálják megteremteni a távoli munkavégzés feltételeit, ugyanakkor a munkáltató szervezetek jelentős része nem rendelkezik olyan infrastrukturális feltételekkel, amelyek lehetővé teszik az elektronikus információbiztonság követelményeinek megfelelő otthoni munkavégzést.
A FORTIX évek óta, már a koronavírus járványt megelőzően is – segít a cégeknek abban, hogy az információbiztonsági szintjük ne csökkenjen.
Kiemelten fontosnak tartjuk a szervezetek és a munkavállalók tudatossági szintjének maximalizálását, így elkerülhetővé válhatnak az adott szervezet teljes információs rendszerére veszélyt jelentő támadások.
A Nemzeti Kibervédelmi Intézet meg is fogalmazta biztonsági javaslatait, amelyet érdemes megfontolniuk a cégeknek. Ezek az ajánlások a következők:
– A cégek vizsgálják meg, hogy rendelkezésre állnak-e a megfelelő IT eszközök a munkavégzéshez. Ennek hiányában a munkavállaló – a megfelelő biztonsági előírásokat betartva – a saját IT eszközéről is dolgozhat.
– Teremtsék meg a biztonságos kommunikáció lehetőségét VPN (Virtual Private Network) csatorna használatával, lehetőség szerint kétfaktoros azonosítással, amelyhez ingyenes, nyílt forráskódú termékek is rendelkezésre állnak.
– Amennyiben megoldható, a munkaállomás teljes forgalma legyen a VPN csatornán átterelve úgy, hogy az internet elérése az eszközön korlátozásra kerüljön.
– A tűzfalszabályokat úgy kell kialakítani, hogy kizárólag a munkavégzéshez szükséges felületek legyenek elérhetők.
– Ajánlott a VPN kapcsolaton átmenő forgalom részletes naplózása (a munkavállalók mikor és meddig csatlakoztak, mely kiszolgálókkal kommunikáltak, stb.).
– A felhasználók kétlépcsős azonosítását követően túl is törekedni kell a lehető legszigorúbb hozzáférési szabályok alkalmazására: a munkavállalók kizárólag a munkájuk elvégzéséhez szükséges irodai erőforrásokhoz férjenek hozzá.
– Ajánlott a hordozható eszközök ún. teljes merevlemez titkosítása, amelyhez az operációs rendszer beépített, de egyéb gyártó külön fejlesztett termékei is rendelkezésre állnak (pl. Windows BitLocker, VeraCrypt stb.).
– Ajánlott egységes környezetbe bevont, központilag kezelt (beállítások és riportálás) antivírus megoldás alkalmazása.
– A hordozható munkaállomásokon érdemes egységes csoportházirend beállítást alkalmazni, mellyel az operációs rendszer biztonsági beállításai részletesen személyre szabhatók (pl. USB adathordozó használatának korlátozása).
– A felhasználók ne lehessenek rendszergazdák az adott számítógépen.
– A szervezeti hálózati eszközökön legyen aktív a Quality of Service funkció a túlterhelés megelőzése érdekében.
– A munkaállomások ne lássák egymást, hordozható eszközökön ne legyen aktív könyvtármegosztás.
– Külföldi munkavégzéshez olyan IT eszközt szükséges biztosítani, ami kizárólag a levelezőrendszerhez való hozzáférésre alkalmas.
– A szervezetek dolgozzanak ki eljárásrendet különféle nem várt biztonsági eseményekre (pl. az eszköz elvesztése esetén milyen protokollt szükséges követni a felhasználóknak és üzemeltetőknek).
A szervezeti környezetben megszokott IT biztonsági alapelvek megtartása a home office bevezetése után, az otthoni környezetben is szükséges, különös figyelmet fordítva az alábbiakra:
– Lehetőség szerint csak megbízható oldalakat (híroldalak, közösségi média) keressenek fel (a megbízhatóság egyik jele a „https” lehet a weboldal címének elején).
– A munkavégzésre használt saját IT eszközeikre telepítsenek vírusirtót, amelyet időszakosan frissíteni szükséges.
– Távoli munkavégzés során a felhasználó még inkább legyen körültekintő elektronikus levelei olvasása, megnyitása során.
– Az otthoni munkavégzésre kapott eszközt csak az adott szervezet munkavállalója használja (még családtagjainak se engedje át azt).
– A munkahelyi hálózat eléréséhez szükséges jelszavakat, azonosítókat tartsák a legnagyobb titokban, hétköznapi, valamint magánügyek intézése során kerüljék ezen jelszavak használatát.
– Az otthoni munkavégzésre használt eszközökre ugyanolyan szigorú szabályok vonatkozzanak, mint az irodai eszközökre (magáncélra ne használjuk, a géptől való távozáskor zároljuk azt stb.).
– Ne használják az eszközt nyilvános helyen, csak zárt térben és olyan körülmények között, hogy illetéktelen személy ne tekinthessen bele a munkafolyamatokba.
Összességében, 2020 tavaszán mindannyian egy teljesen új, nehézségekkel teli helyzettel találkoztunk, azonban egyúttal lehetőséget is kaptunk arra, hogy a tanulságokat felhasználva még magasabb szintre emelhessük az informácóbiztonságunkat, mind felhasználói, mind vállalati szinten.
Ebben a FORTIX kiváló partnere a cégeknek, vállalkozásoknak.
Amennyiben cége vonatkozásában bármilyen kérdése merülne fel a fentiekkel kapcsolatban, szívesen állunk rendelkezésére.
