Organizační zajištění bezpečné práce z domova

Sdílet

 Autor: © koltukov - Fotolia.com
Mnoho lidí se na pracoviště ve svých firmách stále nevrátí, takže pokud jste to ještě neudělali, je na čase vážně zvážit zlepšení zabezpečení domácích pracovišť.

V dohledné budoucnosti bude velká část, možná dokonce většina, personálu z kanceláří stále vykonávat svou práci z domova.

To znamená, že je potřeba zajistit, aby jejich práce a vybavení byly zabezpečené odpovídajícím způsobem. Zde je návod, jak toho lze dosáhnout.

Je nepochybně nutné zajistit, aby váš software byl zaktualizovaný a obsahoval nejnovější záplaty zabezpečení. Navíc byste měli využívat program či službu pro správu hesel a dvoufaktorovou autentizaci (2FA).

A kdy jste naposledy zálohovali? A, prosím, řekněte, že nepoužíváte heslo „123456“. Když nejste v kanceláři, je v současné době jen na vás, abyste nedělali hloupé bezpečnostní chyby. Nikdo vás nebude kontrolovat, abyste něco nepokazili. Naučte se a používejte alespoň základní minimum bezpečnostních postupů.

To znamená, že nikdo nemůže očekávat, že budete znát nejlepší bezpečnostní postupy, pokud je vaší pracovní náplní účetnictví či služby zákazníkům.

Personál oddělení IT vaší firmy se musí rozhodnout, co byste měli znát, a sdělit vám, co od vás očekávají, což vede k dalšímu tématu.

1) Formalizace zásad zabezpečení pro práci z domova

Oddělení IT by už v této chvíli nemělo improvizovat. Samozřejmě, že když si všichni mysleli, že to bude trvat jen měsíc či dva, a když byl na pořadu dne přesun personálu z kanceláří do domovů, bylo nutné hlavně lidem zajistit možnost pracovat, než omezovat jejich účty. Teď už je to však nepřijatelné.

Musíte svým uživatelům zajistit nezbytné bezpečnostní minimum. Víte, jak to chodí: Používejte firemní službu vzdáleného zálohování, tady je návod k používání připojení přes VPN, tady je návod na rozpoznávání phishingového e-mailu a tak podobně. Nikdo přece netvrdil, že bude zabezpečení snadné!

Je také čas se podívat na původní zásady zabezpečení a zaktualizovat je tak, aby odpovídaly situaci, kdy se zaměstnanci nacházejí na velkém počtu různých míst.

Takže se teď můžete ptát sami sebe: „Co musím udělat lépe?“ Za vynikající úvod lze považovat stránky Laboratoře informačních technologií (ITL, Information Technology Laboratory) či Národního institutu standardů a technologií (NIST).

Můžeme to stručně shrnout do konstatování „Musíme plánovat tak, abychom se uchránili před nebezpečím, které číhá venku.“  To znamená omezovat přístup uživatelů na minimum podnikových zdrojů, ke kterým potřebují přístup při své práci. Také to znamená potřebu šifrovat všechno, včetně paměti – s využitím metod confidential computingu, tedy nikoli jen síťové přenosy a úložiště.

A konečně, je potřeba upgradovat interní bezpečnostní systémy. Možná, že nemůžete zabránit malému Honzíkovi, aby nechytl malware na maminčině pracovním notebooku, ale měli byste se přetrhnout, aby odtamtud nemohl uniknout na vaše servery. Je to jasné?

2) Firmy by měly koupit svým zaměstnancům hardware

Když to všechno začalo, mnoho firem nechalo svůj vzdáleně pracující personál používat jejich domácí vybavení. To byste měli vyřešit. Stínové IT prostě nejsou dlouhodobě přijatelné.

Zaměstnanci by neměli používat pro svou vzdálenou práci stejný počítač, jaký používají pro domácí záležitosti. To přímo přivolává závažné problémy. Domácí počítač totiž může obsahovat malware, zastaralé či pochybné programy a domácí úkoly malé Aničky.

To rozhodně není místo, kde byste chtěli ukládat svá podniková tajemství. Pořídit byste pro ně tedy měli nejlépe počítače podnikové třídy.

3) Zamkněte počítače svého personálu

Výše zmíněnou třídu hardwaru byste měli pořídit i kvůli tomu, že potřebujete jejich pojetí firemní zabezpečení jako např. HP Sure Start, Sure Recovery a Sure ID, Dell  SureBoot nebo Lenovo ThinkShield.

Tyto programy zahrnují celou řadu bezpečnostních opatření pro koncové body, jako jsou například metody zabezpečení BIOSu a firmwaru. A když už jsme u toho, je také možná čas opustit hesla a přejít na autentizační bezpečnostní systémy založené hardwaru a standardu FIDO (Fast IDentity Online).

Nedávná zpráva společnosti Verizon uvádí, že u 80 % narušení souvisejících s útoky došlo k využití ukradených nebo slabých hesel.

Máme jedno řešení. Je to standard aliance FIDO – FIDO2 Universal 2nd Factor (U2F). Vytvořily jej Google, NXP Semiconductors a Yubico, přičemž v tomto autentizačním systému se druhý faktor uchovává v zabezpečeném hardwarovém klíči, který autentizuje uživatele pro jejich firemní počítač přes USB, NFC či Bluetooth.

Zařízení s podporou U2F sice stojí od 20 do 60 dolarů, ale v současné době jde o nejlepší obrannou linii v oblasti bezpečnosti autentizace. Mezi ně patří Google Titan Key, Kensington VeriMark Fingerprint Key, Thetis Fido UCF Security Key, Yubikey 5 NFC nebo YubiKey 5C.

Pokud odpovídající hardware použijete, je potřeba ho také monitorovat. Pamatujete, jak v každé kriminálce chtějí zločinci proniknout k počítači, aby mohli vysát vzácné tajemství na svůj USB disk? Teď je to ještě jednodušší než dříve.

Neznamená to, že byste museli instalovat svému personálu odposlech klávesnice. Ostatně nikdo by asi nebyl ochoten pracovat pro firmu, která by chtěla sledovat každý jeho stisk kláves.

Namísto toho ale lze používat špičkové programy pro monitorování hrozeb, jako jsou například: Dell Endpoint Security Suite, HP Sure Sense, Check Point Software SandBlast nebo SentinelOne.

Tyto programy ETDR (Endpoint Threat Detection and Response) využívají automatizované analytické nástroje, které hlídají výskyt podezřelých typů aktivit. Některé programy například dokážou zachytit útok ransomwaru v okamžiku, kdy zaznamenají, že dochází ke změně více souborů najednou. 

4) Posílení sítě vašich uživatelů

Není příliš podstatné, že jste ochránili samotný počítač, pokud někdo může sledovat každý váš pohyb v síti. Znamená to více než jen používat VPN. Je také nutné zabezpečit místní síť.

To znamená, že byste měli svému personálu pořídit nové Wi-Fi směrovače firemní třídy. Starší zařízení Wi-Fi mají hrozivou historii spojenou s častými prolomeními.

Ještě horší je, že jejich dodavatelé jen zřídka aktualizují firmware. A i když to dělají, málokdy dají svým zákazníkům z řad spotřebitelů vědět, že je do zařízení takovou opravu potřeba nainstalovat.

Pokud například vaše směrovače Wi-Fi stále využívají zabezpečení připojení WEP (Wired Equivalent Privacy) a WPA (Wi-Fi Protected Access), je vysoké riziko, že by se k vám mohl někdo prolomit.

Ani jeden z těchto protokolů totiž není už více než deset let bezpečný. Dokonce i protokol WPA-2 už hackeři prolomili. V současné době je jedinou dobrou volbou šifrování protokol WPA-3. Dalším problémem je, že populární spotřebitelské směrovače Wi-Fi mají celkově mizerné zabezpečení.  

Ani zde ale špatné zprávy nekončí. Mnoho z těchto směrovačů nedostalo v posledním roce žádné opravy zabezpečení. A jako by to nestačilo – když směrovače dostanou poslední aktualizace, mnoho z nově známých zranitelností stejně není opravených.

Navíc jsou některé směrovače snadno prolomitelné nebo mají nastavená dobře známá hesla, která nemůže uživatel změnit. To je zcela nepřijatelné. Není divu, že tolik botnetů se vytváří právě z domácích směrovačů.

Co můžete dělat? Především musíte zajistit, abyste používali jen směrovače, kde se zabezpečení skutečně bere vážně. Také vypněte a uzamkněte maximum funkcí a služeb, rozhodně změňte výchozí rozhraní pro správce, IP adresy a hesla. Dokonce i poté, co jste použili vhodné směrovače a udělali vše potřebné, aby zůstaly relativně zabezpečené, musíte stále sledovat nové zranitelnosti.

Závěrem byste měli trvat na tom, aby lidé používali pro připojení ke svému směrovači spíše Ethernet než libovolné bezdrátové připojení Wi-Fi. Existuje prostě příliš mnoho způsobů, jak lze Wi-Fi zkompromitovat, než aby se právě toto dalo považovat za bezpečné firemní řešení.

5) Zůstaňte u firemního e-mailu, zpráv a služeb pro sdílení souborů

Je pravděpodobné, že už používáte G Suite nebo Microsoft Office 365 pro účely kancelářských aplikací a e-mailu. A v těchto dnech, kdy skoro nikdy nejsme ve stejnou dobu na stejném místě, budete zřejmě také používat firemní služby pro rychlé zprávy, jako např. Slack či IBM Sametime a videokonferenční služby jako Google Meet, Microsoft Teams či Zoom. To je vše v pořádku.

Ale používají vaši lidé také osobní cloudové služby jako Dropbox nebo Disk Google pro svoji práci? Nedovolte jim to. To, co se děje ve vašich firemních službách, můžete kontrolovat, nebo se alespoň pokoušet kontrolovat, ale nemáte žádnou šanci se dozvědět, co se děje v jejich osobních službách.

ICTS24

Neměli byste také podléhat svodu používat bezplatné cloudové služby s cílem ušetřit finance. Dostanete to, za co platíte. Například můžete věřit společnosti Google, že nezamění vaše dokumenty z Disku Google, pokud jste živnostník nebo firma s jedním zaměstnancem.

Můžete ale důvěřovat tomu, že link od vašeho kolegy skutečně vede na soubor faktury, nebo by to naopak mohl být výlet za ransomwarem? Používejte služby pro firmy a budete rádi, že to děláte.