W sieci znajdziesz masę poradników, których tematem jest bezpieczeństwo danych w pracy zdalnej. Nic dziwnego, epidemia koronawirusa zmusiła do przejścia na ten system masę firm. Przeglądając dostępne publikacje, zauważyliśmy, że większość kierowana jest do średnich i dużych firm. Zakłada się w nich, że firma posiada rozbudowane zaplecze informatyczne, dziesiątki, lub nawet tysiące, pracowników – oraz wszystkie związane z tym faktem możliwości i bolączki. Postanowiliśmy podejść do sprawy nieco inaczej. Korporacje sobie doskonale poradzą. My zakładamy, że prowadzisz niewielki zespół i zwracamy uwagę na wynikające z tego szanse!

Opracuj procedury bezpieczeństwa danych

Specjalista od bezpieczeństwa danych

Zagrożenia dla bezpieczeństwa danych w przestrzeni fizycznej

Zagrożenia dla bezpieczeństwa danych w sieci

Phishing – hybrydowe zagrożenie bezpieczeństwa danych

Na co zwracać uwagę!

Wszystkie porady, poruszające bezpieczeństwo danych, zarówno na stronach polskich, jak i anglojęzycznych, niektóre mniej inne bardziej eksperckie, zawierają podobny katalog typowych zagrożeń i remediów na nie. Zagrożenia dzielą się więc ogólnie na: 

  • Zagrożenia w przestrzeni fizycznej, innej, niż biuro.
  • Zagrożenia w przestrzeni wirtualnej.

Poradniki z reguły skierowane są do pracowników, ewentualnie administratorów danych. Pisząc do osób prowadzących niewielki zespół, zwracamy uwagę na pewne możliwości, które takie osoby posiadają. Skoro jesteś szefem, przede wszystkim zarządzaj.

Opracuj procedury bezpieczeństwa danych

Czyli opracuj odpowiednie procedury. Twój zespół jest niewielki, wszyscy macie osobisty kontakt, omówienie, przyjęcie i utrzymanie w praktyce nawet ścisłych zaleceń nie powinno być tak trudne, jak w wielkich korporacjach, gdzie upilnować należy działań każdego setek lub tysięcy pracowników.  

Poniżej radzimy, jakie działania warto, naszym zdaniem, podjąć w celu zwiększenia bezpieczeństwa danych w pracy zdalnej. Nasze porady zakładają dość radykalne restrykcje, jeśli wymogi bezpieczeństwa w Twojej firmie nie mają aż takiego znaczenia, zastosuj ich łagodniejsze wersje.

Specjalista od bezpieczeństwa danych

Jeśli praca w Twojej firmie polega na przetwarzaniu i wymianie informacji, zapewne dysponujesz wsparciem informatyka, nawet jeśli prowadzisz niewielki zespół. Jeżeli nie, to albo Twój poziom kompetencji pozwala Ci radzić sobie osobiście z zagadnieniami konfiguracji i utrzymania sieci, albo infrastrukturalne wymagania nie są w Twoim przypadku szczególnie wielkie. 

W przypadku, gdy nie posiadasz w zespole informatyka, oceń, czy poniższe porady jesteś w stanie wprowadzić w życie samodzielnie. Jeśli nie, a bezpieczeństwo danych jest dla Ciebie kwestią istotną, wówczas doradzamy nawiązanie współpracy z informatykiem, nie tylko w pracy zdalnej.

Zagrożenia dla bezpieczeństwa danych w przestrzeni fizycznej

Standardowy katalog takich zagrożeń to:

Podejrzenie treści na monitorze.

Podczas pracy w domu, zagrożenie z tym związane ze strony rodziny pracownika nie wydaje się szczególnie istotne. Zdecydowanie łatwiej narazić bezpieczeństwo danych pracując w przestrzeni coworkingowej czy kawiarni. Jak wskazują specjaliści, zwykłe podejrzenie adresów mailowcyh współpracowników lub klientów może przynieść szkody firmie, nie mówiąc o wrażliwych treściach maili.

Zniszczenie lub uszkodzenie plików, przypadkowo rozesłane maile, zniszczenie sprzętu.

To dla odmiany czekać może Twojego pracownika w domowym biurze. Standardowymi siewcami zniszczenia są w takich przypadkach małe dzieci oraz domowe zwierzęta, jednak każdy domownik może się tak naprawdę do tego przyczynić, zwłaszcza po godzinach pracy.

Kradzież lub zgubienie sprzętu.

To się zdarza, kiedy pracownik wynosi służbowego laptopa w miejsca publiczne. Naprawdę mało prawdopodobne, żeby zdarzyło się w domu. Zgubienie pendrive’a zaś zdarza się każdemu.

Wyciek dokumentów drukowanych, wyciek danych zapisanych w pamięci drukarki. Skanowanie dokumentów telefonem.

W biurach, w których bezpieczeństwo danych stanowi istotny element pracy, niszczarka jest urządzeniem ważnym i używanym. W domu już nie za bardzo zaś wydruki, często zawierające dane wrażliwe, robią za brudnopisy lub kartki do rysowania dla dzieci. Jeśli tak wykorzystany dokument trafi następnie do kosza na śmieci, powstaje realne zagrożenie ich bezprawnego wykorzystania przez nieuprawnione podmioty.

Pendrive’y, ładowanie telefonu firmowego w miejscu publicznym poprzez przypadkowe urządzenia.

Czyli zarażenie komputera złośliwym oprogramowaniem, wirusem czy ransomware przez port USB. Podobnie jak wyciek danych w pamięci drukarki jest to zagrożenie informatyczne, jednak zachodzi poprzez fizyczną interakcję. 

Konkluzja:

Twoje procedury powinny być napisane tak, żeby wyżej wymienione zagrożenia bezpieczeństwa danych eliminować w zarodku. 

  • Wprowadź zasadę, że praca odbywać ma się jedynie w domowym biurze. W ten sposób minimalizujesz ryzyko podejrzenia czegokolwiek przez nieuprawnione osoby na monitorze pracownika. Odstępstwo od tej zasady powinno być możliwe jedynie w przypadku absolutnego braku możliwości wykonywania obowiązków przez pracownika z domu. Sposób pracy spoza domu powinien, w tym przypadku, również uwzględniać eliminację tego zagrożenia.
  • Jasno określ, jak zabezpieczać sprzęt przed przypadkowym uszkodzeniem (samego sprzętu oraz danych), przypadkowym rozesłaniem maili itd. Mamy tu na myśli zarówno zabezpieczenia fizyczne (w miarę możliwości chowanie firmowego komputera do zamykanej szafki poza godzinami pracy), jak i informatyczne, czyli silne hasło dostępu do komputera. Eksperci są dość zgodni, że hasło współcześnie uznawane za silne to ciąg ok. 4 przypadkowych słów i cyfry. Poza tym, warto ustawić automatyczną blokadę systemu po krótkim okresie bezczynności, co zapobiegnie np. inwazji kota podczas chwilowego odejścia od komputera. 
  • Zasada pierwsza, wymieniona wyżej – pracujemy tylko z domu. Druga to wprowadzenie silnego szyfrowania dysku za pomocą oprogramowania Full Disk Encryption. Oczywiście w połączeniu z silnym hasłem dostępu do systemu. Podobne rozwiązania zastosować na dyskach przenośnych i pendrive’ach.
  • Jeśli to tylko możliwe ustal, że żadnych dokumentów firmowych nie wolno drukować pracownikom w domu. Jeśli taka konieczność istnieje, zastanów się, czy aby na pewno każdy pracownik musi mieć taką możliwość. Może wystarczy jedna osoba, której zapewnisz firmową drukarkę, odpowiedzialna za każdy drukowany w pracy zdalnej dokument. Najrozsądniej  byłoby wziąć tę funkcję na siebie. Przy okazji odpada ryzyko skanowania telefonem, zwłaszcza prywatnym i uploadu dokumentów do nieznanych cloudów.
  • Żadnych prywatnych pendrive’ów, nośników nieznanego pochodzenia, pożyczonych. Tylko firmowe. Zakaz używania innych niż oryginalna, przekazana pracownikowi, ładowarka do telefonu firmowego. W ten sposób niwelujesz zagrożenie u źródła. Dodatkowo warto skorzystać z opcji ochrony portu USB, dostępnej w różnorodnych programach antywirusowych, zwłaszcza w planach biznesowych.

Przy tak restrykcyjnym podejściu nieuchronnie zmierzamy do kwestii, czy da przestrzegać takich zasad, kiedy pracownik wykonuje obowiązki służbowe na prywatnym komputerze. Naszym zdaniem – nie da się. 

Z badań przeprowadzonych pod koniec marca 2020 przez InsightOut Lab na zlecenie firmy Nexera wynika, że jedną z częstszych przyczyn uniemożliwiających pracownikom pracę zdalną jest brak zaplecza technologicznego. Przedstawiciele firm twierdzą, że zawsze kupowali do biur komputery stacjonarne, ponieważ są one tańsze niż odpowiadające im konfiguracją laptopy. 

I to jest zapewne istotna przeszkoda w przypadku dużych firm. Ty jednak prowadzisz mały zespół. Bądźmy szczerzy, komputer “stacjonarny” nie oznacza “przyśrubowany do podłogi w biurze”. Rozwiezienie kilku lub nawet kilkunastu komputerów stacjonarnych po domach pracowników to nie jest skomplikowana operacja logistyczna. Jeszcze prościej oczywiście, jeśli w Twojej firmie używa się laptopów. Jeżeli masz wątpliwości i martwisz się o sprzęt, pomyśl, że Twoje firmowe dane są od niego prawdopodobnie cenniejsze. A tylko udostępnienie firmowego sprzętu zapewni Ci kontrolę nad bezpieczeństwem danych. Nie możesz zakazać pracownikom chodzić do kawiarni z prywatnym laptopem ani używać przygodnych nośników zewnętrznych. W kontekście zagrożeń wirtualnych, o których piszemy niżej – nie masz kontroli nad tym, czy pracownik w wolnym czasie nie ogląda pirackich filmów, nie posiada pirackiego oprogramowanie, nie wchodzi na strony wysokiego ryzyka. Jeśli więc naprawdę ważne jest dla Ciebie bezpieczeństwo danych, dodaj do swoich procedur następujące punkty:

  • Praca zdalna odbywa się jedynie na dostarczonym i skonfigurowanym przez firmę sprzęcie.
  • Sprzęt firmowy służy tylko i wyłącznie do pracy, nie wolno używać go do żadnych innych celów.

Zagrożenia dla bezpieczeństwa danych w sieci

To najszersza, najpoważniejsza kategoria zagrożeń. Kradzież danych firmowych mogą w pracy zdalnej ułatwić następujące czynniki:

Praca na publicznie dostępnym wi-fi. Wszyscy eksperci ostrzegają, że nie ma tam żadnych zabezpieczeń, a sieci te stanowią teren radosnych łowów hakerów.

Słabo zabezpieczona domowa sieć wi-fi, z dziurawym, nie aktualizowanym firmware i kiepskim hasłem dostępowym oraz domyślnym hasłem administratora.

Brak firewalla, kiepski lub nieaktualizowany program antywirusowy, czasem brak takiego oprogramowania w ogóle.

Korzystanie z prywatnych kanałów komunikacji, czyli na przykład nieautoryzowanych komunikatorów.

Brak szczególnej ochrony podczas przesyłania danych. Przesyłanie “na skróty” z prywatnego maila.

Dziurawe, nieaktualizowane oprogramowanie. Hakerskie boty, skanujące sieć pod kątem znanych luk w systemach i oprogramowaniu to uwielbiają. 

Korzystanie z komputera w prywatnych celach, instalowanie ryzykownego oprogramowania.

Konkluzja:

Czytając powyższą listę, dostrzegasz pewnie, jak wiele zagrożeń dla bezpieczeństwa danych w sieci zniwelujesz przez sam fakt podjęcia trudu dostarczenia sprzętu firmowego do domowych biur pracowników. Jasno widać również, że rozwiązanie kwestii pozostałych będzie znacznie łatwiejsze, jeśli zdecydujesz się na opiekę wykwalifikowanego administratora systemu.W dbałości o bezpieczeństwo danych w pracy zdalnej, w swoich procedurach ujmij następujące punkty:

  • Praca w domu, żadnych publicznych wi-fi. W przypadkach osób, które z domu pracować nie mogą, zapewnienie bezpiecznego połączenia z internetem. W przypadku czasowej niedostępności własnego wi-fi lub absolutnej konieczności pracy w terenie, używanie hot spotu postawionego na telefonie firmowym, z silnym hasłem.
  • Jeśli bezpieczeństwo danych jest dla Ciebie kwestią najwyższej wagi, proponujemy opcję hard, czyli wyposażenie pracowników w firmowe urządzenia umożliwiające połączenie z siecią. W przypadku laptopów mogą to być karty sieciowe. Idealną opcją byłoby dostarczyć routery z opcją AP Isolation (Client Isolation). Będzie to trochę kosztować, jeśli jednak zespół jest niewielki zaś dane, które sobie przesyła, są wrażliwe, inwestycja się opłaci. Procedura powinna przewidywać używanie do pracy jedynie firmowego internetu. Opcja bardziej soft, to ustawienie silnych haseł dostępowego i administratora do prywatnego routera pracownika. Nikt nie powinien mieć problemu z rozwiązaniem, które podniesie bezpieczeństwo jego osobistych danych. Do tego aktualizacja oprogramowania routera. Zarówno w opcji hard, jak i soft, dodatkowo, zainstalowanie na firmowym sprzęcie i skonfigurowanie dostępu do sieci firmowej przez VPN. Rozwiązania VPN to nie tylko kwestie prywatności i szyfrowania Twojej lokalizacji. VPN tworzy tzw tunele VPN. Trudno jest ingerować w przepływający przez nie strumień danych lub te dane przechwycić, Jeśli Twój zespół jest niewielki, nie będzie problemu z przepustowością i wszystkie programy służące codziennej pracy, czy to dostęp do firmowego clouda, czy komunikatory, można przepuszczać tamtędy. VPN oczywiście również będzie wymagał aktualizacji. 
  • Zainstalowanie biznesowej wersji oprogramowania antywirusowego na sprzęcie firmowym oraz firewalla. Regularna aktualizacja. 
  • Zakaz używania na sprzęcie firmowym nieautoryzowanych komunikatorów czy logowania się np. do prywatnego Facebooka i korzystania z tamtejszego messengera. Jeśli nie ma kogoś na Slacku, zawsze pozostaje stary, dobry sms na telefon firmowy. 
  • Podczas przesyłania sobie maili, zwłaszcza w przypadku wrażliwych danych w załączniku, procedura powinna przewidywać zabezpieczanie tych plików hasłem. Alternatywnie można spakować pliki zwykłym WinZIPem z zabezpieczeniem hasłem. Hasło to następnie można przesłać firmowym komunikatorem w tunelu VPN lub jeszcze lepiej smsem. To rozwiązanie ma taką zaletę, że można sobie w ten sposób przesłać zaszyfrowaną treść maila w postaci spakowanego pliku office. Oczywiście nie powinno być wolno używać na firmowym sprzęcie prywatnych kont email.
  • Regularnie aktualizować system operacyjny i oprogramowanie. 
  • Wprowadzić zasadę, że na firmowym sprzęcie nie instaluje się z własnej inicjatywy żadnego oprogramowania. Jeśli zajdzie taka potrzeba, członek zespołu powinien powiadomić o tym Ciebie lub firmowego informatyka.

Na koniec mała uwaga dotycząca haseł. Oczywiście nikt nie używa słabych haseł z premedytacją, wynika to z faktu, że są trudne do zapamiętania. Warto do procedury wprowadzić użytkowanie programów typu KeePass czy PasswordSafe. Wygodnie i bezpiecznie.

Phishing  – hybrydowe zagrożenie bezpieczeństwa danych

Spośród zagrożeń powodowanych przez hakerów postanowiliśmy wyróżnić phishing. To metoda polegająca na wyłudzaniu danych. Stosowany jest w tym przypadku miks metod informatycznych i socjotechnicznych manipulacji, czy też, mniej górnolotnie – oszustw. Przyjmijmy, że jeden z członków Twojego zespołu pracował w restauracji i haker podejrzał mu zwyczajnie przez ramię, jak wysyła maila do innego pracownika. Albo wygrzebał ten adres w śmieciach, bo pracownik drukował dokumenty firmowe w domu i ich nie niszczył. Zdobywszy adres mailowy, haker włamuje się na skrzynkę i jeszcze innemu pracownikowi, lub nawet Tobie – bo czemu nie? – wysyła prośbę o podesłanie wrażliwych danych. Albo w ogóle haker nie zawraca sobie głowy przejmowaniem skrzynek, tylko tworzy fikcyjnego maila np. fikcyjnej firmy, w treści niby pyta o ofertę, po czym prosi o kliknięcie w jakiś link. To właśnie phishing. Bezpieczeństwo danych zależy tu w równej mierze od zabezpieczeń technicznych, jak i czujności wszystkich członków zespołu. 

W procedurach firmowych warto ująć to zagrożenie. W przypadku, gdy np. ze znajomo wyglądającego adresu przychodzi dość niespodziewana wiadomość z prośbą o dane lub jakiś link do kliknięcia, członek zespołu powinien:

  • Jeszcze raz sprawdzić, czy adres ten jest prawidłowy i wiarygodny.
  • Jeśli trzeba, ustalić wysyłającego i skontaktować się z nim, np. telefonicznie, w celu potwierdzenia wysłania rzeczonego maila.
  • W przypadku, gdy wszystko dalej wygląda ok, jednak wysyłający wciąż domaga się wrażliwych danych, nie przesyłać ich tylko powiadomić Ciebie i ewentualnie firmowego informatyka.

Można też na firmowym komunikatorze stworzyć specjalny kanał do raportowania takich przypadków.

Na co zwracać uwagę!

Z całą pewnością wszyscy członkowie zespołu powinni zwracać uwagę na wszelkie alerty systemu i zainstalowanych programów antywirusowych. Pamiętaj, im dokładniej zrealizujesz nasze porady, tym bardziej wiarygodny i alarmujący staje się takie powiadomienie. W źle zabezpieczonej sieci alerty będą pojawiać się co chwilę i ciężko ich nie ignorować. 

Ponadto, pod koniec marca 2020 miało miejsce ciekawe wydarzenie, zorganizowane przez Global Cyber Center of NY, Cyber Ladies, the Israeli Economic Mission to North America oraz Perimeter 81. Wydarzenie miało na celu analizę zagrożeń, jakim podlega bezpieczeństwo danych w pracy zdalnej oraz wypracowanie metod ich powstrzymywania. W efekcie zdiagnozowano 4 najczęstsze oznaki naruszenia cyberbezpieczeństwa firmowej sieci:

  • Na komputerze pojawiają się nowe, nie instalowane przez nikogo programy.
  • Komputer spowalnia działanie bez jasnego wytłumaczenia.
  • Na ekranie wyskakują dziwne powiadomienia pop-up.
  • Użytkownik traci kontrolę nad myszką i/lub klawiaturą.

Dopilnuj więc aby w twoich procedurach zapewniających bezpieczeństwo danych znalazł się zapis, że w przypadku stwierdzenia któregokolwiek z tych symptomów, członek zespołu natychmiast powiadamia Ciebie oraz firmowego informatyka.

Jeśli zaś jesteś zainteresowany kompleksowym wdrożeniem systemu pracy zdalnej, nie tylko w kontekście bezpieczeństwa i rozwiązań informatycznych, ale też organizacji pracy, systemów i narzędzi zarządzania – skontaktuj się z nami!