fb
IT Systems 6/2020 IT Security 9. 7. 2020 11:02

Práce z domova vs. bezpečnost firemních dat

PCSEpidemie koronaviru způsobila, že práce z domova se v řadě firem stala z benefitu standardem, často nezbytností a přímo povinností. Předpokládáme, že mnoho firem si tento provoz vyzkoušelo a i nadále tento trend zahrnou do svých standardních benefitů pro své zaměstnance. Plošný homeworking samozřejmě zvýrazňuje otázky zabezpečení – dat, komunikačních kanálů, koncových zařízení uživatelů i vlastních podnikových aplikací a vnitřních systémů.

Raj Samani, chief scientist ve společnosti McAfee, upozorňuje, že v souvislosti s koronavirem se objevily i úplně nové typy útoků. V první řadě to samozřejmě znamená tématický phishing spojený s šířením malwaru, nové podvodné domény či e-shopy. Současně se ale rozšířila i kategorie malwaru určená pro průnik do podnikových sítí přes nedostatečně chráněná koncová zařízení. Mnoho lidí nastoupilo k práci z domova z firemních notebooků spravovaných odděleními IT, jiní ale přímo ze svých soukromých zařízení (Nutno podotknout, že i to už se samozřejmě dělo mnoho let, trend BYOD ale dosud obnášel spíše smartphony.).

Nový malware je mnohdy speciálně navržen k tomu, aby ze slabě chráněných koncových zařízení (metody infekce tedy nemusí být zvlášť sofistikované) pátral po vzdálených připojeních. Správci firemních sítí navíc vzdálený přístup na různých vrstvách (protokolech) ve zmatcích při vypuknutí epidemie mnohdy otevřeli plošně a s vysokými oprávněními, bez dostatečné definice skupin uživatelů a rolí, a především často s nedostatečným ověřováním (např. přístup pouze s heslem, bez vícefaktorové autentizace). Řízení skupin/oprávnění lze přitom pomocí Active Directory provádět efektivně, nicméně konfiguraci je třeba věnovat pozornost.

Přes vzdáleně přistupující zařízení může do podnikové sítě proniknout ransomware se všemi svými ničivými následky, nebo malware pokoušející se krást zákaznická a jiná citlivá data. Obecně všechny takové incidenty znamenají porušení shody, často přinášejí povinnost dalšího vyšetřování a reportingu. Robustní zabezpečení koncového bodu ovšem může být u zařízení ve vlastnictví zaměstnance problém a mnohdy vyžaduje i přímou spolupráci uživatele.

Rizikem je např. situace, že zařízení už bylo malwarem infikováno v okamžiku, kdy se k práci z domova začalo využívat. Součástí zabezpečení libovolného zařízení používaného pro pracovní účely by každopádně měl být i webový filtr chránící před návštěvou podvodných webů šířících malware. Když už dojde k phishingu, je nutné dokázat takový incident rychle detekovat, identifikovat ohrožené zařízení, odříznout mu přístup a zkusit ho vzdáleně vyčistit. Samozřejmostí by měl být vzdálený přístup prostřednictvím sítí VPN, ani ten ale často ve snaze rychle zajistit kontinuitu podnikání není všude pravidlem. Navíc zdaleka ne všechny produkty pro VPN jsou vyhovující, některé mohou bezpečnostní rizika spíše zvyšovat.

Šifrování, Wi-Fi a RDP

Řadu doporučení pro práci z domova uvádí také bezpečnostní společnost Safetica. Firma uvádí, že aktuálně nechává pracovat zaměstnance na svých osobních počítačích až 65 % českých firem. Problémem ale může být nejen samotné zařízení, ale také připojení na domácí Wi-Fi, které lze často relativně snadno kompromitovat. Proto DataGuard zákazníkům doporučuje, aby zařízení, na nichž se pracuje s firemními daty, měla pokud možno šifrované pevné disky, u notebooků oddělit pracovní profily od domácích uživatelů. Speciální ochranu pak vyžaduje protokol RDP.

V souvislosti s tím, jak se práce na dálku stává standardem, je třeba přezkoumat a aktualizovat bezpečnostní politiku jako celek a předat zaměstnancům informace, které v této souvislosti potřebují. Vzdálený přístup k datům (aktivům) firmy se bude týkat stále většího podílu dat. V této souvislosti je nutné provést jejich klasifikaci a určit, kdo je ke své práci opravdu potřebuje. Doprovodným krokem by mělo být nastavování co nejnižších uživatelských oprávnění. Rovněž je třeba rozhodnout, které z oblíbených cloudových služeb budou povoleny, respektive i aktivně nasazovány pro pracovní účely. Firemní zásady ochrany dat (DLP apod. řešení) musí být dodrženy i při využití služeb pro spolupráci, jako je Microsoft Teams nebo WebEx.

Aleš Pikora Aleš Pikora
Autor článku je ředitelem divize DataGuard, PCS, spol. s r.o.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 1-2 IT Systems 12 IT Systems 11 IT Systems 10
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1