Most akkor jó dolog a ‘home office’, vagy sem?

A távmunka napjaink egyik legfelkapottabb témája. A néhány éve még rosszalló pillantást érő, dolgozhatok otthonról kérdés mára teljesen természetessé vált, olyannyira, hogy az állást keresők kifejezett előnyként értékelik, ha leendő munkaadójuk biztosítja az otthonról dolgozást. A dolgozók szempontjából üdítő alternatíva azonban komoly kockázatokat is jelenthet a cég számára, hiszen a munkavállalók 35%-ának elege van a jelszavak állandó változtatgatásából.

A távmunkához első körben egy számítógépre és internetkapcsolatra van szükség. Jó esetben a vállalat biztosít céges notebookot vagy tabletet, aminek egy nagyon komoly előnye van: csak azok az alkalmazások futhatnak rajta, amit a vállalat rendszergazdái jóváhagytak, illetve – optimális esetben – fel van vértezve megfelelő vírusvédelmi rendszerrel és tűzfallal is. A nagyobb kihívást a céges hálózathoz kapcsolódás jelenti – méghozzá valamilyen titkosított, biztonságos csatornán. Ennek három szintje ismert.

Az elsőben a munkavállaló a céges levelezést éri el (tipikusan ilyen az Outlook Web Access). Ilyenkor a belépő az emailekhez fér csak hozzá, más, belső erőforráshoz nem. A második szinten már a belső rendszerekhez, alkalmazásokhoz is hozzá lehet férni. Erre számos megoldás létezik: egy nagyon közismert az úgynevezett remote desktop (bizonyára sokan emlékeznek a felsőoktatásban használt Neptunra, ami kezdetben szintén ezt a csatlakozási módot használta), de ilyen a mind népszerűbb VPN hozzáférés is. Utóbbi esetén egy titkosított alagút jön létre a vállalati hálózat és a távoli kommunikációs eszköz között.

Természetesen ez a hozzáférés is akkor ér valamit, ha megfelelő szabályrendszerek, azonosítási protokollok, illetve belépési jogosultságok teljesítése után fér csak hozzá a felhasználó a vállalati erőforrásokhoz. Egy általános, és munkavállalók által is jól ismert (és nem is kedvelt) szabályrendszer például a hozzáférési jelszó rendszeres időközönként kényszerített változtatása, vagy például a szoftveres/hardveres token használata. A munkáltatói oldalt nézve ezek a biztonsági megoldások mind azt a célt szolgálják, hogy a szervezet erőforrásai és az adatok minél jobban védve legyenek.

A harmadik – és egyben legnagyobb kockázatot rejtő – távoli hozzáférést a rendszert felügyelő informatikusok, illetve adminisztrátori jogosultsággal rendelkező munkavállalók jelentik, hiszen amennyiben az ő hozzáférésük illetéktelen kezekbe kerül, az nagyon súlyos következményekkel járhat. Egy rosszindulatú támadó akár egy világméretű céget is könnyen a digitális kőkorszakba küldhet vissza egy ilyen hozzáférés birtokában. Munkáltatói oldalról extra védelmet jelent, ha az ilyen jogosultsággal rendelkező – és távolról dolgozó – munkavállaló minden digitális lépését megfelelően monitorozza egy erre kialakított rendszer, rendellenesség esetén pedig azonnal riasztást küld, illetve letiltja a hozzáférést.

A védelem gyenge pontját jelentő emberi tényezőt megerősíti a Las Vegas-i Black Hat 2017 IT-biztonsági konferencia résztvevői között végzett kutatás eredménye is. A 250 megkérdezett etikus hacker 85%-a ugyanis egyetértett abban, hogy a sikeres behatolás valamilyen emberi hibára vezethető vissza. A kiberbiztonságban jártas szakemberek kiemelt kockázatként említették azt is, hogy a cégek által előírt rendszeres jelszócsere a munkavállalók részéről komoly ellenállást eredményez, ami a biztonsági előírások szándékos megszegéséhez is vezethet. Szintén árulkodó, hogy 32%-uk szerint legkönnyebben egy megszerzett adminisztrátori fiókon keresztül juthatna a kiszemelt vállalat érzékeny adataihoz.

„Biztonságilag fontos, hogy a távmunka miatt egy új kaput nyit az internet felé a cég, ahol, ha nem megfelelő megoldásokat használnak, a vállalat összes értéke veszélybe kerülhet. Tipikus az elavult VPN szoftverek, rosszul beállított szerverek, gyenge jelszavak használata. Emellett jellemző még az is, hogy a kilépett felhasználók jogosultságait nem vonják vissza, gyakran évekig élnek még a belépési adatok”

– fogalmazott Lengyel Csaba, a Hunguard kiberbiztonsági vállalat műszaki igazgatója.

A leggondosabban megtervezett, biztonságosnak titulált rendszer esetében a leggyengébb láncszem mindig az ember lesz. Ezért kiemelten fontos minden munkáltató számára a rendszerek naprakészen tartása mellett a dolgozók megfelelő információbiztonsági edukálása. Az erre fordított erőforrás ugyanis töredéke annak a pénzben is mérhető kárnak, amit egy esetleges kibertámadás során elszenvedhet a cég.