Národné centrum kybernetickej bezpečnosti SK-CERT odporúča zamestnávateľom, ako bezpečne nastaviť pravidlá práce z domu

30. marca 2020

Veľká časť spoločností a inštitúcií v posledných dňoch zaviedla povinnú politiku práce z domu – tzv.“home office”. Je realistické predpokladať, že prechod na „home office“ sa o chvíľu stane novou skutočnosťou pre mnohých z nás, aj vzhľadom na to, že podľa Svetovej zdravotníckej organizácie šírenie vírusu COVID-19 oficiálne dosiahlo 11. marca 2020 status „pandémie“.

Niektoré firmy a organizácie začnú model home office používať vo veľkej miere práve teraz. V snahe minimalizovať riziko nákazy však prichádzajú aj problémy, s ktorými sa budú musieť tieto subjekty vysporiadať – nie len ako efektívne merať a kontrolovať produktivitu svojich zamestnancov na diaľku, ale najmä ako zabezpečiť adekvátnu bezpečnosť svojej infraštruktúry a dát v dobe, keď veľká časť zamestnancov pristupuje do interných systémov a sietí z prostredia mimo firemného prostredia.

Národné centrum kybernetickej bezpečnosti SK-CERT preto pripravilo niekoľko odporúčaní pre spoločnosti, ako vytvoriť bezpečný koncept práce z domu a neohroziť tak chod spoločnosti a bezpečnosť infraštruktúry prácou na diaľku:

Ak neviete zaistiť, že zamestnanci budú do interných sietí pristupovať len prostredníctvom dostatočne bezpečných zariadení, poskytnite im takéto zariadenia vy
Ak svojim zamestnancom umožňujete používať aj vlastné zariadenia na pripojenie do interných sietí (koncept BYOD – bring your own device), tak nezabudnite na:
- Z každého zariadenia musí byť vytvorené samostatné VPN pripojenie do pracovného prostredia, aby bolo možné v prípade potreby aktivovať/dekativovať individuálne spojenia
- Tablety, mobily, notebooky autorizované pre prácu z domu musia byť aktualizované a zabezpečené
- Zariadenia musia byť chránené silným heslom a mať zapnuté šifrovanie vnútorného úložiska
- Zariadenie môže byť používané iba samotným zamestnancom a iba na pracovné účely. Používanie inými členmi domácnosti, napríklad deťmi, môže viesť ku kompromitácii zariadenia, ale aj k jeho znefunkčneniu
- Ak sa preukáže, že zariadenie bolo kompromitované, zamestnávateľ musí takéto zariadenie odstrániť zo zoznamu autorizovaných zariadení
- Akékoľvek neoprávnené zásahy do zariadenia alebo inštalácia softvéru stiahnutého z nelegálnych či pochybných úložísk musí byť zakázaná
- Na všetkých BYOD zariadeniach musí mať zamestnávateľ schopnosť technicky vynucovať bezpečnostné pravidlá a prvky, napríklad možnosťou vzdialenej správy administrátorom, vyncucovanie politík na zariadení, kontrola a povoľovanie externých médií (napr. USB kľúčov) až po úroveň možnosti vymazať dáta zamestnávateľa zo zariadenia
Model home office používajte v primeranej miere tak, aby nebola ohrozená prevádzka kľúčových a kritických služieb vašej spoločnosti. Odporúčame sa riadiť aj odporúčaniami, ktoré sme už v súvislosti s terajšou situáciou vydali: https://www.sk-cert.sk/sk/bezpecnostne-odporucanie-narodneho-centra-kybernetickej-bezpecnosti-sk-cert-pre-prevadzkovatelov-zakladnych-sluzieb-v-suvislosti-s-virusom-covid-19-aktualizovane-opatrenia/index.html
Bezpečnosť vašej infraštruktúry a dát musí byť prioritnou úlohou – práca na diaľku môže spôsobiť bezpečnostné riziká, preto venujte zvýšenú pozornosť monitoringu neštandardného správania vo vašej sieti a neočakávaným výpadkom
Pripravte pre svojich zamestnancov príručku, ako sa bezpečne správať na home office – môžete sa inšpirovať našimi odporúčaniami pre jednotlivcov alebo voľne dostupnými vzdelávacími programami (napríklad: https://www.sans.org/security-awareness-training/deployment-kit-videos)
Na prístup do vašich interných sietí zriaďte pre vašich zamestnancov na home office bezpečné VPN pripojenie. Uistite sa, že vaša VPN technológia má najnovšie aktualizácie, zvláštnu pozornosť venujte tomu, či vaša technológia nemá kritické zraniteľnosti
Zamestnancom, ktorí pracujú z domu, minimalizujte prístup do kritických systémov a nadefinujte im oprávnenia, ktoré nevyhnutne potrebujú – v prípade potreby môžete prideliť vyššie oprávnenia ad hoc na určitý čas, napríklad na jednotlivé potrebné úkony v systémoch
Vyžadujte od svojich zamestnancov, aby používali bezpečné a jedinečné heslá pre každý systém zvlášť
Vynucujte dvojfaktorovú autentifikáciu všade, kde je to možné. Vyhnite sa dvojfaktorovej autentifikácii prostredníctvom SMS
Poskytnite svojim zamestnancom bezpečný spôsob zálohy dát. Myslite na to, že spracovanie dát, ktoré podliehajú určitému špecifickému režimu (napr. GDPR, dáta podliehajúce zmluvným obmedzeniam a pod.) nemôžu byť zálohované na domáce zálohovacie zariadenia vašich zamestnancov. Najmä osobné údaje by mali byť zálohované len centrálne a cez zabezpečený kanál
Pre svojich zamestnancov, ktorí pracujú z domu, vytvorte bezpečnú platformu na komunikáciu – napríklad zabezpečený chat. Tu môžu komunikovať nie len s ostatnými kolegami a lepšie sa koordinovať, ale napríklad aj hlásiť podozrivé udalosti, incidenty, phishingové e-maily alebo iné pokusy o kompromitáciu. Je možné využiť aj dôveryhodné online služby
Pravidelne svojich zamestnancov poučujte o rizikách v kybernetickom priestore, najmä o sociálnom inžinierstve a phishingu. Tie bývajú najčastejším spôsobom útoku a prvotným krokom v úspešných prienikoch do infraštruktúry
Vyhodnocujte pravidelne riziká, spojené s home office a obmedzenou prevádzkou vašej organizácie a pružne reagujte na všetky zmeny

Ako sme už niekoľko krát varovali, (napríklad: https://www.sk-cert.sk/sk/narodne-centrum-kybernetickej-bezpecnosti-sk-cert-varuje-pred-pokracujucimi-skodlivymi-aktivitami-suvisiacimi-s-virusom-covid-19/index.html) v čase neistoty a strachu medzi ľuďmi z dôvodu šírenia vírusu COVID-19 sa aktivizujú aj útočníci v kybernetickom priestore a zneužívajú túto situáciu nie len na finančné obohatenie, ale aj na vykonávanie sofistikovaných útokov na organizácie a spoločnosti. Uvedomujú si, že väčšina spoločností bude pracovať v obmedzenejšom režime a práve home office môže byť pre nich príležitosťou, ako jednoducho preniknúť do infraštruktúry organizácie.