Címlapon

06_the_new_york.jpg
Forrás: ITB
Tartsuk meg a biztonságot az állandó átmenetben is

Tegyük irodássá az otthoni munkavégzést!

Tömegesen kényszerültek otthoni irodába a nagyvállalatok dolgozói, a vállalatok pedig igyekeznek irodai körülményeket biztosítani munkavállalóik számára – otthon is. A megváltozott munkakörülményekhez kell igazítani a vállalati IT biztonsági intézkedéseket is, megfelelő izolációra, az IT biztonságtudat növelésére van szükség.

IT-ben dolgozó családként az otthoni oktatás elrendelése nem ért felkészületlenül, a Google Tanterem alkalmazáson keresztül folyó tanítást minkét fiúnk saját gépén keresztül követheti. De mi a szerencsések közé tartozunk, sok családban számítógépet kellett vásárolni, máshol meg a cég által biztosított laptopon tanult a gyermek. Aki véletlenül természetesen céges dokumentumokat is törölt, de ahogy a technikai segítségnyújtás alatt kiderült, szerencsére nem véglegesen. És ez csak egy a sok biztonsági kihívás közül, amelyek az otthonról dolgozókat érintik.

 

A hekkerek gyorsan alkalmazkodtak

Nem nőtt jelentősen a kibertámadások száma a járvány kitörése óta, de a hekkerek természetesen mind a módszerekben, mind a kiválasztott célpontokban alkalmazkodtak az új helyzethez. A szakemberek már március közepén arra figyelmeztettek, hogy naponta több ezer új, a járvány hullámait meglovagolni kívánó adathalász oldalt hoznak létre. A Check Point adatai szerint csak április első két hetében több mint 30 ezer, a vírussal kapcsolatos domént regisztráltak; ezek közül 131 bizonyítottan tartalmazott ártalmas kódot, de további 2777 is gyanús.

Az ESET arra figyelmeztetett, hogy a vírushoz kapcsolódó email-támadások száma közel a hétszeresére emelkedett márciusban. Az adathalász-emailek között már magyar nyelvű is akad: ebben a helyi kórház nevében egy űrlap kitöltésére kérik a felhasználót, akik viszont így kártevőt töltenek le a gépükre.

Különösen gazdag zsákmányt ígér manapság a hekkereknek a rövid idő alatt távmunkába kényszerült irodai dolgozók tömege. A hiányos kommunikáció miatt könnyebben lépre csalhatók hamis emailekkel, a jól-rosszul védett otthoni számítógépeken keresztül pedig a vállalati központi rendszerekbe is könnyebb behatolni, mint közvetlen támadással. Nem beszélve arról, hogy az egyik legnépszerűbb távmunka-eszközről, a Zoomról is kiderült, hogy komoly biztonsági réseket tartalmaz.

Biztonságos-e a cégem?

A következő 10+1 pontos kérdőív segítségével magunk is meggyőződhetünk arról, hogy vajon biztonságos munkakörülmények között dolgozik az otthoni irodában kollégánk. Ha valamelyik kérdésre nem-mel válaszolnánk, akkor abban a kérdéskörben további tennivalónk van.

1. Az az eszköz, amelyről az otthoni munkát végzik, rendelkezik-e ugyanazokkal a végpontvédelmi megoldásokkal, mint amelyekkel a céges gépek (pl. BitLocker, antivírus, többfaktoros azonosítás)?

2. Van-e biztonságos másodlagos csatorna, ahol a kollégákkal vagy az IT-csapat és a dolgozók elérik egymást, ha szükséges?

3. Biztonságos, az otthoni eszközeiktől elválasztott internet-hálózaton keresztül dolgoznak?

4. Van-e adminisztratív vagy technikai intézkedés arra, hogy az eszközén lévő szoftvereket naprakészen tartsa?

5. A céges gépet csak munkavégzésre használják? Ha nem, a magáncélok (a magán teendők intézése, közösségi oldalak használata személyes fiókokkal, streaming szolgáltatások igénybevétele stb.) és a munkavégzés elkülönülnek, például virtuális gépek használatával?

6. Meg lett-e szabva, hogy a céges információcsere milyen csatornákon és alkalmazásokon keresztül történjen?

7. A céges adatvagyon-elemeket (dokumentumokat, adatbázisokat stb.) és belső hálózatot az IT-csapat által biztosított és konfigurált VPN-hozzáférésen keresztül érik el?

8. Vonatkozik-e a távoli munkavégzésre (is) szabályozás a jelszavak és azonosítók kezelését illetően (például jelszómenedzser használata, többfaktoros azonosítás, jelszavak hossza és bonyolultsága)?

9. Tudják-e biztosítani, hogy az otthoni munkavégzés során kezelt üzleti titkokhoz, személyes adatokhoz és egyéb érzékeny információhoz illetéktelen személy (családtag, szomszéd) ne férjen hozzá (zárható dolgozószoba, a monitor nem ablak felé néz, online meeting vagy hívás fülhallgatóval)?

10. Tudják-e, hogy melyek a céges IT-biztonsági szabályzat otthoni munkavégzésre vonatkozó elemei?

+1. A jelen helyzetben azoknál a biztonsági kérdéseknél, ahol a pozitív válaszban elhangzott, hogy „átmenetileg”, kialakult-e azóta a biztonságos, állandó megoldás?

Asztalhoz rögzített gépek

„Korábban azon dolgoztunk, hogy az irodai munkakörülményeket minél otthonosabbá tegyük, most viszont azon fáradozunk, hogy az otthoni munkát az irodai körülményekhez minél közelebb végezhessük”, vázolja a helyzet ironikus voltát Romics Attila, a Balasys service delivery üzletág vezetője. Cégüknél csak a fejlesztők nem dolgoztak már korábban otthonról, így nekik kellett a home office-t külön biztosítani. Nem kapkodtak, volt olyan, aki hazavitte a kényelmes irodai széket vagy a plusz monitort is.

Az átállás miatt 1-2 laptopot kellett biztosítaniuk olyan embereknek, akik korábban asztali gépen dolgoztak, külön szoftvert nem kellett vásárolniuk. Plusz óvintézkedés, hogy egy saját megoldással külön figyelik azoknak azoknak dolgozóknak a tevékenységét, akik kritikus vállalati adatokhoz férnek hozzá. Biztonsági cégként nem bíztak a külső videókonferenciás megoldásokban, helyette nem felhős, saját megoldást használnak a belső kommunikációra. Titkosítást alkalmaznak és digitális aláírással azonosítják a kollégákat, így biztosak lehetnek, hogy az adott email, adat, üzenet, tényleg tőle és nem egy közbeékelődött embertől származik.


Fizikai zárral is megerősítették az otthoni laptopok védelmét, így, ha esetleg valaki betörne, akkor nehezebb elvinni a céges gépet.  Mindezek ellenére Romics Attila tudja, hogy lesznek biztonsági incidensek, amelyek az otthoni hálózat gyengeségéből, az adathalász emailek számának megnövekedéséből adódhat. Ezért van az üzletfolytonossági terv, mely probléma esetén előírja, mi a teendő a kockázatok mérséklésére.

Nem véletlenül egy biztonsággal foglalkozó cég home office-os átállását hoztuk fel példának: a biztonsági cégek elég sok problémát, incidenst láttak már ahhoz, hogy megfelelő intézkedésekkel tegyék biztonságossá az otthoni munkavégzést. Persze, nem minden cégnek van elegendő forrása ahhoz, hogy még zárakkal is az asztalhoz erősítsék a céges laptopokat. De ha tudatosítják, milyen kockázatokkal jár az otthoni munkavégzés, akkor a megfelelő pontokon és a megfelelő emberek esetében meghozott plusz intézkedésekkel csökkenthetik az incidensek kockázatát.

 

Biztonsághoz izoláció kell

„A biztonság izoláció nélkül nehezen képzelhető el”, véli Fehér Sándor, a White Security ügyvezető igazgatója. Az izolációt különböző doménekre kell lebontani, ami azt jelenti, hogy el kell választani a munkagépet a magángéptől vagy az otthoni magáneszközöktől, a hálózatba kötött IoT-eszközöktől. Azzal is kell számolni, hogy otthon sok olyan veszély leselkedik a céges gépekre, amelyek irodai környezetben nincsenek jelen.

A szakember javaslata szerint amikor hirtelen sok munkaállomást kell pótolni, nem kell feltétlenül hardverben gondolkodni, a virtualizáció is jól használható. Például a magántulajdonban lévő számítógépen használt virtuális munkagép egy operációs rendszer költségének megfelelő kiadást jelent. Ez egy jó menekülő útvonal, arany középút a biztonság és a megfizethetőség között – nyilván, ha a virtuális gépet a rendszergazdák megfelelően konfigurálták, időt szántak a részletes beállításokra. Például, ha a drag&drop funkciókat és a vágólap megosztását letiltják ezen a virtuális gépen, akkor az valóban teljesen izolált környezetben tud dolgozni.

A kéz mindig kéznél van és hiteles


Nemcsak kódokkal oldható meg az elektronikus aláírás, lehet biometrikus is: ez voltaképpen a normál, kézi aláírásunk, amelyet nem papírra, hanem egy képernyőre írunk, így ott rögtön digitálisan azonosít minket – mondja Kovács Árpád, az Infoscope ügyvezető igazgatója.

Ha a megoldás rendelkezik eIDAS-tanúsítvánnyal is (ahogy az Infoscope mySigno terméke), akkor a biometrikus kézjegy megfelel a fokozott biztonságú aláírás követelményeinek, és mint ilyen, joghatással is bír. Különösen jól jön ez olyan esetekben, amikor például egy vállalatnak nagyszámú lakossági ügyfele van. Ilyenkor az amúgy is digitálisan létrehozott és tárolt dokumentumokat  nem kell kinyomtatni, az ügyfél a képernyőn elolvassa azt, és egyből alá is írhatja.

Május elejétől webes szolgáltatással is kiegészül a mySigno. A CollectSign.hu felületére feltölthetők a dokumentumok, amelyeket az érintettek egy alkalmazást letöltve iOS, Android és Windows alapú mobileszközökön is aláírhatnak. „Nagy előnye, hogy egy telefonon vagy tableten bárki hitelesen hozzáadhatja a biometrikus aláírását egy dokumentumhoz. A biometrikus információkat titkosítva tároljuk, azokhoz sem az ügyfél, sem az Infoscope nem fér hozzá egyedül. A szolgáltatás üzembiztonságáról pedig a Microsoft Azure gondoskodik”, foglalja össze a lényeget Kovács Árpád.

Ezzel biztosítható az is, hogy a céges rendszergazdák hozzáférjenek ahhoz a géphez, és így incidens esetén el tudják szigetelni a hálózat többi részétől, vagy tudjanak adatokat gyűjteni róla – ami egy saját tulajdonú gép esetén aggályos lehet. A magángépet nemcsak az alkalmazott, hanem más családtag is használhatja, ehhez viszont a munkáltatónak semmi köze.

 

Hiába a VPN-kulcs, ha fertőzött a számítógép

Az otthoni számítógépek nem minden esetben vannak rendben biztonság szempontjából, lehet eleve fertőzöttek – ahogy később kiderülhet. A White Security beszélgetésünk idején zárt le két olyan esetet, amikor a rendszergazdák kiosztották a VPN-kulcsokat, ám azok a gépek, amelyeken használták, már eleve fertőzöttek voltak. Ezekhez már volt hozzáférésük a támadóknak, és amikor megérkezett a VPN-kulcs, akkor az megnyitott számukra egy újabb kaput – a céges adatbázis felé. Tokenes, PIN-kódos védelemre nem volt lehetőség, vagyis a kétlépcsős azonosítást nem használták, így sajnos a vállalati szervert egy zsarolóvírusos támadás bénította meg. Szerencsére a biztonsági mentésből hamar vissza tudták állítani az adatokat.

Az otthoni hálózat nem feltétlenül megbízható, például az internetszolgáltatók által biztosított routerek gyári, alapértelmezésű jelszava, felasználóneve kikereshető egy internetes adatbázisból – figyelmeztet Romics Attila. Ezért fontos, hogy az alapbeállításokat és az alapjelszavakat ellenőrizzük, és változtassuk meg, ha ez még nem történt meg.  (Durvábban: gyári állapotú routert, kábelmodemet, átjátszót stb. használni tilos! A szerk.) Tudatosítani kell a munkavállalókban, hogy szenzitív adatokhoz férnek hozzá az otthonról használt gépen keresztül is, ezért az alap biztonsági szabályok és megoldások mellett érdemes egy tevékenység-megfigyelő megoldással a csírájában elfojtani az adatszivárgási vagy illetéktelen titkosítási próbálkozásokat. Gondot jelenthet a vállalati, otthoni irodai hálózat terhelhetősége is, ezért érdemes tesztekkel megbizonyosodni azok teherbírásáról.


Figyeljünk a számítógép tájolására is!

Fehér Sándor szerint az adminisztratív területeken dolgozókban kell tudatosítani, hogy milyen veszélyek várhatóak ezen a területen. Például egy nagyobb összegű vagy bármilyen egyéb szempontból furcsa utalásnál érdemes telefonon meggyőződni, hogy tényleg azoknak utaljuk az adott összeget, akinek eredetileg szántuk. Gyakori ugyanis az olyan beékelődéses támadás, amikor a támadók egy elcsípett levélből kiderítik a nem véglegesített rendelés adatait. A támadó egyik félnek eljátssza a megrendelőt, a másiknak meg a terméktulajdonost, és beépített ellenőrzések hiányában könnyedén elérheti, hogy a megrendelt termék vagy szolgáltatás összege a saját bankszámláján landoljon. Míg irodában gyorsan rá tudunk kérdezni, otthoni irodából érdemes videókapcsolaton, telefonon – vagyis egy alternatív kommunikációs csatornán – megbizonyosodni, hogy jó embereknek utalunk.

A távmunka során rengeteg apróságra kell figyelnünk, például, hogy ablakon keresztül lehet-e látni a számítógép képernyőjét, vagy az ablakkal szemben van-e, így illetéktelenek (vagy kíváncsiskodó szomszédok) nem láthatják. Az is fontos apróság, hogy az otthoni, de céges munkavégzéshez használt wifi titkosítása megfelelő szintű-e? Vagy ha ketten dolgoznak otthonról, sok esetben két, különböző cégnél, akkor az egyik számítógép kamerájának van-e másik gépre rálátása? Triviális kérdések, de a biztonság szempontjából annál fontosabbak.


IT-biztonsági incidensek megoszlása 2020.04.03-08. között (százalék)

Sérülékenység

31

Káros szoftver

23

Adathalászat

24

Jogosulatlan hozzáférés

6

Elérhetetlenség

5

Kéretlen levél

5

Honlaprongálás

3

DDOS-támadás

3

Forrás: a Nemzeti Kibervédelmi Intézet által kezelt esetek