Na co je třeba při práci z domova myslet a co by každá organizace měla mít podchyceno, aby bylo možné zaměstnance nechat pracovat z domova a zároveň tím podnik neohrozit? A co zaměstnanci pracující doma, co by si měli zkontrolovat a na co si dávat pozor, aby zbytečně neohrozili firemní data a informace? Shrnout nejdůležitější odpovědi na tyto otázky je cílem tohoto článku.
Každá organizace by měla u každé pracovní pozice zvážit, zda právě tato neznamená ve vztahu k práci na dálku zvýšené bezpečnostní riziko. U některých pozic je práce z domova těžko proveditelná, protože se pojí s prostorami a s vybavením, které je nemožné nebo neefektivní přenášet. Typicky půjde o operátory ve výrobě, o pracovníky ochranky nebo úklidu. Jiné pracovní pozice z praktického hlediska lze z domova vykonávat, ale v souvislosti s kybernetickou bezpečností to není vhodné. Toto se týká především pozic, které disponují privilegovaným přístupem do řídicích a administrátorských systémů, jejichž kompromitace by měla závažné dopady na chod obchodních procesů a na dostupnost, důvěrnost a integritu důležitých dat a informací. Jako příklad takové pracovní pozice lze uvést správce sítě. Důsledné uvážení by se však mělo týkat všech pozic, jejichž výkon je spojován se zpracováním kriticky důležitých dat či informací.
Pracovní pozice, pro které je třeba zavést dodatečná bezpečnostní opatření, by měly být identifikovány na základě analýzy rizik a dopadů. Na jejím provedení by měli participovat vedoucí zaměstnanci na všech úrovních řízení a manažer kybernetické bezpečnosti. V případech, jako jsou ty uvedené výše, můžou taková opatření spočívat v neumožnění výkonu práce na dálku nebo v jejím omezení – např. v provádění některých činností nebo přihlašování se do určitých systémů pouze a jedině na pracovišti.
V březnu tohoto roku veřejně přiznal provozovatel jednoho ze světově nejpoužívanějších systémů pro správu hesel LastPass, že mu byla odcizena hodnotná data, a to včetně klientských hesel, byť v šifrované podobě. Krádež dat byla provedena prostřednictvím řady několika po sobě jdoucích kybernetických útoků, které začaly v srpnu loňského roku. Na základě prvního útoku si útočníci vytipovali konkrétního vývojáře, který disponoval přístupem ke všem zálohám LastPass a který pracoval z domova, z privátního počítače připojeném na domácí internetovou síť. Do této sítě hackeři pronikli díky zneužití zranitelnosti několik let neaktualizovaného multimediálního softwaru, následně na počítač vývojáře nainstalovali keylogger (nástroj pro odposlech stisků kláves), díky tomu se dostali k zašifrovaným zálohám, ke kterým měl vývojář přístup, a tyto zálohy si stáhli.
Jako zásadní selhání LastPass odborníci vidí právě skutečnost, že osoba, jež měla přístup k nejdůležitějším datům, která organizace spravovala, k nim mohla přistupovat z domácí sítě.
V první řadě je třeba zavést politiku pro vzdálený přístup a práci na dálku ve formě řádně vydaného interního řídicího aktu organizace (nebo různých aktů podle zavedeného systému řízené dokumentace v každé společnosti) a seznámit s ním všechny zaměstnance. Tato politika by měla komplexně a přehledně stanovit práva, povinnosti a bezpečnostní pravidla pro práci na dálku. V každém případě by měla zahrnovat pravidla pro bezpečné přihlašování do firemní sítě a do firemních informačních systémů na dálku a pravidla pro ukládání a práci s firemními informacemi ve všech formách, ve kterých se v organizaci zpracovávají. Zpravidla se jedná o textové dokumenty. Pro ty by měly být k dispozici bezpečná sdílená úložiště s řízeným přístupem. Pokud je třeba tyto informace ukládat i na jiná úložiště, mělo by být specifikováno, pro které informace to platí a za jakých podmínek. Jestliže v organizaci dochází ke zpracování důležitých multimediálních materiálů nebo jiných forem informací, které jsou náročné na kapacitu úložiště, je třeba zřídit úložiště pro jejich sdílení, které bude úměrné důležitosti těchto informací. Pro kriticky důležité informace a zejména pro ty velmi důvěrné by mělo být zřízeno privátní cloudové úložiště. Takové informace by se rozhodně neměly sdílet přes veřejné služby typu Uloženka apod. V případě, že pro sdílení některých informací tento kanál sdílení organizace zvolí, je nutné stanovit jasná a striktní pravidla pro jejich používání a vynucovat silná hesla. Politika by dále by měla zavádět pravidla bezpečného chování v domácím nebo jiném prostředí mimo prostory organizace. Tomuto tématu se budeme věnovat níže. Dále je více než vhodné stanovit pravidla pro telekonference a videohovory. Je dobré zvolit jeden systém, který musí používat všichni zaměstnanci, a tento zabezpečit, ideálně v souladu s Bezpečnostním standardem pro videokonference vydaným Národním úřadem pro informační a kybernetickou bezpečnost, který je volně dostupný na webových stránkách Úřadu. A konečně, politika by neměla opomíjet ani pravidla pro zpracování tištěných pracovních informací mimo kanceláře organizace.
Další bezpečnostní opatření je nutno zavést v případě, že se organizace rozhodne svým zaměstnancům umožnit v nějakém rozsahu používat soukromá zařízení pro pracovní účely. Tento princip lze často najít pod zkratkou „BYOD“ z anglického „Bring Your Own Device“ a jeho rozsah, podmínky a bezpečnostní opatření k zajištění kybernetické bezpečnosti by měly by být v rámci bezpečnostní politiky rovněž upraveny. Zde v terminologii mezinárodních bezpečnostních standardů hovoříme o politice BYOD. Je zřejmé, že plošné umožnění BYOD pro všechny nebo pro většinu zaměstnanců znamená zvýšené bezpečnostní riziko, nicméně v době pandemie bylo velké množství podniků nuceno na tento stav přistoupit. Z hlediska bezpečnostního dohledu a řízení bezpečnosti informací je žádoucí, aby všichni zaměstnanci disponovali pracovním zařízením, které podléhá správě IT oddělení organizace, a aby byl výkon pracovních činností na soukromých zařízeních zakázán. Tento bezpečnostní cíl naráží zejména na finanční náročnost často ještě podpořenou zvýšenými požadavky na zařízení některých výše postavených zaměstnanců nebo těch, kteří vykonávají specifické činnosti, pro které je běžné technické zařízení nevyhovující. V každém případě, plošné zavedení BYOD by mělo být i za zavedení dodatečných bezpečnostních opatření pouze dočasným řešením v nenadálé situaci, jako byla třeba právě pandemie covid-19. Dobrou praxí se stává, že o tom, zda bude konkrétnímu zaměstnanci dovoleno pracovat na soukromém zařízení, rozhoduje jeho nadřízený v součinnosti s manažerem kybernetické bezpečnosti. Manažer kybernetické bezpečnosti by měl mít přehled o tom, koho se BYOD týká. Nutným cílem, který je třeba sledovat je to, aby byla při práci na soukromých zařízeních dosažena minimálně stejná míra zabezpečení, jako je tomu u zařízení pracovních. Za tím účelem se se zaměstnanci, kteří chtějí pracovat v rámci BYOD, uzavírá dohoda, která stanoví vzájemná práva a povinnosti. Ta standardně stanoví pro zaměstnance zejména:
Technickým nástrojem pro bezpečné připojení na dálku, který většinu lidí napadne jako první, je virtuální soukromá síť, běžně označovaná jako „VPN“. Pokaždé, když se zaměstnanec přihlašuje vzdáleně k firemním úložištím dat a informací nebo do informačních systémů, musí se nejprve přihlásit do této sítě. Perimetr vnitřní sítě organizace se tak roztáhne v prostoru a také co do zařízení, která se do ní připojují. Jde skutečně o nepostradatelný nástroj, který velmi sníží riziko zejména tzv. „man in the middle“ útoků. Často se setkávám s představou lidí, že když se zaměstnanci připojují přes VPN, nic dalšího není ve vztahu k technickému zajištění práce na dálku potřeba řešit. Toto tvrzení však v realitě naprosté většiny českých organizací není pravdivé, protože velká část zaměstnanců ukládá firemní informace do počítače nebo při jejich zpracování využívá různých cloudových služeb.
Zásadnějším nástrojem než je VPN, jehož zavedení by již dnes mělo být z hlediska jeho efektivity samozřejmostí, je dvoufázové ověření uživatele. Tímto způsobem by se zaměstnanci měli přihlašovat jak do sdílených úložišť, tak do VPN a dalších informačních systémů. Jde o nástroj, který ochrání systémy před neoprávněným přístupem a navíc upozorní zaměstnance, pokud se někdo snaží jeho přístup zneužít.
Poněkud dvousečnou zbraní jsou pak systémy pro vzdálenou správu, známé pod zkratkou „RDP“ nebo jako sousloví „vzdálená plocha“. Tato služba umožňuje spravovat zařízení na dálku, řešit různé provozní i bezpečnostní události a poskytovat uživatelům podporu na dálku. Na druhou stranu, pokud nejsou tyto systémy správně nastaveny a zabezpečeny, jde o značné riziko spojené zejména s hrozbou ransomwaru a krádeží dat. Využívat tento nástroj by mělo být povoleno jen minimálnímu počtu zaměstnanců, a to opět za použití dvoufázové autentizace. Pro přístup k RDP je vhodné vynucovat předchozí přihlášení do VPN.
A konečně poslední technická opatření jsou ta, která ochrání informace v případě fyzického odcizení, ztráty nebo neoprávněného přístupu k zařízení. Zásadním a opět nenáročným řešením je šifrování pevného disku. S tím souvisí nastavení silné autentizace pro přihlášení se k uživatelskému účtu operačního systému prostřednictvím dvoufázového ověření a silného hesla. Žádoucí je rovněž nastavení automatického uzamykání obrazovky počítače při přerušení práce trvajícím déle než 15 minut.
V organizacích, kde je kybernetická bezpečnost zavedena na dobré úrovni a jejíž firemní kultura zahrnuje pozitivní přístup k ochraně pracovních informací, zaměstnanec svůj díl práce splní z většiny tím, že se seznámí s příslušnými bezpečnostními politikami a navazujícími dokumenty, absolvuje školení kybernetické bezpečnosti a jejich obsahem se řídí. Nicméně, i zde může proaktivní přístup zaměstnance pracujícího z domova znamenat rozhodující pojistku při kybernetické bezpečnostní události nebo incidentu, se kterým nebylo ze strany organizace počítáno. Jaké jsou obecné zásady a příklady dobré praxe?
Možnost práce z domova je v dnešní době velmi vítaným a běžným benefitem na trhu práce, kde nabídka práce převyšuje poptávku. Nese s sebou řadu výhod, zejména možnost zaměstnaných lidí trávit svůj čas efektivně a rozložit si pracovní a osobní úkoly a plány podle toho, jak to každému vyhovuje. Organizacím umožňuje snížit část nákladů spojených s provozem kanceláří. Na druhou stranu to otevírá dveře a zvyšuje motivaci hackerů, kteří chtějí proniknout do virtuálního prostředí organizací, nejčastěji za účelem krádeže nebo zašifrování cenných dat a informací a jejich následném zpeněžení. Dokazuje to prudký nárůst detekovaných phishingových útoků v době pandemie covid-19. Každá organizace si musí být těchto hrozeb vědoma a měla by na základě alespoň jednoduché analýzy rizik a dopadů odhadnout, pro které pracovní pozice a případně pro které pracovní činnosti umožnit výkon z domova a jakým způsobem, a vhodně o tom zaměstnance uvědomovat. Zaměstnanec pracující z domova by si měl uvědomit, že s větší svobodou, které se mu díky home office dostává, narůstá i jeho, minimálně morální, odpovědnost věnovat ochraně informací zaměstnavatele péči a zbytečně je neohrozit nedbalým zacházením s nimi.