Álom az alkalmazottnak, rémálom a munkáltatónak?
A távmunka napjaink egyik legfelkapottabb témája. A néhány éve még rosszalló pillantást érő, dolgozhatok otthonról kérdés mára teljesen természetessé vált, olyannyira, hogy az állást keresők kifejezett előnyként értékelik, ha leendő munkaadójuk biztosítja az otthonról dolgozást. A dolgozók szempontjából üdítő alternatíva azonban komoly kockázatokat is jelenthet a cég számára, hiszen a munkavállalók 35%-ának elege van a jelszavak állandó változtatgatásából.
A távmunkához első körben egy számítógépre és internetkapcsolatra van szükség. Jó esetben a vállalat biztosít céges notebookot vagy tabletet, aminek egy nagyon komoly előnye van: csak azok az alkalmazások futhatnak rajta, amit a vállalat rendszergazdái jóváhagytak, illetve – optimális esetben – fel van vértezve megfelelő vírusvédelmi rendszerrel és tűzfallal is. A nagyobb kihívást a céges hálózathoz kapcsolódás jelenti – méghozzá valamilyen titkosított, biztonságos csatornán. Ennek három szintje ismert.
Az elsőben a munkavállaló a céges levelezést éri el (tipikusan ilyen az Outlook Web Access). Ilyenkor a belépő az emailekhez fér csak hozzá, más, belső erőforráshoz nem. A második szinten már a belső rendszerekhez, alkalmazásokhoz is hozzá lehet férni. Erre számos megoldás létezik: egy nagyon közismert az úgynevezett remote desktop (bizonyára sokan emlékeznek a felsőoktatásban használt Neptunra, ami kezdetben szintén ezt a csatlakozási módot használta), de ilyen a mind népszerűbb VPN hozzáférés is. Utóbbi esetén egy titkosított alagút jön létre a vállalati hálózat és a távoli kommunikációs eszköz között.
Természetesen ez a hozzáférés is akkor ér valamit, ha megfelelő szabályrendszerek, azonosítási protokollok, illetve belépési jogosultságok teljesítése után fér csak hozzá a felhasználó a vállalati erőforrásokhoz. Egy általános, és munkavállalók által is jól ismert (és nem is kedvelt) szabályrendszer például a hozzáférési jelszó rendszeres időközönként kényszerített változtatása, vagy például a szoftveres/hardveres token használata. A munkáltatói oldalt nézve ezek a biztonsági megoldások mind azt a célt szolgálják, hogy a szervezet erőforrásai és az adatok minél jobban védve legyenek.
A harmadik – és egyben legnagyobb kockázatot rejtő – távoli hozzáférést a rendszert felügyelő informatikusok, illetve adminisztrátori jogosultsággal rendelkező munkavállalók jelentik, hiszen amennyiben az ő hozzáférésük illetéktelen kezekbe kerül, az nagyon súlyos következményekkel járhat. Egy rosszindulatú támadó akár egy világméretű céget is könnyen a digitális kőkorszakba küldhet vissza egy ilyen hozzáférés birtokában. Munkáltatói oldalról extra védelmet jelent, ha az ilyen jogosultsággal rendelkező – és távolról dolgozó – munkavállaló minden digitális lépését megfelelően monitorozza egy erre kialakított rendszer, rendellenesség esetén pedig azonnal riasztást küld, illetve letiltja a hozzáférést.
A védelem gyenge pontját jelentő emberi tényezőt megerősíti a Las Vegas-i Black Hat 2017 IT-biztonsági konferencia résztvevői között végzett kutatás eredménye is. A 250 megkérdezett etikus hacker 85%-a ugyanis egyetértett abban, hogy a sikeres behatolás valamilyen emberi hibára vezethető vissza. A kiberbiztonságban jártas szakemberek kiemelt kockázatként említették azt is, hogy a cégek által előírt rendszeres jelszócsere a munkavállalók részéről komoly ellenállást eredményez, ami a biztonsági előírások szándékos megszegéséhez is vezethet. Szintén árulkodó, hogy 32%-uk szerint legkönnyebben egy megszerzett adminisztrátori fiókon keresztül juthatna a kiszemelt vállalat érzékeny adataihoz.
„Biztonságilag fontos, hogy a távmunka miatt egy új kaput nyit az internet felé a cég, ahol, ha nem megfelelő megoldásokat használnak, a vállalat összes értéke veszélybe kerülhet. Tipikus az elavult VPN szoftverek, rosszul beállított szerverek, gyenge jelszavak használata. Emellett jellemző még az is, hogy a kilépett felhasználók jogosultságait nem vonják vissza, gyakran évekig élnek még a belépési adatok” – fogalmazott Lengyel Csaba, a Hunguard kiberbiztonsági vállalat műszaki igazgatója.
A leggondosabban megtervezett, biztonságosnak titulált rendszer esetében a leggyengébb láncszem mindig az ember lesz. Ezért kiemelten fontos minden munkáltató számára a rendszerek naprakészen tartása mellett a dolgozók megfelelő információbiztonsági edukálása. Az erre fordított erőforrás ugyanis töredéke annak a pénzben is mérhető kárnak, amit egy esetleges kibertámadás során elszenvedhet a cég.
Kapcsolódó cikkek
- Mondd, mennyit ér a biztonság?
- Új backdoor programot fedezett fel az ESET
- Rangos elismeréseket kaptak az ESET megoldásai
- A Kaspersky Lab ingyenes androidos védelmet fejlesztett ki az okosotthonok védelmére
- A spammerek a WannaCry zsarolóvírusból húznak hasznot
- A hackerek szerint a hagyományos IT-biztonsági technológiák elavultak
- Digitális iskolakezdés: legyünk résen gyermekünk biztonsága érdekében!
- Magyarország csak a 74. legveszélyesebb ország az online kibertérben
- A Faketoken trójai új verziója taxi appok felhasználóira vadászik
- A privilégium nem jár mindenkinek
Trend ROVAT TOVÁBBI HÍREI
Újra platina minősítést szerzett a Bridgestone
A Bridgestone EMEA 2024-ben már a negyedik egymást követő évben nyerte el a vezető globális fenntarthatósági értékelő platform, az EcoVadis legmagasabb, „platina” minősítését, amellyel a világszerte értékelt mintegy 130 000 vállalat közül a legjobb egy százalékba került.