Az új koronavírus járvány egészségre veszélyt jelentő hatásainak mérséklése érdekében, egyre több munkáltató dönt úgy, hogy a munkatársak személyes kapcsolatainak minimalizálása érdekében otthoni munkavégzést (home office) rendel el.
Az új koronavírus gyors terjedéséhez hasonló veszélyhelyzetekben a szervezetek ad-hoc megoldásokkal próbálják megteremteni a távoli munkavégzés feltételeit, ugyanakkor a munkáltató szervezetek jelentős része nem rendelkezik olyan infrastrukturális feltételekkel, amelyek lehetővé teszik az elektronikus információbiztonság követelményeinek megfelelő módon történő otthoni munkavégzést. Ezen speciális helyzetek és az ilyenkor alkalmazott eljárások során az IT biztonsági szint csökkenhet, ezért kiemelten fontos a szervezetek és a munkavállalók tudatossági szintjének maximalizálása a lehetőségekhez képest. Ennek eredményeképpen elkerülhetővé válhatnak az adott szervezet teljes IT rendszerére veszélyt jelentő támadások.
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete (továbbiakban: NBSZ NKI) ezért az alábbi biztonsági javaslatokat, ajánlásokat fogalmazza meg azon szervezetek számára, amelyek a jelenlegi helyzetben akarnak azonnali megoldást találni a home office kérdéskörére.
– Vizsgálják meg, hogy rendelkezésre állnak-e a megfelelő IT eszközök a munkavégzéshez. Ha a munkáltató biztosítja az informatikai eszközöket, akkor ez a feltétel alapvetően adott, ennek hiányában a munkavállaló – a megfelelő biztonsági előírásokat betartva – a saját IT eszközéről is dolgozhat.
– Teremtsék meg a biztonságos kommunikáció lehetőségét VPN (Virtual Private Network) csatorna használatával, lehetőség szerint kétfaktoros azonosítással, amelyhez ingyenes, nyílt forráskódú termékek is rendelkezésre állnak (pl. OpenVPN, vagy más fizetős gyártó támogatott szoftvere).
– Előre határozzák meg az elérni kívánt szakrendszerek körét, és a tűzfalakon kizárólag ahhoz biztosítsanak hozzáférést.
– Amennyiben megoldható, a munkaállomás teljes forgalma legyen a VPN csatornán átterelve (full-tunneling), úgy, hogy az internet elérése az eszközön korlátozásra kerüljön (ebben az esetben az infrastruktúra tervezése során számolni kell a jelentős adatforgalomra is, melyet például az egyes alkalmazások frissítése is okozhat).
– A tűzfalszabályokat úgy kell kialakítani, hogy kizárólag a munkavégzéshez szükséges felületek legyenek elérhetőek.
– Ajánlott a VPN kapcsolaton átfolyó forgalom részletes naplózása (a munkavállalók mikor és meddig csatlakoztak, mely kiszolgálókkal kommunikáltak stb.).
– A felhasználok kétlépcsős azonosítását követően túl is törekedni kell a lehető legszigorúbb hozzáférési szabályok alkalmazására: a munkavállalók kizárólag a legszükségesebb irodai erőforrásokhoz férjenek hozzá.
– Ajánlott a hordozható eszközök ún. teljes merevlemez titkosítása, amelyhez az operációs rendszer beépített, de egyéb gyártó külön fejlesztett termékei is rendelkezésre állnak (pl. Windows BitLocker, VeraCrypt stb.).
– Ajánlott egységes környezetbe bevont, központilag kezelt (beállítások és riportálás) antivírus megoldás alkalmazása.
– A hordozható munkaállomásokon érdemes egységes csoportházirend beállítást alkalmazni, mellyel az operációs rendszer biztonsági beállításai részletesen személyre szabhatók (pl. USB adathordozó használatának korlátozása).
– A felhasználók ne lehessenek rendszergazdák az adott számítógépen.
– A szervezeti hálózati eszközökön legyen aktív a Quality of Service funkció a túlterhelés megelőzése érdekében.
– A munkaállomások ne lássák egymást, hordozható eszközökön ne legyen aktív a könyvtármegosztás.
– Központi terminálszolgáltatásokkal rendelkező szervezetek esetén megoldást jelenthet kizárólag a távoli asztali kiszolgálók elérése a bemeneti eszközök átirányításának korlátozásával (meghajtók, vágólap stb.), mely egyúttal biztosítja az üzleti alkalmazások helyes működését is. Ebben az esetben is törekedni kell azonban az alapértelmezett portok megváltoztatására és erős jelszavak használatára.
– Külföldi munkavégzéshez olyan IT eszközt szükséges biztosítani, ami kizárólag a levelezőrendszerhez való hozzáférésre alkalmas.
– A szervezetek dolgozzanak ki eljárásrendet különféle nem várt biztonsági eseményekre (pl. az eszköz elvesztése esetén milyen protokollt szükséges követni a felhasználóknak és üzemeltetőknek).
A szervezeti környezetben megszokott IT biztonsági alapelvek megtartása a home office bevezetése után, otthoni környezetben is szükséges, különös figyelmet fordítva az alábbiakra.
– Lehetőség szerint csak megbízható oldalakat (híroldalak, közösségi média) keressenek fel (a megbízhatóság egyik jele a „https” lehet a weboldal címének elején).
– A munkavégzésre használt saját IT eszközeikre telepítsenek vírusirtót, amelyet időszakosan frissíteni szükséges.
– Távoli munkavégzés során még inkább legyen körültekintő elektronikus levelei olvasása, megnyitása során.
– Az otthoni munkavégzésre kapott eszközt csak az adott szervezet munkavállalója használja (még családtagjainak se engedje át azt).
– A munkahelyi hálózat eléréséhez szükséges jelszavakat, azonosítókat tartsák a legnagyobb titokban, hétköznapi, valamint magánügyek intézése során kerüljék ezen jelszavak használatát.
– Az otthoni munkavégzésre használt eszközökre ugyan olyan (szigorú) szabályok vonatkozzanak, mint az irodai eszközökre (magáncélra ne használjuk, a géptől való távozáskor zároljuk azt stb.)
– Ne használják az eszközt nyilvános helyen, csak zárt térben és olyan körülmények között, hogy illetéktelen személy ne tekinthessen bele a munkafolyamatokba.
– A munkáltató szervezet által rendelkezésre bocsátott informatikai eszközök meghibásodása esetén a felhasználó haladéktalanul keresse fel a szervezet műszaki egységét, és saját maga ne kezdjen bele a hibaelhárításba, javításba.
További intézkedésként javasoljuk, hogy a munkatársak részére használati- és biztonsági útmutató (melynek minimális tartalma, hogy a jelszó ne a számítógép mellett legyen tárolva; családtag az eszközt nem használhatja; stb.) kerüljön összeállításra. Az elkészítéshez az NBSZ NKI által megfogalmazott Közigazgatási Kibervédelmi Eszköztár („Fehér Könyv”) nyújthat segítséget.
