Újragondolt IT biztonsági kockázatelemzés a távmunka viszonylatában

 

A vállalkozások tömegesen álltak át az otthoni munkavégzésre, amelynek kapcsán a holland kibervédelmi központ (NCSC-NL) arra hívja fel a figyelmet, hogy ebben az új helyzetben a távoli munkavégzést lehetővé tévő rendszerek elérhetősége az üzletmenet-folytonosság biztosítása szempontjából a korábbiakhoz képest jóval nagyobb fontossággal bír, így az ezzel kapcsolatos  korábbi IT biztonsági kockázatelemzések valószínűleg már nem feltétlenül érvényesek.

Milyen főbb kockázatok merülhetnek fel?

Amennyiben a távmunkára használt szoftverrel összefüggésben egy komoly biztonsági sebezhetőség válik ismertté, szervezetünk komoly dilemmával nézhet szembe: ha nem teszünk semmit, azzal lehetőséget adhatunk arra, hogy illetéktelenek adott esetben korlátlan hozzáférést nyerjenek a vállalati IKT eszközök felett; azonban ha lekapcsoljuk az adott rendszereket, azzal a vállalat működését sodorhatjuk veszélybe. E lehetőségek a legtöbb vállalat számára elfogadhatatlanok.

A távmunka rendszerek elérhetőségére ráadásul egy sor más tényező is hatással lehet, gondoljunk csak a hirtelen megemelkedő felhasználói szám miatti túlterhelődésre, licencelési vagy a rendelkezésre álló felhasználói fiókok számára vonatkozó limitációkra, DDoS támadásokra, valamint a kapcsolódó rendszerekben jelentkező egyéb hibákra, problémákra.

A távmunkát támogató szolgáltatások elérhetetlensége esetén ráadásul annak is megnő az esélye, hogy a dolgozók nagyobb arányban veszik igénybe a privát szférában használt szoftvereiket ─ mint például az ingyenes levelezőprogramokat, a felhő-alapú kollaborációs és fájlcserélő szolgáltatásokat ─ amelyek információszivárgási kockázatot hordozhatnak magukban. Ezek kapcsán célszerű előre számolni a lehetséges kockázatokkal.

Mit javasol az NCSC-NL?

Mindezeket figyelembe véve a szervezetek számára javasolt beazonosítani azon kritikus folyamatokat, amelyek az üzletmenet-folytonosság tekintetében elengedhetetlenek és a kockázatkezelő megoldásokat elsősorban ezen folyamatokra fókuszálva kidolgozni. Minden kritikus fontosságú folyamat esetén fel kell mérnünk, hogy ezek milyen mértékben támaszkodnak távoli munkavégzésre szolgáló rendszerekre, ehhez pedig társítsuk a lehetséges kockázatokat. Célszerű mindezt táblázatszerűen kezelni.

Cselekvési terv

  1. A vállalat kritikus folyamatainak azonosítása. Egy folyamat abban az esetben tekinthető kritikus fontosságúnak, amennyiben az abban támadt zavar rövid idő alatt veszélyezteti a vállalkozás céljainak teljesítését. Ne essünk ugyanakkor abba a hibába, hogy túl sok folyamatot könyvelünk el kritikusként! Itt valóban döntést kell hoznunk, hiszen a cél az, hogy az erőforrásainkat arra koncentráljuk, ami igazán számít. Több fontos folyamatunk is van? Ebben az esetben célszerű további prioritási köröket meghatározni, mint például “átlagos”, “magas”, “top prioritású”, amelyek a későbbi döntéseknél a segítségünkre lehetnek. Fontoljuk meg azt is, hogy miként teremthetünk olyan körülményeket, amelyek segítségével egyes folyamatok nélkülözhetetlensége csökkenthető. Ebbe a tevékenységbe lehetőleg vonjunk be minél több külső és belső érdekelt felet.
  2. Határozzuk meg az azonosított kritikus folyamatok távmunkától való függőségének  mértékét. Vizsgáljunk meg alaposan minden kritikus folyamatot, és állapítsuk meg, hogy a távoli munkavégzésre szolgáló rendszerek elérhetetlensége esetén ezek milyen mértékben végezhetők el változatlan formában, minderről pedig készítsünk listát.
  3. Azonosítsuk a lehetséges kockázatokat a távmunkára szolgáló rendszerektől függő kritikus folyamatok esetében (lásd a “Milyen főbb kockázatok merülhetnek fel?” szekcióban említett kockázati tényezőket).
  4. Ezt követően hozzunk védekező intézkedéseket a meghatározott kockázatok enyhítésére, például:
    • Bizonyosodjunk meg arról, hogy a távmunka szoftverek tekintetében megfelelő szintű támogatási szerződéssel rendelkezünk. (Egy alapszintű support szerződés például nem biztos, hogy ad arra lehetőséget, hogy egy előre nem tervezett leállás esetén azonnal segítséget kapjunk.) Ehhez  azonban tisztában kell lennünk azzal, hogy milyen gyorsan és milyen szintű segítségre lehet szükségünk, ezután pedig tekintsük át, hogy a gyártó milyen lehetőségeket kínál.
    • Alkalmazzunk IP fehérlistázást, amihez vegyük számba a távolról dolgozó munkatársak IP címeit.
    • Ne felejtsük el ellenőrizni egy meglévő távmunka rendszer esetében, hogy az képes-e kiszolgálni egy korábbinál nagyobb felhasználói bázist. Vizsgáljuk meg a licence szerződésből fakadó és a technikai korlátozó tényezőket, mint például a rendelkezésre álló felhasználó szám és a sávszélesség.
    • Ne spóroljuk meg az anti-DDoS megoldások használatát a hálózati belépési pontok védelméhez. (A témakörben külön NCSC-NL ajánló érhető el, lásd: [1])
    • Létrehozhatunk egy második belépési pontot, kifejezetten a kritikus folyamatokban érintett felek számára, amely más szoftverre támaszkodik. Ez különösen a VPN-alapú kapcsolódásoknál egyszerűen kivitelezhető.
    • Egyes alkalmazások bármiféle portál, vagy VPN nélkül, direkt módon elérhetőek az Interneten keresztül. Azonban ha egy ilyen szolgáltatás mellett döntünk, vegyük számításba azt is, hogy ezek az alkalmazások sérülékenységeket tartalmazhatnak, amelyeket a támadók könnyebben kihasználhatnak. Ezért, amennyiben lehetséges, ezeket kombináljuk IP fehérlistázással.
    • Nem minden kritikus folyamat végezhető el otthonról. Azon esetekben, amikor a távmunka nem megoldás, az irodai munkavégzéshez alakítsunk ki kis csoportokat, amelyek egymás munkáját is képesek ellátni. Egyes munkatársakat tudatosan kiemelhetünk a csoportmunkából, akik mintegy backupként szolgálhatnak.
    • Azonosítsuk a privát szférában használt szolgáltatások által hordozott kockázatokat, és ezt vessük össze a kritikus folyamatokat kiszolgáló rendszerek elérhetetlensége esetén fellépő kockázatokkal. (Erről az üzenetküldő alkalmazások kontextusában külön NCSC-NL kiadvány érhető el, lásd: [2])
    • Készüljünk külön ütemtervvel és vállalati kommunikációval a távmunka rendszerek elérhetetlenségének esetére. Például ebben az esetben azon munkatársakat, akik ilyenkor nem képesek ellátni a feladatukat, utasítsuk arra, hogy valóban függesszék fel a munkavégzést, ezzel megelőzve, hogy ad-hoc feladatellátásba kezdjenek önálló döntés nyomán választott IKT eszközök segítségével. Az ütemtervben tisztázzuk, hogy mely lépések szükségesek alternatív erőforrásokra történő átálláshoz. Vegyük tekintetbe, hogy a kommunikáció bizonyos formái ebben a szituációban nem feltétlenül állnak majd rendelkezésre.

Hivatkozások:

[1]  https://english.ncsc.nl/publications/factsheets/2019/juni/01/technical-measures-for-the-continuity-of-online-services

[2] https://english.ncsc.nl/publications/factsheets/2019/juni/01/factsheet-choosing-a-messaging-app-for-your-organisation