Τους τελευταίους μήνες, λόγω της παγκόσμιας πανδημίας, η συντριπτική πλειονότητα των Οργανισμών αναγκάστηκε να υιοθετήσει τη λύση της τηλε-εργασίας, επεκτείνοντας την απομακρυσμένη πρόσβαση σε υπαλλήλους, στελέχη, πελάτες και συνεργάτες.

Δρ. Δημήτριος Πατσός,

CISSP, CISM, CCSK, SCCISP, ISO27005 RM

Chief Technology Officer, ADACOM S.A.

Οι απομακρυσμένοι χρήστες χρησιμοποιούν πολλές και διαφορετικές συσκευές (desktops, laptops, τηλέφωνα, tablets, κτλ.) για να αποκτήσουν πρόσβαση στο email τους, να επεξεργαστούν αρχεία και δεδομένα, να παραμετροποιήσουν συστήματα και εφαρμογές, κτλ. Οι συσκευές αυτές ενδέχεται, ανάλογα με την πολιτική του Οργανισμού, να είναι προσωπικές ή να ανήκουν (άρα και να διαχειρίζονται) από τον Οργανισμό. Επίσης, οι χρήστες χρησιμοποιούν διαφορετικά δίκτυα (οικιακές συνδέσεις broadband, δίκτυα 4G, κτλ.)  και μεθόδους πρόσβασης (VPN, direct access, portal, ακόμα και remote access ώστε να αποκτήσουν πρόσβαση στις εφαρμογές (web, cloud, ή ακόμα και client-server) του Οργανισμού.

Οι συνδυασμοί -όπως μπορεί εύκολα να παρατηρήσει κάποιος- είναι πολλοί και αυξάνουν την πολυπλοκότητα, με αποτέλεσμα να απαιτείται επαναξιολόγηση του ρίσκου που η τηλε-εργασία και η απομακρυσμένη πρόσβαση εισάγουν στον Οργανισμό.

Ο NIST, στο SP800-46 R.2, παρέχει μια εκτεταμένη ανάλυση των βασικών αρχών ασφάλειας για την απομακρυσμένη πρόσβαση, που συνοψίζεται στις παρακάτω αρχές:

  • Ανάπτυξη και εφαρμογή κατάλληλης πολιτικής ασφάλειας για τηλε-εργασία, με επίπεδα απομακρυσμένης πρόσβασης,
  • Υποχρεωτική χρήση μηχανισμών ισχυρής πιστοποίησης ταυτότητας για την πρόσβαση
  • Χρήση μηχανισμών κρυπτογράφησης για την προστασία της επικοινωνίας και των δεδομένων που αποθηκεύονται στις τερματικές συσκευές,
  • Έλεγχος ασφάλειας των remote access servers, παραμετροποίηση και αναβάθμιση (όπου απαιτείται),
  • Ασφάλεια όλων των τερματικών συσκευών για κοινές και προηγμένες επιθέσεις.

 οι πλατφόρμες διαμοιρασμού αρχείου και τηλεδιασκέψεων, είναι πιθανό να μην έχουν ελεγχθεί διεξοδικά για ζητήματα ασφάλειας

Βασικά Ζητήματα Ασφάλειας στην Τηλε-εργασία

Η τηλε-εργασία έχει αρκετές και ιδιαίτερες απαιτήσεις ασφάλειας, μιας και εκ-φύσεως παρέχει τη δυνατότητα απομακρυσμένης πρόσβασης σε συστήματα και εφαρμογές που έχουν σχεδιαστεί για να είναι προσβάσιμα εντός της εταιρικής περιμέτρου.
Ενδεικτικά, στην τηλε-εργασία δεν μπορούν να εφαρμοστούν οι μηχανισμοί φυσικής προστασίας του Οργανισμού, μιας και οι συσκευές πρόσβασης βρίσκονται εκτός των ορίων του. Το γεγονός αυτό κάνει τις συσκευές περισσότερο ευάλωτες, αυξάνοντας την πιθανότητα διαρροής δεδομένων, ή χρήση από μη εξουσιοδοτημένα πρόσωπα (π.χ. μέλη οικογένειας).
Επίσης, τα δίκτυα τα οποία οι χρήστες χρησιμοποιούν βασίζονται σχεδόν κατ’αποκλειστικότητα σε broadband συνδέσεις (όπως και συνδέσεις 4G) οι οποίες έχουν εγγενή ρίσκο (π.χ. man-in-the-middle). Ωστόσο, στα οικιακά δίκτυα βρίσκονται -συνήθως- και άλλες συνδεδεμένες συσκευές (και πιθανότατα και “smart devices”) που πιθανό να εκθέτουν σε κίνδυνο τη συσκευή του χρήστη, ενώ ο Οργανισμός δεν μπορεί να γνωρίζει την ασφαλή παραμετροποίηση του router του κάθε χρήστη (π.χ. default passwords, guest access, κτλ).
Τέλος, η χρήση cloud υπηρεσιών για συνεργασία μεταξύ των εργαζομένων (ή/και των συνεργατών), όπως οι πλατφόρμες διαμοιρασμού αρχείου και τηλεδιασκέψεων, είναι πιθανό να μην έχουν ελεγχθεί διεξοδικά για ζητήματα ασφάλειας, αλλά η χρήση τους να επιτρέπεται de-facto ώστε να μη διαταραχθεί η επιχειρησιακή λειτουργία και η παραγωγικότητα.
Τα παραπάνω είναι μερικά -και μόνο- χαρακτηριστικά παραδείγματα που οφείλει να συμπεριλάβει ο Οργανισμός στη διαδικασία αξιολόγησης ρίσκου της τηλε-εργασίας.

Η εμπλοκή και η συμβολή των χρηστών είναι, ίσως, ο πιο καθοριστικός παράγοντας επιτυχίας σε ένα πρόγραμμα ασφαλούς τηλε-εργασίας

Δημοφιλή μέτρα προστασίας

Αν και οι ανάγκες κάθε Οργανισμού είναι διαφορετικές, η αξιολόγηση ρίσκου και οι αντίστοιχες πολιτικές και διαδικασίες ασφάλειας βασίζονται στην υπόθεση ότι το εξωτερικό περιβάλλον δεν πρέπει να θεωρείται ασφαλές. Με βάση αυτό το δεδομένο, προτείνονται (από πολλά διεθνή πρότυπα ασφάλειας και συστάσεις Διεθνών Κέντρων και αρχών) τουλάχιστον τα παρακάτω:

  • Πολιτικές και διαδικασίες για ασφαλή απομακρυσμένη πρόσβαση: ώστε να παρέχονται σαφείς κατευθύνσεις και οδηγίες στο προσωπικό του Οργανισμού για την αποδεκτή χρήση καθόλη την περίοδο της τηλε-εργασίας, καθώς και των εργαλείων που παρέχει ο Οργανισμός.
  • Χρήση ισχυρής κρυπτογράφησης στην επικοινωνία: ώστε να διασφαλίζεται η σύνδεση της τερματικής συσκευής με τα συστήματα του Οργανισμού (π.χ. IPSEC VPN, SSL VPN, SDP/Zero Trust, κτλ.),
  • Χρήση μηχανισμών ισχυρής πιστοποίησης ταυτότητας πολλαπλών παραγόντων (two factor authentication): ώστε να διασφαλίζεται η αυθεντικοποίηση του χρήστη τόσο σε επίπεδο σύνδεσης όσο και σε επίπεδο πρόσβασης,
  • Εγκατάσταση λογισμικού διαχείρισης τερματικών συσκευών: προκειμένου να ενημερώνεται το ευρετήριο των συσκευών (inventory), καθώς και να μπορούν να πραγματοποιούνται ενημερώσεις ασφάλειας στο λειτουργικό σύστημα αλλά και τις εφαρμογές,
  • Εγκατάσταση εξειδικευμένου λογισμικού ανίχνευσης και αντιμετώπισης προηγμένων επιθέσεων: ώστε να προστατεύεται η τερματική συσκευή από νέου τύπου επιθέσεων αλλά και από lateral movement στο οικιακό δίκτυο, ενώ παράλληλα να ενημερώνεται άμεσα ο Οργανισμός σε περίπτωση περιστατικού ασφάλειας
  • Χρήση εγκεκριμένων εργαλείων για τηλεσυνδιασκέψεις, ανταλλαγή αρχείων και συνεργασία με τρίτα μέρη: ώστε να ελαχιστοποιείται η περίπτωση διαρροής δεδομένων ή η παραβίαση της ιδιωτικότητας των χρηστών (π.χ. καταγραφή ενός virtual meeting χωρίς την ενημέρωση του χρήστη).
  • Κοινοποίηση διαδικασίας αναφοράς συμβάντων ασφάλειας και στοιχείων επικοινωνίας: προκειμένου να ελαχιστοποιείται ο χρόνος αντίδρασης ενός Oργανισμού και να επισπεύδονται οι απαραίτητες ενέργειες αντιμετώπισής του.

Διαρκής Ενημέρωση των Χρηστών

Η διαρκής ενημέρωση του προσωπικού για τα ζητήματα ασφάλειας που σχετίζονται με την τηλε-εργασία έχει ξεχωριστή σημασία, μιας και παρατηρείται ραγδαία αύξηση επιθέσεων την τελευταία περίοδο, ιδιαίτερα στοχευμένων phishing emails. Η εμπλοκή και η συμβολή των χρηστών είναι, ίσως, ο πιο καθοριστικός παράγοντας επιτυχίας σε ένα πρόγραμμα ασφαλούς τηλε-εργασίας, μιας και όλα πλέον ξεκινούν και καταλήγουν σε…αυτούς.