Έχοντας πολλά πλεονεκτήματα, η τηλεργασία επεκτείνεται με σταθερούς ρυθμούς στις επιχειρήσεις αλλά και τους Οργανισμούς σε όλον τον κόσμο. Ένα από τα βασικά προβλήματα όμως παραμένει αυτό της ασφάλειας των δεδομένων που διακινούνται.

Η τηλεργασία είναι μια μορφή ευέλικτης εργασίας κατά την οποία ο εργαζόμενος δεν βρίσκεται στις εγκαταστάσεις του εργοδότη, αλλά εργάζεται από κάποιο άλλο απομακρυσμένο σημείο. Στην πιο συνηθισμένη εκδοχή το σημείο αυτό δεν είναι άλλο από την οικία του υπαλλήλου.

Περιλαμβάνοντας όμως και υπαλλήλους (όπως οι πωλητές) που παραδοσιακά βρίσκονται για μεγάλα χρονικά διαστήματα εκτός εταιρείας, τότε τηλεργασία μπορεί να λαμβάνει χώρα από κάποιο ξενοδοχείο ή ακόμα και εν κινήσει, μέσα σε κάποιο μεταφορικό μέσο (π.χ. τρένο). Στο άρθρο αυτό θα ξεκινήσουμε με μια μικρή περιγραφή της τηλεργασίας, θα καταγράψουμε τις απειλές που παρουσιάζονται και θα προτείνουμε λύσεις στα προκύπτοντα ζητήματα ασφάλειας. Εστιάζοντας την προσοχή μας τόσο σε πολιτικές και βέλτιστες πρακτικές όσο και σε τεχνικά μέσα, θα δούμε πώς μπορούμε να εκμεταλλευτούμε στο έπακρο τα οφέλη της τεχνολογίας αυτής, αποφεύγοντας τους όποιους κινδύνους.

Περιγραφή
Η εφαρμογή της τηλεργασίας είναι εφικτή με χρήση τεχνικών μεθόδων και υπηρεσιών που συνδυάζουν τις δυνατότητες της πληροφορικής και των τηλεπικοινωνιακών δικτύων. Από την πλευρά της πληροφορικής έχουμε εργαλεία όπως οι φορητοί υπολογιστές, τα φαξ και τα έξυπνα κινητά. Αντίστοιχα, το τηλεπικοινωνιακό κανάλι μπορεί να είναι μία DSL γραμμή, ένα ασύρματο δίκτυο, το δίκτυο κινητής τηλεφωνίας ή ακόμα και ένας δορυφόρος (VSAT).
Σειρές μελετών αποδεικνύουν ένα πλήθος θετικών στοιχείων από την υλοποίηση της τηλεργασίας. Καταρχήν επιτυγχάνεται μεγαλύτερη επιχειρησιακή συνέχεια, ευελιξία και οικονομία. Οι αργοπορίες παύουν και οι ανάγκες για άδεια γίνονται μικρότερες, ενώ μειωμένες είναι οι απαιτήσεις σε χώρους και εγκαταστάσεις. Οι υπάλληλοι δαπανούν αισθητά λιγότερο χρόνο στις μετακινήσεις και έχουν πιο ελεύθερο ωράριο απολαμβάνοντας περισσότερο χρόνο με την οικογένειά τους. Ειδικά για το περιβάλλον τα οφέλη είναι εξίσου σημαντικά, αφού μειώνεται η κίνηση στους δρόμους και η κατανάλωση ενέργειας και ως εκ τούτου και η ατμοσφαιρική ρύπανση. Με τόσα πλεονεκτήματα η τηλεργασία κερδίζει συνεχώς έδαφος (αν και σε περιόδους οικονομικής κρίσης εκφράζεται η ανησυχία από πολλούς που την εφαρμόζουν, ότι είναι αποκομμένοι από τα κέντρα λήψης των αποφάσεων και την ενημέρωση των κεντρικών και επιθυμούν να επιστρέψουν στο παραδοσιακό γραφείο τους). Υπάρχουν διαφορετικά όρια στο πόσο συχνά θα πρέπει να εργάζεται ο υπάλληλος εκτός εταιρείας για να καταμετρηθεί στο δυναμικό των τηλεργαζόμενων, όμως σε κάθε περίπτωση τα νούμερα παρουσιάζουν συνεχή αύξηση τόσο στην Αμερική όσο και στην Ευρώπη, όπως αναφέρουν ορισμένες από τις πιο πρόσφατες και ενδεικτικές μελέτες που παραθέτουμε.
Για την Αμερική η μελέτη WorldatWork Telework Trendlines 2009 καταμετρώντας υπαλλήλους που εργάζονται έστω και μία ημέρα το μήνα εκτός εταιρείας, αναφέρει αύξηση 39% από το 2006 στο 2008, με σύνολο 17.2 εκατομμύρια άτομα. H Telework Research Network μετράει αύξηση 14.1% από το 2007 στο 2008, καταγράφοντας 2.8 εκατομμύρια υπαλλήλους οι οποίοι εργάζονται πολλαπλές ημέρες την εβδομάδα.
Στην Ευρώπη, η Στατιστική Υπηρεσία της Ολλανδίας (Centraal Bureau voor de Statistiek, CBS) αναφέρει τον Ιανουάριο του 2009 ότι το ποσοστό εταιρειών που προσφέρουν δυνατότητα τηλεργασίας στη χώρα, διπλασιάστηκε μεταξύ 2003 και 2007. Στο Ηνωμένο Βασίλειο το Σεπτέμβριο του 2008, 46% των εταιρειών προσφέρουν τηλεργασία και το 95% των αιτημάτων για αυτήν τη μορφή εργασίας από γονείς γίνονται δεκτές (Telworking and Flexibility, CBI/PERTEMPS).
Πάντα βέβαια υπάρχουν και κάποιοι προβληματισμοί που καθυστερούν την ακόμα ευρύτερη υιοθέτησή της. Ορισμένοι από αυτούς εστιάζονται στις διαχειριστικές δυσκολίες, στη διαταραχή της ροής της εργασίας και στην απώλεια επαφής με τον πελάτη, αλλά και τους συναδέλφους. Ο σημαντικότερος όμως λόγος είναι άλλος και σ’ αυτόν θα επικεντρώσουμε την προσοχή μας στο άρθρο αυτό.
Όντως σε μία από τις μεγαλύτερες έρευνες για το θέμα (2008 CDW-G Telework Report) η ανησυχία ως προς την ασφάλεια των δεδομένων αποτελεί το βασικότερο λόγο που καθυστερεί την εφαρμογή της τηλεργασίας. Η απάντηση αυτή ξεπερνά το 40% στο Δημόσιο τομέα και το 27% στον ιδιωτικό τομέα, κατέχοντας την πρώτη θέση και στους δύο.

Απειλές και Κίνδυνοι από την Τηλεργασία
Οι ανησυχίες των στελεχών είναι εκ πρώτης όψεως δικαιολογημένες, αφού υπάρχει ένα πλήθος απειλών που επηρεάζουν τόσο τη Διαθεσιμότητα όσο και την Εμπιστευτικότητα και την Ακεραιότητα των δεδομένων. Ο συνδυασμός τοποθεσιών, διαφορετικών καναλιών επικοινωνίας και πλήθους εργαλείων, παρουσιάζει προκλήσεις ασφάλειας οι οποίες είναι αναγκαίο να αντιμετωπιστούν τόσο μεμονωμένα όσο και στο συνολικό πλαίσιο της τηλεργασίας. Ανάμεσα σε αυτές δεσπόζει η φυσική κλοπή (ή απώλεια) φορητών συσκευών. Υπολογιστές, κινητά τηλέφωνα, εξωτερικοί σκληροί δίσκοι και USB μνήμες, λόγω του μικρού μεγέθους τους αποτελούν εύκολο στόχο. Εξάλλου διάφορες διατάξεις υποκλοπής δεδομένων ή κακόβουλο λογισμικό μπορεί να έχουν δυσάρεστες συνέπειες καθώς επίσης και η απλή λαθρανάγνωση σε ένα δημόσιο χώρο. Ας μην ξεχνάμε επίσης ότι στο σπίτι τον υπολογιστή μπορεί να χρησιμοποιούν και άλλα μέλη της οικογένειας, οπότε το πρόβλημα γίνεται εντονότερο αφού ο εργοδότης έχει λιγότερο έλεγχο.
Εκτός από κακόβουλες ενέργειες, μια απλή αστοχία υλικού μπορεί να αποκόψει το χρήστη από την εταιρεία του, χωρίς να υπάρχει η δυνατότητα άμεσης άρσης της βλάβης που ενδεχομένως θα μπορούσε να εξασφαλιστεί στο χώρο του γραφείου από το τμήμα πληροφορικής. Στο θέμα αυτό η πρακτική της ανάθεσης μέσω υπεργολαβίας της αρωγής των χρηστών και της συντήρησης απομακρυσμένου εξοπλισμού ανοίγει δρόμο για περαιτέρω κινδύνους.
Τι μπορεί λοιπόν να πάει στραβά; Από τα δεκάδες περιστατικά τα οποία έχουν καταγραφεί τα τελευταία χρόνια, παραθέτουμε κάποια από τα μεγαλύτερης έκτασης:

  • Το Μάιο του 2006 κλάπηκε ένας φορητός υπολογιστής που περιείχε προσωπικά δεδομένα 26.5 εκατομμυρίων βετεράνων του Αμερικανικού Στρατού. Όπως αποδείχθηκε, ο υπάλληλος μετέφερε το φορητό υπολογιστή στο σπίτι του, χωρίς εξουσιοδότηση και χωρίς τα απαραίτητα μέτρα προστασίας.
  • Αντίστοιχα, το Νοέμβριο του 2007 σημειώθηκε απώλεια 2 CD με προσωπικά δεδομένα 25 εκατομμυρίων πολιτών, τα οποία απεστάλησαν με απλό ταχυδρομείο (και χωρίς κρυπτογράφηση) από την υπηρεσία Φορολογίας και Τελωνείων του Ηνωμένου Βασιλείου (Her Majesty’s Revenue and Customs – UK).
  • Και πάλι στην Ευρώπη, στη Γερμανία αυτή τη φορά, τον Οκτώβριο του 2008 η T-Mobile δήλωσε την απώλεια δίσκου που περιείχε προσωπικά δεδομένα 17 εκατομμυρίων πελατών της

Η «οπτιμιστική» πλευρά είναι ότι κατά την κλοπή ενός φορητού υπολογιστή οι κλέφτες συνήθως δεν αντιλαμβάνονται την αξία των δεδομένων. Ενδιαφέρονται μόνο για την άμεση μεταπώληση του υπολογιστή. Προφανώς κάτι τέτοιο δεν ισχύει σε μια στοχευόμενη κλοπή, σε περιπτώσεις βιομηχανικής κατασκοπίας.

Εκπαίδευση και Πολιτικές Ασφάλειας
Τι μπορούμε να κάνουμε προκειμένου να εκμεταλλευτούμε την τηλεργασία με όσο το δυνατό λιγότερες έγνοιες; Ξεκινάμε από την εκπαίδευση, που οφείλει να είναι πάντα ένα από τα πρώτα βήματα κάθε δραστηριότητας ασφάλειας και όχι μόνο. Οι χρήστες επιβάλλεται να γνωρίζουν τις αρχές ασφάλειας δεδομένων και τις βέλτιστες πρακτικές. Ειδικότερα όσοι διαχειρίζονται ευαίσθητα δεδομένα καθώς και όσοι μεταφέρουν τέτοιες πληροφορίες εκτός της εταιρείας/ Οργανισμού οφείλουν να κατανοούν πλήρως την αξία και την ευαισθησία των πληροφοριών αυτών. Φυσικά, οι επαρκείς πόροι είναι εκ των «ουκ άνευ» για το τμήμα πληροφορικής, ώστε να μπορεί να υποστηρίξει τους χρήστες με το έμπειρο και μονίμως εκπαιδευμένο τεχνικό προσωπικό του. Πριν φτάσουμε στα τεχνικά μέσα, καταρτίζουμε το κατάλληλο πλαίσιο πολιτικών. Θα διαθέσει η εταιρεία φορητούς υπολογιστές και έξυπνα κινητά στους χρήστες ή όχι; Σε ποιους χώρους θα επιτρέπεται η τηλεργασία; Ποια δεδομένα μπορούν να αποθηκευτούν στον υπολογιστή και ποια όχι;
Ακολουθούν αποφάσεις για μια σειρά θεμάτων σχετικά με τις πολιτικές και τις διαδικασίες χειρισμού κάθε ηλεκτρονικού μέσου που αποθηκεύει, επεξεργάζεται ή διακινεί δεδομένα. Οι πολιτικές αυτές θα προδιαγράφουν εκτός των άλλων ποιο λογισμικό είναι απαραίτητο και εγκεκριμένο για τους σκοπούς της τηλεργασίας. Κάθε άλλο λογισμικό το οποίο επιτρέπεται να εγκατασταθεί στον υπολογιστή προσδιορίζεται εκ των προτέρων, προκειμένου να εξασφαλίζεται η ασφαλής λειτουργία και αλληλεπίδραση με το υπόλοιπο σύστημα.
Σε περίπτωση όπου ο εργαζόμενος χρησιμοποιεί δικό του υπολογιστή, τότε δεν είναι πάντα εφικτή η απαγόρευση χρήσης μη εγκεκριμένου λογισμικού, άρα καταφεύγουμε σε τεχνικά μέσα που θα δούμε παρακάτω. Στο σημείο αυτό να αναφέρουμε ότι παρά τις απαγορεύσεις αρκετοί χρήστες θα θελήσουν να εγκαταστήσουν εφαρμογές άμεσων μηνυμάτων (ΙΜ) και δικτύων ομότιμων κόμβων (P2P). Η εφαρμογή και τήρηση διοικητικών και τεχνικών μηχανισμών είναι επιβεβλημένη για να διασφαλίσουν τη συμμόρφωση, καθώς ηθελημένα είτε αθέλητα πάντα θα υπάρχουν χρήστες που αγνοούν τις οδηγίες.
Αντίστοιχα, σαφείς διαδικασίες για την αναφορά προβλημάτων και περιστατικών ασφάλειας επιτρέπουν στον εργαζόμενο να μπορεί άμεσα να δράσει, περιορίζοντας την έκταση ενός συμβάντος. Συνολικά ένα σύστημα διαχείρισης ασφάλειας πληροφοριών (ISMS) όπως το ISO 27001:2005 αποτελεί ένα καλό βήμα τόσο για την ανάδειξη των επικινδυνοτήτων όσο και για την κατάρτιση των πολιτικών τηλεργασίας και των αναγκών εκπαίδευσης για την αντιμετώπισή τους.

Διαχείριση και Διακίνηση Δεδομένων
Βασική αρχή είναι ο περιορισμός της διακίνησης δεδομένων. Τα δεδομένα είναι προτιμότερο να βρίσκονται προστατευμένα στον εξυπηρετητή και όχι διάσπαρτα σε φορητούς υπολογιστές. Η πρόσβαση σε αυτά θα γίνεται μόνο από εξουσιοδοτημένους χρήστες και η μεταφόρτωση, η αποθήκευση αλλά και η αποστολή τους μέσω email ή άλλου τρόπου, θα απαγορεύεται. Υπ’ αυτή την έννοια οι υπηρεσίες Cloud Computing φαίνεται να βαδίζουν στο σωστό δρόμο, αρκεί ο πάροχος να μπορεί έμπρακτα να κερδίσει την εμπιστοσύνη μας.
Φυσικά υπάρχουν περιπτώσεις που είναι αναγκαία η μετακίνηση δεδομένων (π.χ. κατά τη μεταφορά των αντιγράφων ασφάλειας). Γνωρίζουμε ότι τα τελευταία απαγορεύεται να βρίσκονται στον ίδιο χώρο με τους υπολογιστές που προστατεύουν, άρα με δεδομένη τη μετακίνησή τους η κρυπτογράφηση είναι υποχρεωτική. Η απομάκρυνση πληροφοριών στην περίπτωση αυτή θα γίνεται αυστηρώς ελεγχόμενα. Προφανώς δεν αμελούμε τα φορητά μέσα αποθήκευσης, όπως εξωτερικούς δίσκους ή μνήμες USB και τα ίδια τα αντίγραφα ασφάλειας.
Τα δεδομένα θα πρέπει να είναι κατατετμημένα σε κομμάτια τα οποία χρειάζεται ο υπάλληλος για τη συγκεκριμένη εργασία που επιτελεί στα πλαίσια του έργου που έχει αναλάβει. Θα είναι διαθέσιμα μόνο για συγκεκριμένο χρόνο και καλό είναι να αποθηκεύονται σε προσωρινούς – ενδιάμεσους- εξυπηρετητές. Με τον τρόπο αυτό, ακόμα και μια επιτυχημένη επίθεση ή υποκλοπή δεδομένων θα περιορίσει τη ζημιά σε υποσύνολο των δεδομένων. Εξίσου προσωρινή θα είναι και η δυνατότητα πρόσβασης και το δικαίωμα χρήσης θα αφαιρείται άμεσα με την ολοκλήρωση της συγκεκριμένης εργασίας. Απαραίτητη είναι και η αναλυτική καταγραφή για κάθε πρόσβαση στα δεδομένα από οποιονδήποτε. Περιλαμβάνει εκτός των άλλων, ώρα, ημερομηνία, χρήστη, σταθμό εργασίας, αρχεία, εγγραφές κ.λπ. και αποτελεί σημαντικό στοιχείο σε κάθε έρευνα περιστατικών. Τεχνολογίες Data Loss Prevention (DLP) όπως είδαμε και σε προηγούμενα άρθρα στο περιοδικό και σήμανσης δεδομένων (για τον εντοπισμό διαρροών) αποτελούν ιδιαίτερα ισχυρά εργαλεία, που μπορεί να χρησιμοποιήσει ο διαχειριστής.
Η επικοινωνία θα λαμβάνει χώρα μέσω κρυπτογραφημένων και μόνο καναλιών. Τα ιδεατά ιδιωτικά δίκτυα (VPN) αποτελούν την πλέον διαδεδομένη λύση. Αυτά δρομολογούν την κίνηση μέσω κρυπτογραφημένων σηράγγων μέσα στο ευρύτερο δίκτυο του παρόχου, προσφέροντας ασφάλεια χωρίς να είναι απαραίτητη η επένδυση σε αφοσιωμένο δίκτυο και ακριβές μισθωμένες γραμμές. Τέλος, η πιστοποίηση του χρήστη δεν θα πρέπει να γίνεται με ένα μόνο συνθηματικό. Μέθοδοι πιστοποίησης πολλαπλών επιπέδων περιλαμβάνουν έξυπνες κάρτες και μονάδες παραγωγής μοναδικών συνθηματικών (one time password – OTP).
Στη συνέχεια του άρθρου θα εξετάσουμε από τεχνικής πλευράς την ασφάλεια υπολογιστών, τη χρήση κατάλληλου λογισμικού και υλισμικού, την ασφάλεια των φορητών συσκευών (αλήθεια, πόσοι έχουν λογισμικό προστασίας στο κινητό τους;) την ασφάλεια φωνητικής επικοινωνίας και την ασφάλεια ασύρματων δικτύων.

Ασφάλεια Υπολογιστών
Ο υπολογιστής αποτελεί προφανώς το βασικότερο “εργαλείο” τηλεργασίας. Οι οικιακοί υπολογιστές όμως, συνήθως είναι λιγότερο προστατευμένοι από αυτούς στο γραφείο και γενικά ασκείται λιγότερος έλεγχος. Το λογισμικό ενδεχομένως να μην είναι ορθώς παραμετροποιημένο ή να έχει πάψει να είναι επίκαιρο. Ιδιαίτερα πιθανή είναι και η χρήση ενός ανασφαλούς ασύρματου δικτύου, αλλά και η μόλυνση με ιούς από άλλους υπολογιστές στο οικιακό δίκτυο. Εξάλλου, πρόσβαση στον υπολογιστή μπορεί να έχουν και άλλα μέλη της οικογένειας (ακόμα και παιδιά) και αυτό περιπλέκει το πρόβλημα.
Επιβάλλεται επομένως η χρήση υπολογιστή αφοσιωμένου αποκλειστικά στην εργασία με την κατάλληλη γραπτή πολιτική και τεκμηριωμένες διαδικασίες. Κάθε άλλη προσωπική χρήση του υπολογιστή αποκλείεται. Ισχυρά συνθηματικά και λογισμικό προστασίας πλαισιώνονται από τακτικές αναβαθμίσεις και επικαιροποιήσεις. Τα δύο τελευταία μάλιστα, είναι δυνατό να αυτοματοποιηθούν με ένα σύστημα διαχείρισης αναβαθμίσεων – patch management system.
Οι διαχειριστές είναι σε θέση να εκτελούν απομακρυσμένους ελέγχους στους υπολογιστές. Σε περίπτωση όπου αυτό δεν είναι εφικτό είτε για λόγους πολιτικής είτε λόγω έλλειψης πόρων, οι χρήστες μπορούν να αναλάβουν τον έλεγχο αυτό. Και πάλι η σωστή εκπαίδευση διαδραματίζει πρωταρχικό ρόλο. Άλλα εργαλεία μπορούν να παρακολουθούν την κίνηση και τη συμπεριφορά του δικτύου. Ιδιαίτερα χρήσιμο αποδεικνύεται και το λογισμικό ελέγχου πρόσβασης – network access control. Αυτό ελέγχει κατά πόσο είναι επικαιροποιημένο το λειτουργικό και το λογισμικό στον υπολογιστή του χρήστη και αποφασίζει εάν θα επιτρέψει τη σύνδεση στον εξυπηρετητή της εταιρείας ή όχι. Τέλος, λογισμικό απενεργοποίησης των θυρών USB περιορίζει δραματικά την ευκολία με την οποία η πληροφορία και τα εμπορικά μυστικά ταξιδεύουν εκτός εταιρείας.
Ειδικά για τους φορητούς υπολογιστές, καλό θα ήταν να μην έχουν χαρακτηριστικά που μαρτυρούν ότι πρόκειται για εταιρικούς υπολογιστές, όπως λογότυπα και αυτοκόλλητα, γιατί αμέσως γίνονται στόχος. Ούτως η άλλως φιγουράρουν στα περιστατικά απώλειας δεδομένων, οπότε είναι θεμιτή κάθε προσπάθεια κάλυψής τους και παρουσίασής τους ως υπολογιστών οικιακής χρήσης.
Εάν θα έπρεπε κάποιος να επιλέξει το μοναδικό μέτρο προστασίας, τότε αυτό δεν θα ήταν άλλο από την κρυπτογραφία. Με το κατάλληλο κρυπτογραφικό πλαίσιο, ακόμα και ελλείψει άλλων μέτρων η πληροφορία προστατεύεται επαρκώς (το ερώτημα πάντα σε αυτήν την περίπτωση είναι για πόσον καιρό, καθώς οι εξελίξεις στην κρυπτανάλυση όπως έχουμε δει, επιφυλάσσουν δυσάρεστες εκπλήξεις). Εκτός από την κρυπτογράφηση της επικοινωνίας θα πρέπει να κρυπτογραφούνται και τα αποθηκευμένα δεδομένα, χωρίς να ξεχνάμε όπως αναφέραμε και την κρυπτογράφηση στα αντίγραφα ασφάλειας. Έτσι, ακόμα και σε περίπτωση παραβίασης της ασφάλειας του υπολογιστή ή και φυσικής κλοπής του, θα είναι δύσκολη έως αδύνατη η εξαγωγή των στοιχείων.

Ασύρματα Δίκτυα
Τα ασύρματα δίκτυα γνωρίζουν ευρεία εφαρμογή στο περιβάλλον της τηλεργασίας. Δυστυχώς όμως κληρονομούν πολλές από τις ελλείψεις των παραδοσιακών ενσύρματων δικτύων και επιπλέον είναι ευάλωτα σε νέες απειλές. Τα ραδιοκύματα ταξιδεύουν ελεύθερα χωρίς να μπορούν εύκολα να περιορισθούν και συνεπώς ο εισβολέας μπορεί να υποκλέψει δεδομένα χωρίς καν να πλησιάσει το χώρο μας. Χρησιμοποιώντας κατευθυντικές κεραίες και κατάλληλο εξοπλισμό είναι δυνατή η υποκλοπή από ιδιαίτερα μεγάλες αποστάσεις.
Παράλληλα, την επικοινωνία μπορούν να δυσκολέψουν ή ακόμα και να διακόψουν επιθέσεις άρνησης εξυπηρέτησης με παρεμβολές. Σε επίπεδο προσωπικών δεδομένων είναι δυνατή και η καταγραφή των κινήσεων του χρήστη (κυρίως στην περίπτωση των κινητών τηλεφώνων). Ιδιαίτερα επικίνδυνη είναι και η διασύνδεση σε μη πιστοποιημένα ασύρματα σημεία πρόσβασης, τα οποία μπορεί να βρίσκονται υπό τον έλεγχο κάποιου υποκλοπέα.
Για την ασφαλέστερη χρήση τους, είναι επιτακτική η ενεργοποίηση της κρυπτογράφησης και μάλιστα με τον αλγόριθμο WPA2 και όχι τον ασθενή WEP. Εκτός της κρυπτογράφησης της ασύρματης ζεύξης, σε υψηλότερο επίπεδο τα κρυπτογραφημένα πρωτόκολλα επικοινωνίας όπως είδαμε και νωρίτερα, ενισχύουν περαιτέρω την εμπιστευτικότητα. Η αλλαγή του προσδιοριστικού SSID και όλων των συνθηματικών, καθώς επίσης και η απενεργοποίηση της ασύρματης διαχείρισης προσθέτουν άλλο ένα στάδιο ασφάλειας.
Η επικαιροποίηση οδηγών και λογισμικού συσκευής (firmware) επιβάλλεται και πάλι, ενώ πιο προχωρημένες μέθοδοι περιλαμβάνουν τον έλεγχο διευθύνσεων MAC και τη χρήση στατικών IP αντί δυναμικών-DHCP. Εκτός από τη μείωση της ισχύος εκπομπής, από πλευράς χωροταξίας η τοποθέτηση στο κέντρο του σπιτιού και όχι κοντά σε παράθυρα περιορίζει τη διάδοση των ραδιοκυμάτων.

Τηλεφωνία, σταθερή, κινητή και έξυπνη
Ολοένα και συχνότερη γίνεται και η χρήση έξυπνων κινητών που αντικατέστησαν την προηγούμενη γενιά των PDAs (personal digital assistant). Εκτός από το απαράμιλλο στυλ τους, τα ιδιαίτερα λειτουργικά για λόγους τηλεργασίας gadgets εισάγουν νέους κινδύνους. Περιέχουν μεγάλο όγκο δεδομένων (συχνά προσωπικών) αλλά μπορούν (πολύ) εύκολα να κλαπούν ή απλώς να χαθούν λόγω ακριβώς του μικρού τους μεγέθους.
Ακόμα και χωρίς φυσική πρόσβαση η πληθώρα διεπαφών διασύνδεσης που διαθέτουν (Bluetooth, Υπέρυθρες, Wi-Fi, GPRS, HSDPA κ.λπ.) προσφέρει στο επικίνδυνο και κακόβουλο λογισμικό περισσότερες δυνατότητες εισόδου τόσο στο κινητό όσο και στο δίκτυο της εταιρείας. Πράγματι, εάν το κινητό συνδεθεί με τον υπολογιστή στα πλαίσια εργασιών συγχρονισμού επαφών π.χ., τότε υπάρχει αμφίδρομη δυνατότητα διάδοσης.
Βασικές πράξεις εξασφάλισης αποτελούν ο περιορισμός της πρόσβασης στη συσκευή με χρήση τόσο του PIN όσο και συνθηματικών screen saver αλλά και η κρυπτογράφηση των δεδομένων. Οι δυνατότητες δικτύωσης πρέπει να περιορίζονται στις απολύτως απαραίτητες, απενεργοποιώντας τις υπόλοιπες. Για το εγκατεστημένο λογισμικό ισχύει ό,τι ισχύει και για τους υπολογιστές. Χρειάζεται λογισμικό προστασίας και παράλληλα επικαιροποίηση τόσο αυτού όσο και των υπόλοιπων εφαρμογών. Ειδικά για την κεντρική διαχείριση υπάρχουν δυνατότητες απομακρυσμένης πρόσβασης και ακόμα και διαγραφής των δεδομένων. Έτσι, σε περίπτωση όπου το κινητό πέσει σε “λάθος χέρια” τα δεδομένα που περιέχει μπορούν άμεσα να διαγραφούν, απαλύνοντας τις συνέπειες της απώλειας.
Φυσικά, εκτός από τη λειτουργία τους ως μικροί υπολογιστές, τα κινητά συνεχίζουν να υπηρετούν και τη βασική υπηρεσία της τηλεφωνίας. Είναι γεγονός ότι η φωνητική επικοινωνία αποτελεί τον αμεσότερο ίσως τρόπο επικοινωνίας. Στο πλαίσιο της τηλεργασίας η φωνητική επικοινωνία εκτός από το κινητό επιτυγχάνεται και με την παραδοσιακή τηλεφωνία ή μέσω εφαρμογών και τεχνολογιών τύπου Voice over IP.
Όπως έχουμε δει σε προηγούμενα άρθρα, οι υποκλοπές είναι συνηθισμένο φαινόμενο. Τόσο τα σταθερά όσο και τα ασύρματα και τα κινητά τηλέφωνα δεν μπορούν να εγγυηθούν ασφαλή συνομιλία. Οι διατάξεις υποκλοπής μπορεί να βρίσκονται στις συσκευές που χρησιμοποιούμε ή και στο δίκτυο και τον εξοπλισμό του παρόχου, τόσο σε μορφή υλικού όσο και λογισμικού. Αντίστοιχα η χρήση VoIP κληρονομεί τα προβλήματα ασφάλειας του Διαδικτύου και η εφαρμογή της απαιτεί τη δέουσα προσοχή.
Η κρυπτογράφηση και πάλι αποτελεί τη λύση. Στην περίπτωση του VoIP είναι σχετικά εύκολη υπόθεση. Για την κινητή και σταθερή τηλεφωνία όμως, προϋποθέτει τη χρήση συμβατού εξοπλισμού εκατέρωθεν. Προσθέτοντας μια κινηματογραφική διάσταση με κινηματογραφικές ιστορίες βιομηχανικής κατασκοπίας (όπως θα δούμε σε επόμενο άρθρο, κάθε άλλο παρά φανταστικές είναι τέτοιες ιστορίες) τονίζουμε ότι οι πραγματικά απόρρητες συνομιλίες και διαπραγματεύσεις καλό είναι να γίνονται δια ζώσης.

Συμπεράσματα
Η τηλεργασία ως σύγχρονη τεχνολογική δυνατότητα παρέχει πολλαπλά οφέλη τόσο για τους εργαζόμενους και τους εργοδότες όσο και για το περιβάλλον. Δυστυχώς, όπως όλοι γνωρίζουν οι επιθέσεις και οι προσπάθειες πρόσβασης στα εταιρικά δεδομένα (αλλά και στα προσωπικά) γίνονται ολοένα και συχνότερες. Η υιοθέτηση λοιπόν τηλεργασίας χωρίς την εξαρχής λήψη των κατάλληλων μέσων εξασφάλισης της ακεραιότητας, εμπιστευτικότητας και διαθεσιμότητας των πληροφοριών αποτελεί εγγύηση για καταστροφική αποτυχία.
Όπως αναδείξαμε στο σημερινό άρθρο, υπάρχει ευτυχώς πληθώρα από τεχνικά μέσα και κατάλληλες μεθόδους που μπορούν να εγγυηθούν την ασφάλεια των δεδομένων στα συστήματα τηλεργασίας. Η επιχείρηση οφείλει να αξιολογήσει, να επιλέξει και να υλοποιήσει μέτρα ασφάλειας, τόσο σε τεχνικό όσο και σε επίπεδο πολιτικών και πρακτικών. Η συνεχής εκπαίδευση των χρηστών αλλά και των διαχειριστών θα πρέπει να αποτελεί βασικό στοιχείο της δράσης. Παράλληλα, η υλοποίηση κατάλληλων μηχανισμών ελέγχου και επιτήρησης εγγυάται τη συμμόρφωση με τις απαιτήσεις ασφάλειας.
Κλείνοντας, το τμήμα πληροφορικής με τους κατάλληλους πόρους σε προσωπικό και υλικό για την κάλυψη των αυξημένων αναγκών υποστήριξης των τηλεργαζόμενων, μπορεί να συνδυάσει όλες τις παραπάνω λύσεις ώστε να προστατεύσει επαρκώς τα συστήματα τηλεργασίας. Έτσι, αυτά θα αντεπεξέλθουν στις σύγχρονες απαιτητικές επιχειρησιακές συνθήκες, προσφέροντας τα οφέλη τους. Οφέλη, τα οποία δεδομένης και της οικονομικής κρίσης είναι ιδιαίτερα αναγκαία στην εποχή μας. Αρκεί μόνο να προσέξουμε να μην το παρακάνουμε με την τηλεργασία, γιατί υπάρχει ο κίνδυνος να καταντήσουμε να προσπαθούμε να στείλουμε φαξ χρησιμοποιώντας τη .φρυγανιέρα.

Δρ. Ιωσήφ Ι. Ανδρουλιδάκης
Σύμβουλος Ασφάλειας Τηλεπικοινωνιακών Συστημάτων