facebook
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
Partneři webu
Dialog 3000Skylla
IT SYSTEMS 6/2020 , IT Security

Práce z domova vs. bezpečnost firemních dat

Aleš Pikora


PCSEpidemie koronaviru způsobila, že práce z domova se v řadě firem stala z benefitu standardem, často nezbytností a přímo povinností. Předpokládáme, že mnoho firem si tento provoz vyzkoušelo a i nadále tento trend zahrnou do svých standardních benefitů pro své zaměstnance. Plošný homeworking samozřejmě zvýrazňuje otázky zabezpečení – dat, komunikačních kanálů, koncových zařízení uživatelů i vlastních podnikových aplikací a vnitřních systémů.


Raj Samani, chief scientist ve společnosti McAfee, upozorňuje, že v souvislosti s koronavirem se objevily i úplně nové typy útoků. V první řadě to samozřejmě znamená tématický phishing spojený s šířením malwaru, nové podvodné domény či e-shopy. Současně se ale rozšířila i kategorie malwaru určená pro průnik do podnikových sítí přes nedostatečně chráněná koncová zařízení. Mnoho lidí nastoupilo k práci z domova z firemních notebooků spravovaných odděleními IT, jiní ale přímo ze svých soukromých zařízení (Nutno podotknout, že i to už se samozřejmě dělo mnoho let, trend BYOD ale dosud obnášel spíše smartphony.).

Nový malware je mnohdy speciálně navržen k tomu, aby ze slabě chráněných koncových zařízení (metody infekce tedy nemusí být zvlášť sofistikované) pátral po vzdálených připojeních. Správci firemních sítí navíc vzdálený přístup na různých vrstvách (protokolech) ve zmatcích při vypuknutí epidemie mnohdy otevřeli plošně a s vysokými oprávněními, bez dostatečné definice skupin uživatelů a rolí, a především často s nedostatečným ověřováním (např. přístup pouze s heslem, bez vícefaktorové autentizace). Řízení skupin/oprávnění lze přitom pomocí Active Directory provádět efektivně, nicméně konfiguraci je třeba věnovat pozornost.

Přes vzdáleně přistupující zařízení může do podnikové sítě proniknout ransomware se všemi svými ničivými následky, nebo malware pokoušející se krást zákaznická a jiná citlivá data. Obecně všechny takové incidenty znamenají porušení shody, často přinášejí povinnost dalšího vyšetřování a reportingu. Robustní zabezpečení koncového bodu ovšem může být u zařízení ve vlastnictví zaměstnance problém a mnohdy vyžaduje i přímou spolupráci uživatele.

Rizikem je např. situace, že zařízení už bylo malwarem infikováno v okamžiku, kdy se k práci z domova začalo využívat. Součástí zabezpečení libovolného zařízení používaného pro pracovní účely by každopádně měl být i webový filtr chránící před návštěvou podvodných webů šířících malware. Když už dojde k phishingu, je nutné dokázat takový incident rychle detekovat, identifikovat ohrožené zařízení, odříznout mu přístup a zkusit ho vzdáleně vyčistit. Samozřejmostí by měl být vzdálený přístup prostřednictvím sítí VPN, ani ten ale často ve snaze rychle zajistit kontinuitu podnikání není všude pravidlem. Navíc zdaleka ne všechny produkty pro VPN jsou vyhovující, některé mohou bezpečnostní rizika spíše zvyšovat.

Šifrování, Wi-Fi a RDP

Řadu doporučení pro práci z domova uvádí také bezpečnostní společnost Safetica. Firma uvádí, že aktuálně nechává pracovat zaměstnance na svých osobních počítačích až 65 % českých firem. Problémem ale může být nejen samotné zařízení, ale také připojení na domácí Wi-Fi, které lze často relativně snadno kompromitovat. Proto DataGuard zákazníkům doporučuje, aby zařízení, na nichž se pracuje s firemními daty, měla pokud možno šifrované pevné disky, u notebooků oddělit pracovní profily od domácích uživatelů. Speciální ochranu pak vyžaduje protokol RDP.

V souvislosti s tím, jak se práce na dálku stává standardem, je třeba přezkoumat a aktualizovat bezpečnostní politiku jako celek a předat zaměstnancům informace, které v této souvislosti potřebují. Vzdálený přístup k datům (aktivům) firmy se bude týkat stále většího podílu dat. V této souvislosti je nutné provést jejich klasifikaci a určit, kdo je ke své práci opravdu potřebuje. Doprovodným krokem by mělo být nastavování co nejnižších uživatelských oprávnění. Rovněž je třeba rozhodnout, které z oblíbených cloudových služeb budou povoleny, respektive i aktivně nasazovány pro pracovní účely. Firemní zásady ochrany dat (DLP apod. řešení) musí být dodrženy i při využití služeb pro spolupráci, jako je Microsoft Teams nebo WebEx.

Aleš Pikora Aleš Pikora
Autor článku je ředitelem divize DataGuard, PCS, spol. s r.o.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.