Home office a bezpečná komunikace

V současné době jsme svědky enormního přesunu aktivit do digitálního prostředí. Ve snaze snížit dopady pandemie Covid 19 se řada zaměstnavatelů dohodla se svými zaměstnanci na tom, aby tam, kde to lze, svoji práci vykonávali vzdáleně. Výrazné zvýšení objemu přenesených dat, často prostřednictvím nezabezpečených sítí, je lákadlem pro hackery, kteří se mohou pokusit odposlouchávat tato data v místech, kde se zaměstnanci připojují k síti.

Kyberzločinci využívají paniku k šíření spamových kampaní, škodlivých kódů a krádežím dat. Podobně jako v medicínském prostředí viry i škodlivý software také hledá různé způsoby, jak proniknout do systému oběti.

Přinášíme sérii doporučení, jak postupovat, aby se z trendu vzdálené práce nestala pro vaši společnost nebezpečná past.

Právní aspekty home office

Současná česká právní úprava pojem vzdálené práce ani home office nezná. Specifický režim práce z domova je totiž v současné době upraven pouze v jediném ustanovení, a to v § 317 zákona č. 262/2006 Sb., zákoník práce, v platném znění (dále jen „zákoník práce“).

Domácký zaměstnanec, jak takovému zaměstnanci říká zákoník práce říká, je ve smyslu zákoníku práce zaměstnanec, který nepracuje na pracovišti zaměstnavatele, ale po dohodě s ním pro něj vykonává uloženou práci z domova, či z jakéhokoliv jiného místa, které mu vyhovuje a je zároveň pro výkon sjednané práce vhodné. S ohledem na možná bezpečnostní a jiná rizika, vyplývající ze vzdáleného přístupu např. k citlivým datům se domníváme, že příslušné ustanovení zákoníku práce již není dostatečné a systém vzdálené práce zaměstnanců by měl minimálně zahrnovat další opatření v následujícím rozsahu:

• Práci z domova nelze nařídit, musí na ni existovat dohoda mezi zaměstnancem a zaměstnavatelem;
• Stanovte jasná pravidla a mantinely; to znamená které pracovní pozice mohou home office využívat, jaká bude adresa pro práci z domova a nezapomínejte rovněž na fakt, že i domácí pracoviště má splňovat všechny povinnosti z pohledu bezpečnosti a ochrany zdraví při práci.

Opatření ke snížení kybernetických rizik

Obecná doporučení

• Všechna firemní zařízení, včetně mobilů a notebooků, by měla být chráněna patřičným bezpečnostním software. Na těchto zařízeních by měla být také oddělena osobní a pracovní data, nebo zakázána instalace určitých aplikací;
• Pravidelně aktualizujte operační systém a nainstalované aplikace; 

• Omezte přístupová práva lidí, kteří se připojují do podnikové sítě.

Nastavení routeru

Nezajištěné routery a WiFi sítě výrazně zvyšují riziko narušení bezpečnosti přenášených informací. Často je přístup k internetu v domácích podmínkách organizován potenciálně nebezpečným způsobem. Doporučujeme věnovat pozornost zejména následujícím parametrům:

Přístupové údaje

Ujistěte se, že v administrátorském nastavení routeru nemáte přednastaveny tovární přístupové údaje (SSID a heslo). Pokud ano, SSID (název sítě) změňte na jakýkoli jiný, nezaměnitelný název (pokud se vaše SSID bude shodovat s jiným, budou mít zařízení problém rozpoznat vaši Wi-Fi síť). Heslo změňte dle obecných pravidel pro vytváření bezpečných hesel (minimálně 12, ideálně 15 znaků, kombinace malých, velkých písmen, čísel a speciálních znaků). Vypněte rovněž funkci WPS, pokud ji ještě váš router umožňuje. Jedná se o jednu ze základních bezpečnostních děr továrního nastavení routerů;

Šifrování

Nastavte vhodné šifrování. V současné době by mělo být standardem šifrování WPA2-PSK (Wi-Fi Protected Access II) s AES (Advanced Encryption Standard) šifrováním. Všechny starší způsoby zabezpečení – WPA (Wi-Fi Protected Access) nebo WEP (Wired Equivalent Privacy) – lze paušálně vnímat jako již prolomené a nedoporučuje se užívat;

Aktualizace firmware

Jedná se o často opomíjený, ale zásadní krok z hlediska zabezpečení Wi-Fi sítě. Firmware program zajišťující funkčnost routeru. Pokud se v tomto softwaru nachází chyba (která může být využita útočníky), výrobce ji opraví a vydá tzv. novou verzi firmwaru. Proto pravidelně na stránkách výrobce routeru sledujte, zda pro váš konkrétní typ byla vydána nová verze firmwaru.

Ověřování a filtrování MAC adres

Jako další úroveň zabezpečení routeru doporučujeme omezit přístup k Wi-Fi routeru jenom na zařízení s určitými MAC (Media Access Control) adresami. Je-li tato funkce aktivní, je možné na routeru nastavit seznam MAC adres a omezit tak přístup pouze na povolení zařízení. MAC adresy se ale dají snadno změnit (MAC spoofing), takže je neberte jako spolehlivou ochranu před neoprávněným přístupem k síti.

Virtuální privátní síť (VPN)

Virtuální privátní sítě (VPN) v podstatě zajišťují bezpečný vzdálený přístup jedince do IT systémů firmy a zamezují tak zaměstnancům při výkonu jejich práce úniku dat, protože ta během přenosu prochází šifrovaným komunikačním tunelem.

Poskytněte zaměstnancům VPN síť, díky níž se z domova bezpečně připojí k firemní síti. V žádném případě nelze akceptovat využití jakýchkoli „free“ VPN aplikací.

Režimová opatření

Zaměstnanci by měli disponovat jednotným firemním IT vybavením s jasně určenými pravomocemi a možností dálkové správy/log managementu tak, aby se zabránilo rizikům, vyplývajícím z BYOD (Bring Your Own Device – situace, kdy si každý zaměstnanec nosí své vlastní „chytré“ zařízení do firemního prostředí);

Eliminací BYOD lze minimalizovat dopady zastaralého a nekompatibilního software nebo vystavování firemní sítě hrozbám, které mohou přicházet od různých aplikací, spouštěcích souborů, stahování, nevhodného obsahu, Torrent klientů atp.;

Pokud by došlo k odcizení zařízení, měla by existovat možnost vzdáleného mazání firemních údajů. V situaci, kdy při vzdálené práci budou soubory vždy ukládané pouze na firemním serveru, se bezpečnost firemního know-how významně zvyšuje;

Pokud je z jakéhokoli důvodu nutné pracovat s firemními daty i mimo firemní server a úložiště, zejména v případě citlivých informací, se doporučuje tato data ukládat výhradně na bezpečná vyměnitelná datová média, která disponují funkcí šifrování dat (ideálně s 256bitovým šifrováním standardu AES);

Pamatujte, že nejslabším článkem všech bezpečnostních opatření zůstává lidský faktor. Nespoléhejte proto výhradně na techniku a stanovená opatření, ale zaměstnance neustále proškolujte a sledujte aktuální vývoj v oblasti kyberbezpečnosti a ochrany soukromí.

Galerie

Další články:

• Bezpečnost po koronaviru
• TOP security poskytuje podporu klientům v období koronavirové krize
• ASIS International
• Koronavirus změnil kriminalitu i pohled na bezpečnost v budoucnosti