Techne sp. o.o.
Konteksty

Bezpieczeństwo na kwarantannie

Dawno, dawno temu - a może jeszcze w początku 2020 roku

"Przed wielu laty żył cesarz", a może raczej była pewna organizacja, w której niektórzy mieli zdalny dostęp do sieci firmowej. Ale przyszedł "lockdown" i z dnia na dzień - z potrzeby chwili - z kilkunastu dostępów zdalnych do zasobów informatycznych tej organizacji zrobiło się ich kilkaset.

W trybie bezumownym, wyłącznie akceptując regulamin usługi, IT przekazało tysiące kont pocztowych korporacji zza oceanu aby zaktywować konta na popularnej platformie umożliwiającej wideokonferencje.

Dla wygody pracy zdalnej kierownicy rozpoczęli wymianę służbowych dokumentów przez popularne platformy społecznościowe.

Bezpieczeństwo danych?

Setki odbytych szkoleń, upoważnienia do przetwarzania danych, oświadczenia o poufności, oceny skutków i analizy ryzyka bezpieczeństwa systemów informatycznych. Wszystko to straciło znaczenie w kontekście "potrzeby chwili". To prawda - nie szkoda róż gdy płoną lasy. Ale może jednak nie w tym rzecz? Może  - korzystając po raz drugi z Andersena - ktoś odważy się powiedzieć, że "król jest nagi"? A polityka bezpieczeństwa to koncepcja "na dobre czasy", która w sytuacjach kryzysowych przechodzi na tytułową kwarantannę?
Od dawna wiadomo, że procedury niekoniecznie sprawdzają się w kryzysie. Twórcza improwizacja doświadczonego człowieka często ratuje sytuację lepiej niż nawet najlepsze - wielostronicowe procedury. Czy nasza polityka bezpieczeństwa przewiduje miejsce na taką improwizację? Czy powinna ją przewidywać? Postawię jednak tezę, że - jak uczy historia - są sytuacje kiedy organizacja w imię dobra osób, których dane przetwarza powinna bezwzględnie usunąć ich dane. Może to bowiem być sprawa życia lub śmierci jej członków czy klientów. Czy nasza polityka bezpieczeństwa uwzględnia takie oceny skutków? Nie zamierzam w tym wystąpieniu odpowiadać na te pytania. Każdy powinien odpowiedzieć na nie sobie sam.

Kwestie praktyczne

Nie chcąc pozostawiać wyłącznie intelektualnego fermentu chciałbym poruszyć kilka kwestii praktycznych, które w perspektywie kolejnego "chłodzenia gospodarki" i rosnącej popularności pracy zdalnej mogą być dla kogoś użyteczne.
Norma ISO-27001 wymaga opracowania i wdrożenia polityk pracy na urządzeniach mobilnych - wymóg A.6.2.1 oraz dotyczacący telepracy - wymóg A.6.2.2 o ile mają one oczywiście miejsce. Warto odświeżyć te dokumenty i sprawdzić jak mają się one do rzeczywistości w jakiej jesteśmy postawieni. Szczególną uwagę powinniśmy poświęcić dynamicznym, kreatywnym użytkownikom portali społecznościowych. Przecież tak prosto jest wymienić się z współpracownikiem elektronicznym dokumentem z wykorzystaniem darmowych mechanizmów platform społecznościowych. Jesteśmy naprawdę w dobrej sytuacji kiedy spytają nas o taką możliwość a nie zwyczajnie ja wykorzystają. Przecież to takie proste...

Jak to zrobić dobrze?

Terminal a precyzyjnie serwer oferujący usługę pracy terminalowej gwarantuje nam, że żadne firmowe dane nie zostaną zachowane na komputerze telepracownika. Miedzy serwerem terminali a komputerem zdalnym przesyłane są wyłącznie "skompresowane obrazy ekranu" oraz informacje o ruchach myszki i naciśniętych klawiszach. Wpływa to na jakość pracy, spowalniając ją... ale bezpieczeństwo ma swoją cenę.

Oczywiście wszyscy korzystamy z VPN czyli Wirtualnych Prywatnych Sieci. Pozwalają one włączyć się do organizacyjnych sieci z internetu i skorzystać z usług informatycznych dostępnych w siedzibie firmy z zachowaniem poufności transmisji. VPN jest wygodnym rozwiązaniem i zasadniczo bezpiecznym rozwiązaniem, ale jego użycie podnosi zagrożenia dla sieci chronionych nieomalże wykładniczo. Stąd ważne jest aby był zakończony - znów kłopotliwy trzyliterowy skrót - w tzw DMZ czyli strefie zdemilitaryzowanej, w której to na naszego zdalnego pracownika oczekuje serwer terminali, do której będzie on mógł się zalogować i dopiero wtedy uzyskać dostęp do zasobów chronionych. Serwer terminali czyli upraszczając zdalny pulpit. Każde inne rozwiązanie - bezpośredni dostęp do bazy danych, serwera pocztowego czy serwera plików to szerokie otwarcie drzwi dla kłopotów.


W DMZ powinien znajdować się również serwer pocztowy - mówimy tu oczywiście o dużych organizacjach, które utrzymują własna pocztę internetową. Nie jest to oczywiste - dostawcy usług w chmurze prześcigają się w ofertach dla dużych firm i coraz więcej podmiotów decyduje się pozbyć kłopotliwej usługi.
Osobiście jestem zdania, że poczta internetowa, o ile jej treść nie jest w pełni szyfrowana (parą kluczy odbiorcy i nadawcy) nie jest kanałem do przesyłania danych służbowych pomiedzy współpracownikami. Jest to zbyt niebezpieczny kanał. Stąd m.in. nasza platforma TechneSystem - oferuje wewnętrzne mechanizmy komunikacji.
A skoro już o naszej platformie mowa. Nasze rozwiązanie - TechneSystem - jest przykładem tego jak może (i powinien) wyglądać system intranetowy dla organizacji w czasach pracy zdalnej. Obieg spraw, obieg dokumentów, wsparcie dla zarządzania projektami, sformalizowane zasady podejmowania decyzji, rejestry korespondencji, system ankiet umożliwiający głosowanie, repozytoria dokumentów, bezpieczna komunikacja i wiele wiele innych mechanizmów dla dużej organizacji.


Na koniec wideokonferencje. Czy naprawdę spotkania robocze małych zespołów muszą być organizowane z wykorzystaniem platform społecznościowych i gigantów z doliny krzemowej? Czy naprawdę korporacyjne i rządowe uszy muszą uczestniczyć w naradach naszej organizacji? Czy naszej organizacji nie stać na własna platformę do wideokonferencji? Oczywiście wszystko jest kwestia skali. Ale nawet małe rozwiązania - oparte na pojedynczym serwerze JITSI mogą obsłużyć z powodzeniem kilkunastoosobową naradę.

 

2020 11  13

r.t.

 

(Transkrypcja wystąpienia na konferencji V Podkarpackie Forum Audytu)