A távoli munkavégzés kiberbiztonsági kockázatai

Bányász Péter – Katona Gergő

A koronavírus második hulláma szigorú korlátozások bevezetését tette indokolttá a világ számos országában, köztük Magyarországon is, aminek következtében a távoli munkavégzés, illetve annak biztonságos feltételrendszere ismét előtérbe került. Jelen bejegyzésben arra keressük a választ, milyen kockázatok fenyegetik a munkavállalókat a kibertérből, valamint milyen védelmi megoldások alkalmazásával csökkenthető a kockázatok száma.

Első lépésként fontos magának a fogalmaknak az értelmezése, ugyanis a közbeszédben gyakran keveredik a távoli munkavégzés és a home office fogalma. A távoli munkavégzés az atipikus munkavégzési formák (mint például részmunka, határozott idejű szerződésen alapuló munkavégzés, munkakör megosztás, munka-végzés behívás alapján, bedolgozás stb.) egyik fajtája, ami az infokommunkációs technológiák (IKT) elterjedésének következtében jelent meg. Ehhez hozzájárult a globalizáció, a földrajzi távolságok áthidalásának, a leszakadó régiók felzárkóztatásának igénye.

A hazai jogi szabályozás szerint a távmunka a munkáltató telephelyétől elkülönült helyen rendszeresen folytatott olyan tevékenység, amelyet számítástechnikai eszközzel végeznek, és eredményét elektronikusan továbbítják (Munka törvénykönyve 196-197.§). A távmunkavégzést munkaszerződésben kell rögzíteni, míg az otthoni munkavégzést (home office) a munkáltató engedélyezi vagy belső szabályzatban rögzíti. Utóbbi hosszabb időszakra is engedélyezhető, megvalósulhat a rotálódás elvét követve (például A és B hét), azonban fontos szempont, hogy meghatározott időszakra érvényes, nem ez a munkavégzés fő formája. A home office esetében a munkáltató átengedheti a munkavállalónak, hogy ő határozza meg a munkaidő beosztásának idejét, de előírhatja azt is, hogy milyen időintervallumban kell elérhetőnek lennie. A munkavállaló digitális megfigyelése IKT eszközök segítségével kizárólag a munkaviszonnyal összefüggő magatartás kapcsán alkalmazható. Mindebből következik, hogy a kiberbiztonsági kockázatok mellett az adatvédelmi garanciákat is biztosítani szükséges, amely az ellenőrzés jogából sérülhet.

A koronavírus első hullámában, amikor állami és piaci szervezetek nagy része kényszerült arra, hogy az otthoni munkavégzést engedélyezzék, a várakozásoknak megfelelően megnövekedett a kibertámadások száma (Interpol 2020). Ennek oka, hogy a szervezeteket felkészületlenül érte az otthoni munkavégzésre történő átállás, többségük egyáltalán nem, vagy csak nem megfelelő üzletmenet-folytonosság tervvel rendelkezett. Az Interpol jelentés alapján a leggyakoribb támadástípusok az adathalászat, online család (59%), zsarolóvírusok, kártékonykódok (36%), kártékonykódot tartalmazó weboldalak (22%), álhírek (14%).

A (távoli) munkavégzés során az elektronikus információs rendszerben tárolt adatok bizalmasságát, sértetlenségét, rendelkezésre állását mint az információbiztonság alapját biztosítani kell. Mivel a szervezetek nem voltak felkészülve a távoli munkavégzés tömegessé válására, így sok esetben jelentett kockázatot az informatikai eszközök gyenge védelme, illetve a munkavállalók nem megfelelő szintű adat- és információbiztonsági tudatossága, amihez gyakran a digitális írástudás hiánya társul. Ebből következik, egy olyan munkavállaló, aki gyakorlatilag „betanított munkásként” az általa kezelni szükséges információs rendszerben a munkavégzésként meghatározott helyekre kattint, de nem ismeri, nem érti a folyamatot, milyen magas fokú kockázatot jelent információbiztonsági szempontból. Oktatóként, aki a kiberbiztonság mellett információs rendszerek használatát is tanítja, gyakran tapasztaltam a fenti problémát, aminek talán két legillusztrisabb példája két a közigazgatásban évtizedek óta dolgozó hallgató volt. Az egyik esetben egy file más néven történő elmentése okozott már-már leküzdhetetlen problémát, míg a másik esetben a számítógép bekapcsolása, ugyanis a hivatalban más típusú volt a gépház, és nem ott van a bekapcsoló gomb, ahol megszokta.

Egy biztonsági esemény bekövetkezésekor, még ha nagyon alacsony fokúról is legyen szó, gyakran a pánik uralkodik el a fentiek által jellemezhető felhasználóknál. Személyes beszélgetések során, hogy miért olyan döntések sorozatát hozták meg, ami biztonsági incidens bekövetkezéséhez vezetett, visszatérő válasz szokott lenni: minden olyan gyorsan történt, fel sem fogtam, mire kattintottam. Nem nehéz belátni, egy ilyen munkavállaló esetén az otthoni munkavégzés, ahol nincs meg az az esetleges védőháló, amit a munkahelyen a rendszergazda, az információbiztonsági felelős nyújt, tovább növeli a kockázatokat.

Mindezek után jogosan merül fel a kérdés, mit tehetünk, hogy csökkentsük a szervezetünkre leselkedő kockázatokat? Az első és legfontosabb egy kockázatelemzés készítése, amelyhez számos létező módszertant hívhatunk segítségül, mint például a Consultative, Objective & Bifunctional Risk Analysis (COBRA), Cost-of-Risk Analysis (CORA), Central Computer and Telecommunications Agency (CCTA), Risk Analysis and Management Methodology (CRAMM), Information Security Risk Analysis Method (ISRAM), ISO 3100 stb.

 A kockázatelemzés eredményeképpen meghatározzuk azokat a területeket, amelyek beavatkozást igényelnek, és kidolgozzuk azokat a kockázatkezelési eljárásokat, amelyekkel csökkentjük a kockázat bekövetkezésének valószínűségét. A kockázatelemzés fontos részét képezi (egyéb tevékenységekkel kiegészülve, mint például üzleti hatáselemzés) az üzletmenet-folytonosság terv (BCP) elkészítésének, aminek relevanciájára az első hullám hangsúlyosan felhívta a figyelmet. Az üzletmenet-folytonosság terv célja, hogy az esetlegesen bekövetkező rendkívüli eseményeket, amelyek szervezetünket fenyegetik, hogyan, milyen módon kezeljük. Azok a szervezetek, amik rendelkeztek BCP-vel, óriási helyzetelőnybe kerültek az első hullám idején versenytársaikkal szemben.

A blog terjedelmi korlátai nem teszik lehetővé, hogy részletes és mindenre kiterjedő tanácsokat fogalmazzunk meg az otthoni munkavégzés kiberbiztonsági kockázatainak csökkentésére, így csupán néhány területet említünk:

• Használjunk többfaktoros azonosítást.
• Használjunk jelszómenedzser alkalmazást, hogy biztonságos jelszavakat használjunk az egyes fiókjainknál.
• Csak megbízható WiFi hálózatot használjunk.
• Változtassuk meg az otthoni routerünk alapértelmezett felhasználó nevét és jelszavát.
• Tisztázandó, hogy a munkavégzés saját vagy a munkáltató által biztosított eszközzel történik-e, illetve ebből következően milyen biztonsági eljárásokat szükséges követni. A saját eszközök gyakran más védelmi megoldásokat alkalmaznak, hiszen míg a munkáltató által biztosított eszközön korlátozva lehet például a külső adathordozók csatlakoztatása, a biztonsági frissítések automatizáltan történhetnek, addig saját eszközön ezek nem feltétlenül valósulnak meg.
• Amennyiben a felhasználó a saját eszközét nem védi megfelelően, és a munkavégzés ezen keresztül történik, magában hordozza annak a veszélyét, hogy rajta keresztül a szervezet elektronikus információs rendszeréhez is hozzáférhetnek a támadók. Éppen ezért létfontosságú, hogy a használt eszközökön (legyen szó számítógépről, okos mobil eszközről) a legfrissebb szoftverfrissítések legyenek telepítve.
• Csak jogtiszta szoftvereket használjunk, ugyanis az illegális csatornákról letöltött, tört szoftverek tartalmazhatnak kártékony kódokat (például kémprogramokat, zsaroló vírusokat).
• Használjunk vírusirtót.
• Telepítsünk a böngészőnkbe különböző privát szférát erősítő technológiákat, amelyek csökkentik az internetezés kockázatait, például azáltal, hogy jelzik a nem biztonságos oldalakat, letiltják az oldalak által esetlegesen futtatott kémprogramokat vagy egyéb kártékony kódokat. Ezzel kapcsolatban a www.maganelet.hu oldal számos hasznos tanácsot nyújt.
• A korábban említett kockázatelemzésnek értelemszerűen a munkavállaló által kezelt adatokra is ki kell térnie, hiszen az adatok esetleges kiszivárgása szervezetenként eltérő kockázatot jelent, így olyan korlátozó megoldások alkalmazása is szükséges lehet, amik például a file-ok titkosítását követelheti meg.
• Figyeljünk a jogosultságkezelésre, különösen saját eszközről való hozzáférés esetében.
• Képezzük folyamatosan a munkavállalókat az adat- és információbiztonsággal kapcsolatban, ugyanis folyamatosan új típusú kihívások jelennek meg, amelyek felülírhatják adott esetben a korábbi tudásunkat.

Természetesen a felsoroltakon felül rengeteg egyéb védelmi megoldásra kell tekintettel lennünk, amire a kockázatkezeléshez hasonlóan számos módszertant vehetünk alapul. Ilyen például az Ausztráliai Kiberbiztonsági Központ által kidolgozott ajánlás, amely enyhítési stratégiákkal szolgál a távoli munkavégzés kiberbiztonsági kockázataival kapcsolatban. Az ajánlás az egyes stratégiákat három szempont alapján értékeli:  

• felhasználói ellenállás a stratégiával szemben,
• előzetes költségek mértéke (személyzet, szoftver és hardver),
• folyamatos karbantartási költség mértéke.

Fontos tisztában lenni azzal, hogy 100%-os védelem nem létezik. Ennek ellenére jelentősen csökkenthetők a kibertérből származó kockázatok, amennyiben megfelelő védelmi megoldásokat alkalmazunk. Remélhetőleg, e blogposzt hozzájárult utóbbi sikeréhez.

Források:
2012. évi I. törvény a munka törvénykönyvéről
Australian Cyber Security Centre Strategies to Mitigate Cyber Security Incidents, https://www.cyber.gov.au/acsc/view-all-content/publications/strategies-mitigate-cyber-security-incidents
„INTERPOL Report Shows Alarming Rate of Cyberattacks during COVID-19”, https://www.interpol.int/News-and-Events/News/2020/INTERPOL-report-shows-alarming-rate-of-cyberattacks-during-COVID-19