Γράφει ο Απόστολος Τσιρογιάννης
System Administrator, IT Security Engineer
Καθώς στην σημερινή εποχή, λόγω COVID-19, αυξάνονται τα ποσοστά απομακρυσμένης εργασίας ή αλλιώς τηλεργασίας (remote working), αξίζει να αναλύσουμε κάποιους κινδύνους, που προκύπτουν, κυρίως στο ζήτημα της ασφάλειας. Βεβαίως προκύπτουν και εργασιακοί-οικονομικοί κίνδυνοι πχ. τα άτομα που είναι υπεύθυνα για την οργάνωση των γραφείων, πλέον η χρησιμότητά τους τίθεται σε αμφισβήτηση κλπ. Αλλά δεν βρισκόμαστε εδώ, να αναλύσουμε αυτόν τον τομέα της τηλεργασίας τώρα.
Το remote working μπήκε για τα καλά στην ζωή μας, όταν υπάλληλοι έπρεπε να ολοκληρώσουν τα καθήκοντά τους, εξ’ αποστάσεως σε περιόδους, που η φυσική παρουσία τους, στον χώρο εργασίας τους ήταν απαγορευτική. Βέβαια σε μερικές χώρες το remote working προσφέρεται ακόμη και σήμερα ως προνόμιο (benefit) στους εργαζομένους κάποιες μέρες του χρόνου. Αυτό σε συνδιασμό με το ελαστικό ωράριο (flexible working hours) επέτρεπαν στον εργάζομενο να έχει μια πολύ καλή ισορροπία στην προσωπική/εργασιακή του ζωή. Όμως τι γίνεται όταν επιχειρήσεις, που δεν είναι τεχνολογικά έτοιμες καλούνται να υιοθετήσουν αυτό το μοντέλο εργασίας για τους εργαζομένους τους;
Για να φανταστούμε την πολυπλοκότητα των ζητημάτων ασφαλείας του remote working, αρκεί να φανταστούμε πως διάφορα επαγγέλματα, από πωλητής e-shop έως γιατρός (teleclinic) και τραπεζικός υπάλληλος, φροντίζουν να ολοκληρώνουν τα καθήκοντα τους απομακρυσμένα, έχοντας πρόσβαση μόνο αυτοί (θεωρητικά) στα συστήματα υποδομής (infrastructure) και τους servers της εταιρείας τους. Από την θεωρία στην πράξη όμως απέχουμε, καθώς η πράξη δεν απαιτεί μόνο μια σύνδεση στο διαδίκτυο στην οικία του εργαζομένου και ένα τερματικό (PC). Απαιτεί μια εμπεριστατωμένη μελέτη στην ασφάλεια της επικοινωνίας pc-server, καθώς όμως και μια περασμένη αντίληψη στον εργαζόμενο να πράττει τα δέοντα και να μην θέτει σε κίνδυνο το σύστημα.
Πρώτο στη λίστα που πρέπει να λάβουμε υπόψιν μας είναι το δίκτυο από το οποίο συνδέεται ο εργαζόμενος. Δημόσια δίκτυα σε καφετέριες ή βιβλιοθήκες δεν είναι επιθυμητά γιατί εμπεριέχουν τον κίνδυνο ΜΙΤΜ επιθέσεων (Man In The Middle τις οποίες θα τις δούμε σε επόμενο άρθρο). Ακόμη και αν συνδεόμαστε από το οικιακό μας δίκτυο, είναι πρέπον η εταιρεία να χρησιμοποιεί VPN σύνδεση (Virtual Private Network). Τα VPN δίκτυα εξασφαλίζουν ασφάλεια και πρέπει πλέον να αποτελούν ενιαία πολιτική των εταιρειών για εξωτερικές συνδέσεις. Θα τα αναλύσουμε σε επόμενο άρθρο μας και αυτά.
Στη συνέχεια έρχεται ο σημαντικός παράγοντας της συσκευής. Τι συσκευή χρησιμοποιούμε. Είναι shared με άλλα άτομα του οικογενειακού μας περιβάλλοντος; Πόσο «καθαρή» είναι από malware κλπ; Πολλές εταιρείες χρησιμοποιούν διάφορα MDM (Mobile Device Management) προγράμματα για τον καθορισμό των ωρών που δουλεύει ο εργαζόμενος στην συσκευή, καθώς και τι προγράμματα έχει την άδεια να εγκαταστήσει ο χρήστης,. Εννοείται ότι το προσωπικό μας laptop, το οποίο χρησιμοποιούμε για σερφάρισμα ή κοινωνική δικτύωση, δεν θα έμπαινε ποτέ στην λίστα με secure tools ενός ΙΤ department. Συσκευή η οποία είναι μια εν δυνάμει πύλη, προς το δίκτυο της εταιρείας, πρέπει να είναι κρυπτογραφημένη. Ακόμη και οι προσωπικές μας συσκευές, (laptop, κινητά κλπ) προσφέρουν αυτή την δυνατότητα, την οποία δεν πρέπει να αμελούμε να εφαρμόσουμε.
Επειδή όμως, όπως , πολλές επιχειρήσεις πιέστηκαν να προχωρήσουν το μέτρο remote working δεν δώθηκε η ευκαιρία ούτε στα τεχνικά τμήματα (προμήθεια συσκευών, κατασκευή VPN, two way factor authentication κλπ), αλλά ούτε στους εργαζομένους να εκπαιδευτούν κατάλληλα. Όσο ασφαλή και αν είναι ένα δίκτυο, πυλώνας της όλης ασφάλειας είναι ο user (χρήστης). Υπάρχει μια ολόκληρη κατηγορία επιθέσεων οι οποίες λέγονται Phishing Attacks, οι οποίες έχουν ως κέντρο στοχοποίησης, όχι κάποιον server ή υποδομές αλλά τον ίδιο χρήστη. Προσπαθούν με διάφορες τακτικές να εξαπατήσουν τον χρήστη, ώστε να υποπέσει σε ένα παράπτωμα ασφαλείας, εν αγνοία του, με αποτέλεσμα να αποκτηθεί πρόσβαση στο δίκτυο από κακόβουλα άτομα. Αυτές οι τακτικές περιλαμβάνουν, άνοιγμα κακόβουλου ηλεκτρονικού ταχυδρομείου, εκτέλεση προγραμμάτων από άγνωστες πηγές κλπ τα οποία ως αποτέλεσμα έχουν να ανοίξουν κερκόπορτες στην συσκευή μας με ότι συναπάγεται αυτό. Γι’ αυτό και εταιρείες κατά αυστηρή πολιτική, πρέπει να έχουν απενεργοποιημένες εξωτερικές θύρες, οπως USB, CD-ROM, κλπ καθώς ακόμη και μια απλή τοποθέτηση USB στην συσκευή μας, μπορεί να έχει καταστροφικές συνέπειες για την ασφάλεια αυτής και κατα συνέπεια την ευρύτερη ασφάλεια του δικτύου μας και των συσκευών του. Γι’ αυτό και αν δείτε έξω από την πόρτα σας, πεσμένο ένα USB βάλτε το καλύτερα στον κάδο ανακύκλωσης και όχι στη συσκευή σας!
Πολλοί χρήστες, όταν άκουσαν πως θα δουλεύουν από το σπίτι χάρηκαν. Ποιος δεν θέλει να είναι στο pc του και ταυτόχρονα να σερφάρει στο Internet και στα social media; Εκεί έρχεται και η χρησιμότητα των εργαλείων, όπως το Time Doctor, Rescue Time κλπ. Που σκοπός τους δεν είναι να εισβάλλουν στην προσωπική ζωή του εργαζομένου, αλλά το αντίθετο. Να μην εισβάλλει η προσωπική ζωή του εργαζομένου, στην εργασιακή του. Τα συγκεκριμένα προγράμματα ελέγχουν που συνδέεται ο χρήστης, τι πληκτρολογεί, inactivity time κλπ. Οπότε η επιχείρηση, καταφέρνει και να αυξήσει την ασφάλεια της σύνδεσης του εργαζομένου με τον πυρήνα της εταιρείας, καθώς και να κρατήσει την παραγωγικότητα του στο επίπεδο, που θα είχε όντας ως φυσική παρουσία στο γραφείο του.
Και επειδή όλα στη ζωή είναι θέμα ισορροπιων, οι επιχειρήσεις έχουν κάποια μείωση κόστους στην συντήρηση των γραφείων τους, καθώς πλέον οι εργαζόμενοι καλούνται να δουλεύουν ολοένα και περισσότερο από την οικία τους, αλλά καλούνται να αυξήσουν και προϋπολογισμούς στα IT Security Departments τους, καθώς και να εκπαιδεύσουν τους εργαζομένούς τους. Εκπαίδευση στην χρήση VPN δικτύων και εργαλείων, καθώς όμως και εκπαίδευση στην φιλοσοφία της ασφαλούς πλοήγησης και της anti-trust φιλοσοφίας. Δεν εμπιστευόμαστε κάτι, το οποίο δεν είμαστε σίγουροι τι είναι. Αν ένας εργαζόμενος αντιμετωπίσει ένα πρόβλημα, θα πρέπει να είναι σε θέση να ζητήσει συμβουλή από το τεχνικό τμήμα της εταιρείας του για άμεση και ασφαλή επίλυση. Πχ Το Laptop που συνδέομαι είναι αργό. Θα καλέσω έναν φίλο να το δει γιατί αύριο πρέπει να δουλέψω. Αυτή η λύση σίγουρα δεν προτείνεται , καθώς το άτομο που θα ασχοληθεί με την συσκευή δεν είναι σε θέση να γνωρίζει τις πολιτικές ασφαλείας της εταιρείας, καθώς και εν αγνοία του (ίσως και εν γνώση του) να τοποθετήσει κακόβουλο λογισμικό να επωφεληθεί ο ίδιος ή τρίτοι.
Συνοψίζοντας, μπροστά σε μεγάλες τεχνολογικές αλλαγές, όπως αυτή του remote working, οι εταιρείες δεν μπορούν να μένουν αμέτοχες και να περιμένουν από τους εργαζομένους να λύσουν τα επιμέρους προβλήματα. Οι ίδιες πρέπει να θέσουν τις κατευθυντήριες οδηγίες και να αλλάξουν το DNA τους να γίνει πιο προσκήμενο στη τεχνολογία. Ο ρομαντικός καιρός των χειρογράφων και των ντοσιέ, έχει τελειώσει. Πλέον υπάρχει το cloud, servers κλπ. Αυτός που θα θελήσει να μην δει την αλλαγή, αργά ή γρήγορα θα υποστεί και τις συνέπειες. Όλοι αγαπάμε έναν μουντζούρη τρενάκι, που θα μας κάνει τον γύρο του Πηλίου, αλλά για να πάμε στην δουλειά μας και σε ταξίδια χρονικά πιεσμένα, προτιμάμε το μετρό και υπερταχείες. Οι επιχειρήσεις πρέπει να επενδύσουν στην τεχνολογία και στην εκπαίδευση των εργαζομένων. Δεν είναι ανεκτό να προτρέπουμε να δουλέψει από το σπίτι τουο εργαζόμενος, χωρίς να μας απασχολεί η συσκευή του ή το δίκτυο από το οποίο θα συνδέεται.
Ονομάζομαι Κέλλυ Ιωάννου. Είμαι Υπ. Διδάκτωρ Ψηφιακής Εγκληματολογίας και Τrauma Coach. Ως Διευθύντρια του CSI Institute, υποστηρίζω θερμά το όραμα του Ινστιτούτου που προάγει εκπαιδευτικούς και κοινωφελείς σκοπούς όπως την πρόληψη και την αντιμετώπιση θεμάτων ασφαλείας στο διαδίκτυο. Διαθέτω κλινική εμπειρία στον τομέα του Hλεκτρονικού Τραύματος (εξαρτήσεις από διαδίκτυο/ διαδικτυακούς εκβιασμούς, εκφοβισμούς, παρενοχλήσεις κ.ο.κ) και είμαι ιδρύτρια του Traumahelp, του μοναδικού κέντρου στην Ελλάδα για τη θεραπεία και την αποκατάσταση του ηλεκτρονικού τραύματος.