CERT.LV ieteikumi attālinātam darbam ārkārtas situācijas apstākļos
Vispārējie riski
Iestādes IT nodaļai (vai iestādes IT resursus apsaimniekojošai organizācijai) būtu jāinformē vadība par potenciāliem riskiem iestādes IT drošībai, kurus rada izmaiņas, kas nepieciešamas, lai nodrošinātu attālināto darbu. Krīzes situācijā lēmums par vispiemērotāko vidusceļu starp drošību un pieejamību jāpieņem organizācijas vadībai, nevis IT speciālistiem.
Būtiski nodrošināt iestādes informācijas rezerves kopiju veidošanu, uzglabājot tās (ja tas ir tehniski iespējams) uz nodalītas IT infrastruktūras. Ir jāpārliecinās, ka ir izstrādāta procedūra/-s, ierīču vai informācijas sistēmu atjaunošanai no uzglabātajām rezerves kopijām, kā arī atjaunošanas procedūra tiek regulāri testēta arī praksē.
Apstrādājamās informācijas glabāšana
Katras iestādes vadība, analizējot riskus un informācijas klasifikācijas (konfidencialitātes) pakāpi, pieņem lēmumu, kādus informācijas resursus un/vai dokumentus drīkst publicēt ārējos publiskos informācijas nesējos (mākoņserveros).
Nekādā gadījumā nav pieļaujams publicēt informāciju, kura ir ierobežotas pieejamības un ar augstāku klasifikācijas pakāpi un/vai, kuras noplūšanas gadījumā tiek radīti būtiski draudi iestādes reputācijai un darbībai.
Tiešsaistes sanāksmes
Ir pieejamas vairākas bezmaksas platformas, piemēram, ZOOM, Cisco Webex, Wire, Google hangouts utt., kā arī izmantojamas MS Office 365 Enterprise Teams iespējas.
VPN drošība
Drošu pieslēgumu organizācijas infrastruktūrai var nodrošināt tikai caur VPN. Var izmantot gan komerciālus risinājumus, gan arī brīvpieejas programmatūru (Wireguard, OpenVPN). Būtiskākie aspekti, kam jāpievērš uzmanība, analizējot esošā VPN risinājuma drošību vai ieviešot jaunu risinājumu:
- Ugunsmūrī jāatstāj atvērti tikai tie porti, kas nepieciešami VPN darbībai;
- Lietotāju autentifikācija obligāti jāveic, izmantojot sertifikātus, kurus vajadzētu papildināt arī ar otru autentifikācijas faktoru (piemēram, paroli vai kodu ģeneratoru);
- Iespējot VPN žurnālfailu veidošanu (logging) un veikt risinājuma novērošanu;
- Ja ir zināms, ka visi darbinieki atrodas Latvijā, var ugunsmūrī liegt piekļuvi VPN serverim no ārvalstīm (var izmantot ģeolokāciju vai arī Latvijas IP diapazonu sarakstu: https://nic.lv/lix).
Attālinātā darba ieviešana ar datoriem līdzņemšanai
Ja darbiniekiem plānots izdalīt darba datorus līdzņemšanai mājās, tajos jāsakonfigurē automātiska pieslēgšanās pie organizācijas VPN tīkla. Datoros ir jābūt ieslēgtam ugunsmūrim, jo atkarībā no darbinieku tīkla konfigurācijas mājās, datori var negaidīti kļūt pieejami no interneta.
Attālinātā darba ieviešana bez datoriem līdzņemšanai
Gadījumā, ja darbiniekiem jānodrošina iespēja strādāt no mājām vēl pirms viņiem tiek izdalīti datori līdzņemšanai (vai izdalīt datorus vispār nav paredzēts), ieteicamais risinājums ir šāds:
- Lietotāji izmanto savas privātās ierīces, lai izveidotu savienojumu ar organizācijas VPN tīklu;
- Caur VPN savienojumu lietotāji pieslēdzas pie saviem darba datoriem, izmantojot Remote Desktop, VNC vai citu līdzīgu tehnoloģiju;
- Lietotāji attālināti strādā uz sava darba datora un, ja jāpieslēdzas iekšējiem resursiem, veic to (attālināti) no sava darba datora.
Šajā gadījumā organizācijai ir jāievieš VPN risinājums, darba datoros jāiespējo izvēlētais attālinātās pieejas risinājums un jāizplata lietotājiem pieejas dati ar instrukciju, kā nodrošināt drošu pieeju darba datoram no savas personīgās ierīces.
Šīs shēmas priekšrocības ir salīdzinoši ātra ieviešana un labāka drošība (jo iekšējie resursi netiek padarīti publiski pieejami un lietotāju personīgajos datoros netiek instalēta darba vajadzībām nepieciešamā programmatūra, kā arī uz tiem netiek saglabāti darba vajadzībām nepieciešamie dati).
Aprakstīto konfigurāciju var daļēji aizvietot ar Guacamole vai līdzīgu risinājumu, kas strādā kā apvienota Remote Desktop un VPN vārteja. Tas atvieglo pieslēgšanās procesu lietotājiem, jo nav jāinstalē vai jākonfigurē VPN un Remote Desktop, - lietotāji varēs piekļūt saviem darba datoriem (ofisā) caur interneta pārlūku.
Būtu jāapzina iespējamie riski, ja darbinieki izmanto ierīces, kas nav iestādes pārziņā un kuras līdz ar to nav konfigurētas atbilstoši iestādes IT drošības politikai.
Vēlams informēt darbiniekus par personīgo iekārtu IT higiēnu – nevērt vaļā nezināmas saites, izvairīties no dažādu multivides datņu (filmas, spēlēs, utt.) lejupielādes, uzstādīt antivīrusa programmatūru un veikt visus nepieciešamos atjauninājumus gan operētājsistēmai, gan programmatūrai.
Piekļuves tiesību ierobežojumi
Atkarībā no iespējām, ko piedāvā izvēlētā VPN vārteja, tajā var veidot grupu vai lietotāju politikas t.i. izšķirt, kuras lietotnes kādiem lietotājiem ir nepieciešamas, kā arī īstenot piekļuvi servisiem uz “need to know” principa, ļaujot lietotājiem piekļūt tikai pie tiem resursiem, kas ir nepieciešami darba pienākumu veikšanai.
Gadījumā, ja tiek izmantots minētais risinājums ar Remote Desktop katra lietotāja datorā, VPN vārtejā jāpieļauj pieslēgšanās tikai pie lietotāju datoriem. Pieeju citiem iekšējiem resursiem no VPN var aizliegt, un papildus tīkla konfigurācija nav nepieciešama, jo no tīkla skatpunkta visi tālākie pieslēgumi notiks no lietotāja darba datora.
Papildinformācijai (ENG)
https://www.enisa.europa.eu/news/executive-news/top-tips-for-cybersecurity-when-working-remotely
https://www.sans.org/security-awareness-training/sans-security-awareness-work-home-deployment-kit?
https://securitymadein.lu/news/covid-19-safety-and-cybersecurity-can-go-hand-in-hand/