Penki žmonės biure, trys namuose, du kavinėje, vienas – iš uošvių sodybos. Šiuolaikinio verslo realybė, prie kurios pripratome. Nepripratome tik prie to, ką tai reiškia IT saugumui.
Kai visi sėdėjo viename pastate, už vienos užkardos, viename tinkle – apsauga buvo aiški. Perimetras. Siena. Kas viduje – saugu, kas išorėje – potenciali grėsmė.
Dabar perimetro nebėra. Kiekvienas darbuotojo namas tapo filialu. Kiekviena kavinė – potencialiu įėjimo tašku. O sodybos WiFi slaptažodis „Labas123″ – tiltu tiesiai į įmonės sistemas.
Namų tinklas nėra įmonės tinklas
Biure tinklo įrangą konfigūruoja specialistai. Namie – darbuotojas, kuris vos atsimena, kur padėjo maršrutizatoriaus instrukciją.
Standartinis namų maršrutizatorius turi gamyklinį slaptažodį, kurį mažai kas keičia. Turi atvirus prievadus, apie kuriuos niekas nežino. Prie to paties tinklo jungiasi vaikai su žaidimų konsolėmis, sutuoktinis su neaiškios kilmės programomis, svečiai su savo įrenginiais.
Ir tame pačiame tinkle – darbo kompiuteris su prieiga prie įmonės serverių, klientų duomenų, finansinės informacijos.
Užtenka vieno užkrėsto įrenginio namų tinkle – ir kelias į įmonės sistemas atviras.
Asmeninis ir darbinis: riba išnyko
„Naudoju savo kompiuterį darbui, nes jis geresnis.” Tokį argumentą girdi kiekvienas IT vadovas. Ir kiekvienas žino, kuo tai baigiasi.
Asmeniniame kompiuteryje – atsisiųstos programos iš neaiškių šaltinių. Žaidimai su „krekeriais”. Naršyklės plėtiniai, kurie „labai patogūs”. Slaptažodžiai, išsaugoti naršyklėje kartu su šimtu kitų svetainių.
Kai tas pats įrenginys naudojamas ir pramogoms, ir darbui – rizikos susilieja. Vienas neteisingas paspaudimas asmeniniame kontekste gali atverti duris į profesinį.
Įmonės, kurios leidžia BYOD (bring your own device), privalo turėti aiškias taisykles ir technines priemones. Dauguma – neturi nei vieno, nei kito.
Viešas WiFi: patogumas su kaina
Darbas iš kavinės skamba romantiškai. Latte, laptopas, produktyvumas. Tik kad ta kavinės WiFi tinklas – atviras kaip knyga.
Viešuose tinkluose duomenys keliauja be šifravimo. Bet kas su bazinėmis žiniomis gali perimti, kas siunčiama ir gaunama. Prisijungimo duomenys, el. laiškai, dokumentai – viskas matoma.
VPN turėtų būti privalomas kiekvienam, dirbančiam ne biure. Bet kiek įmonių jį turi? Kiek darbuotojų jį naudoja nuosekliai, o ne „kai prisimena”?
Įrenginiai keliauja
Biure kompiuteris stovi ant stalo. Namie – irgi. Bet tarp namų ir biuro jis keliauja. Kartais – per viešąjį transportą, kavinę, automobilį.
Pamestas ar pavogtas nešiojamas kompiuteris – ne tik įrangos nuostolis. Tai potencialus duomenų nutekėjimas. Jei diskas neužšifruotas – viskas, kas jame saugoma, tampa prieinama.
Telefonai – dar pavojingesni. Maži, lengvai pamirštami, pilni prieigų. Korporatyvinė pašto programa, VPN klientas, slaptažodžių tvarkyklė – viskas viename įrenginyje, kuris gali likti taksi ant galinės sėdynės.
Kontrolė, kurios nebėra
Biure IT komanda mato, kas vyksta. Gali stebėti tinklą, tikrinti įrenginius, reaguoti į anomalijas. Namie – akloji zona.
Darbuotojo kompiuteris prisijungia iš nežinomo IP adreso. Ar tai tikrai darbuotojas? Ar jo kredencialai nebuvo pavogti? Ar kažkas kitas neprisijungė jo vardu?
Šiuolaikinės kibernetinio saugumo paslaugos apima sprendimus būtent šiai problemai – nulinės pasitikėjimo architektūrą, kur kiekvienas prisijungimas tikrinamas nepriklausomai nuo vietos. Bet daugelis įmonių vis dar gyvena „viduje saugu” paradigmoje, kuri nebeatitinka realybės.
Žmogiškasis faktorius padidėja
Biure kolegos mato vienas kitą. Jei kažkas elgiasi keistai – pastebima. Jei ateina įtartinas laiškas – galima paklausti kaimyno.
Namuose darbuotojas vienas. Sprendimus priima pats. Ir spaudimą atlaikyti sunkiau. Socialinė inžinerija veikia geriau, kai nėra kam pasitikrinti.
„Skubus prašymas nuo direktoriaus” sukelia mažiau įtarimų, kai negalima atsigręžti ir paklausti – „ar tikrai jis tai siuntė?”
Infrastruktūra turi sekti paskui žmones
Senasis modelis – žmonės ateina pas infrastruktūrą. Naujasis – infrastruktūra seka paskui žmones.
Tai reiškia kitus sprendimus. Debesų technologijos vietoj lokalių serverių. Centralizuotas įrenginių valdymas. Daugiafaktorinė autentifikacija visur, ne tik „svarbiose” sistemose.
Profesionali serverių priežiūra šiandien apima ne tik fizinius serverius biure, bet visą išsklaidytą ekosistemą – debesų resursus, nuotolines darbo vietas, mobilius įrenginius. Perimetras nebėra siena – jis tapo audiniu, apgaubiančiu kiekvieną prieigos tašką.
Hibridinis modelis lieka
Grįžimas į biurus įvyko. Bet ne visiškas. Hibridinis darbas tapo norma, ir vargu ar tai pasikeis.
Tai reiškia, kad laikinos priemonės, įdiegtos pandemijos metu „kol praeis”, turi tapti nuolatinėmis. Strategiškai apgalvotomis. Tinkamai įgyvendintomis.
Įmonės, kurios vis dar traktuoja nuotolinį darbą kaip išimtį, o ne taisyklę – gyvena praeityje. Jų IT sauga – irgi.
Naujas mąstymas
Saugumas nebėra vieta. Saugumas yra procesas, sekantis duomenis ir žmones, kad ir kur jie būtų.
Biuras, namai, kavinė, sodyba – nebesvarbu. Svarbu, ar kiekvienas prisijungimas patikrintas. Ar kiekvienas įrenginys valdomas. Ar kiekvienas darbuotojas žino, ką daro.
Tai sudėtingiau nei senoji sienos paradigma. Bet senoji paradigma tiesiog nebeveikia.
