Multe organizatii si-au instruit angajatii sa lucreze de acasa, dupa introducerea masurilor impotriva Covid-19. Acest lucru a facut ca disponibilitatea sistemelor de lucru la distanta sa devina critica. Orice analiza de risc anterioara referitoare la aceasta disponibilitate nu mai este suficienta, in momentul de fata.
In acest context, echipa Centrului national de raspuns la incidente de securitate cibernetica CERT-RO recomanda identificarea proceselor critice din organizati si luarea de masuri pentru gestionarea riscurilor legate de disponibilitate.
Context
Dupa introducerea masurilor de atenuare a raspandirii Covid-19, multe companii au instruit angajatii cum sa lucreze de acasa. Prin aceasta metoda, organizatiile pot continua sa lucreze fara a-si expune angajatii la riscul de infectie. Acest lucru acopera, de asemenea, necesitatea angajatilor de a avea grija de copiii lor in orele in care acestia ar fi trebuit sa fie la scoala.
La inceputul anului, comunitatea de cybersecurity a atras atentia asupra existentei unor vulnerabilitati a Citrix, software dedicat lucrului la distanta. Drept consecinta, multi dintre cei care utilizau Citrix pentru a permite angajatilor sa lucreze de acasa au decis sa renunte la acesta, cel putin temporar.
Vulnerabilitatea nu a fost in niciun caz unica. Multiple variante de astfel de software contin erori de programare, iar software-ul dedicat telemuncii ar putea contine o vulnerabilitate similara. Cu toate acestea, sfaturile asociate, de a inceta munca de la domiciliu, nu sunt fezabile in circumstantele actuale.
Care este situatia actuala?
Disponibilitatea multor sisteme de lucru la distanta este brusc critica pentru organizatii, din cauza cresterii enorme a numarului de angajati care lucreaza de acasa. Chiar daca o perturbare a software-ului dedicat lucrului de la distanta ar fi fost considerat anterior un risc minor, o astfel de perturbare ar reprezenta in prezent o amenintare majora.
Analizele de risc anterioare privind disponibilitatea sistemelor dedicate telemuncii sunt probabil insuficiente. In cele din urma, aceste analize de risc nu au tinut cont de faptul ca organizatiile se vor baza pe angajatii care lucreaza acasa pe timpul pandemiei. Masurile bazate pe astfel de analize de risc nu vor asigura disponibilitatea sistemelor, in situatia actuala.
Sprijinirea proceselor IT&C (Tehnologia Informatiei si a Comunicatiilor), precum furnizarea de laptopuri, token-uri si alte resurse fizice necesare telemuncii, sunt adesea realizate in mod limitat acum. Exista mai putin personal IT disponibil la birou, pentru a participa la aceste procese. Mai mult, transmiterea acestor resurse poate prezenta un risc suplimentar de infectie cu Covid-19.
Care sunt riscurile?
Daca s-ar descoperi o vulnerabilitate grava in software-ul dedicat lucrului la distanta, organizatia dvs. s-ar confrunta automat cu o dilema. Daca nu faceti nimic, permiteti atacatorilor accesul nelimitat la resurse. Daca interveniti si opriti sistemele de lucru la distanta, riscati continuitatea business-ului organizatiei. Pentru majoritatea companiilor, ambele scenarii sunt pur si simplu inacceptabile.
Mai exista, de asemenea, alte scenarii care prezinta diferite riscuri. Exemplele includ suprasolicitarea cauzata de cresterea puternica a numarului de utilizatori, o deficienta a numarului de licente sau conturi, atacuri DDoS asupra punctelor de acces ale retelei dvs. sau perturbari neintentionate ale sistemelor de baza. Toate aceste riscuri existau si inainte de izbucnirea pe scara larga a Covid-19, dar impactul acestora a crescut semnificativ de atunci.
Daca sistemele de lucru la distanta nu mai sunt disponibile, angajatii vor alege, cel mai probabil, sa utilizeze alte programe software familiare, pe care le folosesc in viata personala. Exemple bine cunoscute sunt serviciile de e-mail gratuite si platformele cloud pentru colaborare si partajare de fisiere.
Daca angajatii dvs. utilizeaza astfel de software in afara proceselor obisnuite de gestionare a riscurilor, atunci pot aparea amenintari suplimentare la adresa securitatii informatiilor. In unele cazuri, este posibil sa fiti in masura sa acceptati utilizarea unor astfel de servicii, daca va ajuta sa evitati o problema mai mare, cum ar fi continuitatea business-ului. Gandindu-va deja la utilizarea unor astfel de servicii, daca sunteti responsabil sa luati o decizie in astfel de cazuri, si sa comunicati clar aceasta decizie angajatilor dumneavoastra.
Recomandari
Echipa CERT-RO va recomanda sa identificati procesele critice ale organizatiei si sa luati masuri pentru gestionarea riscurilor legate de disponibilitate. Desigur, trebuie sa faceti o analiza legata de prioritizarea proceselor, in functie de importanta lor pentru existenta business-ului. Este pur si simplu prea costisitor sa mentineti totul in functiune, in cazul unei perturbari serioase. Concentrandu-va pe activitatile strict necesare obiectivelor organizatiei, va asigurati ca atentia dvs. este concentrata asupra aspectelor care conteaza cu adevarat.
Pentru fiecare dintre procesele critice ale companiei, determinati in ce masura se bazeaza pe sisteme de lucru la distanta. De exemplu, angajatii folosesc in prezent un spatiu de colaborare, un webmail sau un desktop la distanta pentru a efectua acest proces? Faceti o lista de sisteme de lucru la distanta care sunt importante pentru unul sau mai multe procese critice.
Desigur, un proces critic nu depinde doar de sistemele de lucru la distanta. Aceasta recomandare pleaca de la premisa ca au fost implementate in prealabil masuri adecvate pentru sistemele IT&C, inainte de izbucnirea Covid-19. Daca un sistem a jucat un rol esential intr-un proces critic, inainte de izbucnirea Covid-19, gestionarea regulata a riscurilor ar fi dus deja la luarea de masuri corespunzatoare.
Efectuati un inventar al riscurilor de disponibilitate, pentru sistemele de lucru la distanta de care depind procesele critice. Ce probleme sunt previzibile in fiecare dintre aceste sisteme si cum ar ameninta acest risc performanta proceselor critice care depind de sistem? In continuare, luati masuri pentru gestionarea riscurilor identificate. Aceste masuri se vor incadra intr-una din cele doua categorii. Pe de o parte, veti lua masuri pentru o mai buna securizare a sistemelor existente, iar pe de alta parte, veti lua masuri care sa faca procesul dvs. critic mai putin dependent de disponibilitatea acestor sisteme de lucru la distanta.
Masuri necesare
Pasul 1: Identificati procesele critice ale organizatiei dvs.Un proces este considerat critic doar daca ar deveni rapid o amenintare pentru obiectivele companiei. Nu desemnati prea multe procese ca fiind critice! Este esential sa alegeti. Cu cat sunt mai putine procese critice, cu atat puteti acorda mai multa atentie celor care conteaza cu adevarat.
Aveti multe procese care sunt importante? Poate fi util sa le clasificati intern. De exemplu, puteti evalua prioritatea unui proces ca fiind „medie”, „mare” sau „superioara”. Acest lucru va va ajuta sa stabiliti masurile aferente etapelor ulterioare.
Unele procese pot fi facute mai putin critice, cu masuri suplimentare. De exemplu, ati putea amana anumite servicii, in cazul in carecomunicati proactiv cu partile implicate intern sau extern.
Pasul 2: Stabiliti in ce masura procesele critice depind de sistemele dedicate lucrului la distanta.
Studiati cu atentie fiecare proces critic si determinati daca sistemele dedicate lucrului la distanta sunt utilizate in prezent pentru efectuarea procesului critic analizat.
Stabiliti in ce masura acest proces critic ar putea fi efectuat, daca aceste sisteme nu sunt disponibile. In mod ideal, acest lucru s-ar intampla prin proceduri stabilite si testate, dar, in circumstantele actuale, orice modalitate care asigura functionalitatea este binevenita.
In plus, faceti o lista a sistemelor de lucru la distanta care sunt esentiale pentru fiecare proces critic.
Pasul 3: Identificati riscurile de disponibilitate ale sistemelor de lucru la distanta care depind de procesele critice.
Utilizati riscurile enumerate in sectiunea „Care sunt riscurile?”. Completati-le cu riscuri specifice situatiei dvs.
Pasul 4: Luati masuri pentru gestionarea riscurilor identificate: incercati sa preveniti indisponibilitatea si asigurati-va ca sunteti pregatiti pentru situatia in care poate aparea o intrerupere.
Luati masuri suplimentare pentru sistemele dedicate lucrului la distanta deja existente!
Asigurati-va ca aveti un contract de asistenta adecvat pentru software-ul dvs. dedicat lucrului la distanta. Daca aveti nevoie imediat de ajutor in caz de intrerupere sau alte probleme, este posibil ca un contract nedetaliat sa nu fie suficient. Stabiliti cat de curand veti avea nevoie de ajutor si de ce tip de ajutor aveti nevoie. Verificati daca aranjamentul pe care il aveti cu vanzatorul va satisface in continuare nevoile.
Pentru fiecare utilizator, urmariti adresele IP de la care se conecteaza la reteaua dvs. sau stabiliti o procedura care sa le permita utilizatorilor sa determine rapid adresa IP si sa o transmita. In cazul in care apare o vulnerabilitate grava in software-ul dvs. dedicat lucrului la distanta, veti putea mentine software-ul online folosind un whitelist al adreselor IP. Acest lucru va aloca mai mult timp pentru a stabili pasii urmatori.
Achizitionati capacitate suficienta! Majoritatea organizatiilor nu si-au construit initial sistemele dedicate lucrului la distanta pentru a gestiona numarul mare de utilizatori cu care ne confruntam in prezent. Luati in considerare daca dimensiunea sistemelor dvs. corespunde in continuare utilizarii curente, de exemplu in numarul de conturi, numarul de licente sau latimea de banda de retea necesara.
Luati masuri anti-DDoS pe punctele de acces ale sistemelor dvs. de lucru la distanta. Un atac DDoS este usor de efectuat. Daca sistemele dvs. de lucru la distanta nu pot face fata, acestea vor duce rapid la probleme de disponibilitate.
Stabiliti alternative pentru sistemele dvs. de lucru la distanta pentru a sprijini procesele critice!
Creati un al doilea punct de acces, bazat pe un software de la un furnizor diferit. Acest lucru functioneaza in special pentru accesul bazat pe VPN, deoarece traficul de date nu se modifica in mod esential, atunci cand utilizati un VPN de la un furnizor diferit. De exemplu, este posibil sa alegeti sa oferiti deja angajatilor care sunt implicati in procesele critice o conexiune prin acest al doilea punct de acces, facand astfel schimbarea mai usoara.
Unele aplicatii pot fi disponibile direct pe internet, fara niciun portal sau VPN. Daca alegeti aceasta optiune, tineti cont de faptul ca aceste aplicatii vor contine vulnerabilitati si ca un atacator le poate ataca mai usor. Prin urmare, combinati aceasta masura cu un whitelist de adrese IP, daca este posibil.
Creati mijloace pentru a efectua procese critice in birou, in echipe mici. Nu toate procesele critice sunt potrivite pentru a fi efectuate de un angajat care lucreaza de acasa. Daca solicitati angajatilor sa vina la birou, luati masuri pentru atenuarea riscurilor de infectie cu Covid-19. Alcatuiti mai multe echipe care, daca este necesar, pot prelua sarcini una pentru cealalta. S-ar putea sa doriti sa proiectati deja programul pentru aceste echipe, pentru a va asigura ca angajatii sunt disponibili in termen scurt. S-ar putea sa alegeti sa pastrati unii angajati in afara echipelor, ca rezerva. Asigurati separarea fizica intre echipe! Luati masurile de igiena necesare la birou, pentru a preveni infectia intre colegi sau prin suprafete.
Identificati riscurile serviciilor destinate utilizarii personale si sfatuiti-va angajatii cu privire la utilizarea acestora. Este posibil sa fiti in masura sa efectuati anumite procese trecand la resurse altenative. Exemple includ servicii populare de partajare a fisierelor si e-mail personal. Elaborati instructiuni clare privind utilizarea acestor resurse alternative.
Pregatiti aceste proceduri pentru momentul cand sistemele dedicate lucrului la distanta nu mai sunt disponibile. De exemplu, unii angajati nu vor mai putea lucra. Instruiti-i sa nu mai lucreze deloc, pentru a va asigura ca nu utilizeaza resurse IT&C personale pentru a continua munca. In instructiunile oferite, descrieti pasii necesari pentru a trece la resurse alternative. Nu uitati ca unele mijloace de comunicare nu vor fi disponibile la momentul respectiv!
*** Articol tradus si adaptat de Alexandra Maftei, reprezentant al CERT-RO. Pentru a consulta articolul sursa, click aici!