Az Angol Adatvédelmi Hatóság (továbbiakban: ICO) kiadott egy iránymutatást az otthoni munkavégzés GDPR kérdéseiről, amelyet lefordítottunk magyar nyelvre:
Otthoni munkavégzés – biztonsági ellenőrző listák munkáltatók számára
Az ICO tudatában van a koronavírus világjárvány idején a szervezetek elé állított példátlan kihívásoknak. Az otthoni munkavégzés iránti igény növekedése nyomán ezekre a kihívásokra a választ gyakran informatikai megoldások alkalmazása jelenti.
Adatvédelmi törvény nem tiltja ezek használatát, időt kell azonban fordítani biztonságos alkalmazásuk szavatolására.
Az alábbiakban található gyors ellenőrző listákat már most el tudja végezni. Ezek nem jelentenek teljeskörű biztonsági megoldást, de segítséget nyújtanak olyan közismert informatikai biztonsági rések azonosításában, amiket gyakran kihasználnak.
Általános alapelvek
☐ Világos szabályzataink, eljárásaink és útmutatásaink vannak a távmunkában dolgozó munkatársak számára. Ezek tartalmaznak olyan témaköröket is, mint a személyes adatok elérése, kezelése és megsemmisítése.
☐ Távoli hozzáférési megoldásunk legfrissebb verzióját használjuk.
☐ Munkavállalóinkat felkértük az egyedi és komplex jelszavak használatára.
☐ Ellenőriztük a többtényezős hitelesítés rendelkezésre állását és lehetőség szerint beállítottuk azt.
Saját eszköz használata (BYOD)
Az otthoni munkavégzés elősegítésének különböző megközelítései vannak, mindegyik esetében eltérő biztonsági megfontolásokkal. Tekintse át összehasonlításunkat annak eldöntéséhez, hogy melyik a legjobb választás az Ön szervezete számára.
Felhőalapú tárolás
A vállalati felhőalapú tárolási megoldások lehetővé teszik a felhasználók számára, hogy az adatokhoz bármilyen eszközön hozzáférjenek az irodán kívül. Segíthetnek abban is, hogy az alkalmazottak ne a saját személyes tárhelyüket vagy üzenetküldési szolgáltatásaikat vegyék igénybe, ami további kockázatokat jelenthet.
☐ Felhőalapú tárhelyünk nem nyilvános, illetve nem érhető el felhasználónév vagy jelszó (vagy más típusú hitelesítés) nélkül.
☐ Csak a kulcsfontosságú alkalmazottak kaptak teljes hozzáférést a tárhelyhez. Minden más alkalmazott eseti alapon kap engedélyt az olvasásra, írásra, szerkesztésre vagy törlésre.
☐ A napi tevékenységekhez nem használunk alapértelmezett rendszergazdai- vagy adminisztrátori fiókokat, és azokat megfelelő módon biztosítjuk.
Hosszú távú stratégiákhoz tekintse át a felhőalapú informatika használatával kapcsolatos útmutatásainkat, amelyek itt érhetők el.
Fontolóra kell venni a Nemzeti Kiberbiztonsági Központ (NCSC) útmutatásait a Szoftverszolgáltatás (SaaS) biztonságáról. Elérhető itt.
Távoli asztal
A támadók gyakran próbálnak hozzáférni a távelérési megoldásokhoz jól ismert, kiemelt jogosultságú fiókok felhasználásával, például egy rendszergazdai fiókon keresztül.
☐ Munkatársaink, különösen a kiemelt jogosultságú felhasználóink esetében, fiókzárolást alkalmazunk, azaz a fiók letiltását egy bizonyos számú sikertelen bejelentkezés után.
☐ Kiemelt jogosultságú fiókjaink számára általános felhasználóneveket generáltunk, és ahol lehetséges volt, letiltottuk a beépített vagy alapértelmezett adminisztrátori fiókokat.
☐ Csak azon munkatársaknak engedélyezzük a távoli kapcsolatok elérését, akik számára az szükséges.
A hosszú távú stratégiáknál érdemes fontolóra venni, hogy a távoli elérés átjáró (gateway) vagy virtuális magánhálózat (VPN) használatával történjen. Alkalmazhatók rövid távú megoldások is, például a távoli elérési megoldás figyelőportjának megváltoztatásával, de ezek csupán ideiglenes megoldásnak tekinthetők.
Távoli alkalmazások
A távoli alkalmazás megoldások hozzáférést biztosítanak a munkatársak számára az otthoni munkavégzés során szükséges üzleti alkalmazásokhoz. Ezzel elkerülhető, hogy a munkavállalók saját személyes alkalmazásukat használják a személyes adatok feldolgozására.
☐ Távoli alkalmazás megoldásunk nem enged hozzáférést a Windows adminisztrációs eszközökhöz, mint például a PowerShell vagy a Command Prompt.
☐ A távoli alkalmazás megoldásunk nem engedélyezi olyan billentyűparancsok vagy súgóbillentyűk elérését, amelyek felhasználhatók nem engedélyezett alkalmazások vagy szolgáltatások megnyitásához.
☐ Az egyszerű szöveges felhasználónevek és jelszavak nem szerepelnek fájlokban, mappákban vagy parancsfájlokban.
A hosszú távú stratégiáknál, mint minden megoldás esetében, meg kell vizsgálni az adott területen leghatékonyabb gyakorlatokat és iránymutatásokat. Sok gyártó bevált gyakorlata univerzálisan alkalmazható bármilyen megoldásra, például a szerverbiztonság növelésére és a hálózat szegmentálására.
Mivel több munkavállaló fog otthonról dolgozni, elkerülhetetlenül növekszik majd az e-mail forgalom, mint kommunikációs mód.
☐ Felülvizsgáltuk és végrehajtottuk az adathalász támadásokkal szembeni védelemre vonatkozó NCSC útmutatásokat. Elérhetők itt.
☐ Blokkoltuk a külső e-mail címekre történő továbbítási szabályok hozzáadásának lehetőségét, vagy van módszerünk a továbbítási szabályok észlelésére.
☐ Azt tanácsoltuk munkavállalóinknak, hogy használjanak vállalati e-mail megoldásokat, és ne hagyatkozzanak saját e-mail vagy üzenetküldési fiókjura a személyes adatok tárolása vagy továbbítása során.
Forrás: itt.