Jeszcze niespełna rok temu pracownicy spędzali pół dnia w biurowcach. Dziś większość z nich uruchamia służbowe komputery we własnych czterech kątach. Praca w domu jest teoretycznie łatwiejsza – nie trzeba się stresować stojącym nad głową szefem czy tracić czasu na dojazdy do biura. Ale nie ma nic za darmo. Telepracownik musi zmierzyć się nie tylko z licznymi „rozpraszaczami”, ale również uporać z problemami sprzętowymi bądź w pojedynkę odpierać ataki hakerów. Ci ostatni wraz z nadejściem pandemii rozpoczęli prawdziwy szturm na gospodarstwa domowe. Jak wynika z badań przeprowadzonych przez ESET, pomiędzy pierwszym a czwartym kwartałem 2020 r. liczba ataków na osoby korzystające z Remote Desktop Protocol wzrosła aż o 768 proc.

Zdalni pracownicy na ogół nie są należycie przygotowani do tego, aby chronić zastrzeżone informacje. Jednym z powodów takiego stanu rzeczy jest brak samodyscypliny. Według danych CyberArk 67 proc. zdalnych pracowników nie przestrzega obowiązujących zasad bezpieczeństwa. Najczęściej popełniane przez nich grzechy to wysyłanie dokumentów służbowych na prywatne adresy e-mail, udostępnianie haseł czy instalowanie podejrzanych aplikacji. Dodatkowy problem stanowi niski poziom zabezpieczeń stosowanych przez domowników, który najczęściej ogranicza się do posiadania oprogramowania antywirusowego, a czasami usługi VPN.

Jakby tego było mało, w mieszkaniach znajduje się coraz więcej urządzeń podłączonych do internetu. Towarzystwo Fraunhofera wskazuje na routery jako jeden z najsłabszych pod kątem bezpieczeństwa punktów domowej sieci. Badacze z tej organizacji wzięli pod lupę 127 urządzeń, z których aż 45 nie otrzymało w ciągu roku żadnej aktualizacji, 22 nie były uaktualniane od ponad dwóch lat, a urządzenie-rekordzista – przez ponad pięć lat. Równie niepokojące są dane płynące z raportu Forescout na temat zagrożeń związanych z Internetem rzeczy. Autorzy tej publikacji zwracają uwagę, że miliony konsumenckich i korporacyjnych urządzeń IoT zawiera błędy w oprogramowaniu, które pozwalają napastnikom na zdalne wykonanie kodu, ataku DDoS lub przejęcie urządzenia. Według Forescout podatne na cyberataki są produkty IoT co najmniej 150 różnych marek. I naprawdę, trudno liczyć na to, że cyberprzestępcy nie skorzystają z otwartych na oścież furtek.

Dwie fale zakupów  

W ostatnim czasie wielu szefów firm dążyło do tego, żeby migracja pracowników z biur do domów zajęła jak najmniej czasu, zaś kwestie bezpieczeństwa zeszły na dalszy plan. Duże rozbieżności pomiędzy tempem przeprowadzki, a wdrożeniem odpowiednich zabezpieczeń sprawiły, że wielu zdalnych pracowników było bezbronnych w konfrontacji z hakerami. Jednak sytuacja powoli się zmienia i część przedsiębiorców zaczyna myśleć o ochronie danych nie tylko poprzez pryzmat własnej serwerowni, bądź głównej siedziby firmy i jej kilku oddziałów.

– Spodziewamy się, że w 2021 roku utrzyma się popularność wykonywania służbowych obowiązków w modelu zdalnym bądź hybrydowym, co będzie oznaczało konieczność dalszego zwracania bacznej uwagi na bezpieczeństwo środowiska IT w domach pracowników – mówi Jolanta Malak, regionalny dyrektor Fortinetu w Polsce. – Firmy będą zatem potrzebowały rozwiązań ochronnych, które pozwolą kompleksowo zabezpieczyć zasoby przechowywane w chmurze, sieć, aplikacje czy urządzenia końcowe.

W ubiegłym roku dostawcy systemów ochronnych zaobserwowali dwie fale inwestycji w narzędzia zabezpieczające. W marcu użytkownicy biznesowi najczęściej wybierali rozwiązania klasy VPN, ale w kolejnych miesiącach zakupy były już bardziej zróżnicowane – dużą popularnością cieszyły się systemy EDR, firewalle, a także rozwiązania UTM, głównie ze względu na możliwość integracji w jednym urządzeniu zapory ogniowej, IPS, antywirusa, zabezpieczeń dla ruchu sieciowego i poczty elektronicznej.

Wartym odnotowania zjawiskiem jest wzrost popularności systemów DLP do ochrony przed wyciekiem danych. Tego typu rozwiązania, umożliwiające dokładne śledzenie wędrówki danych w firmie, okazały się bardzo cenne, zwłaszcza do kontroli poczynań personelu.

– Niektórzy użytkownicy bardzo zdziwili się tym, co odkryli w swoich sieciach – mówi Paweł Jurek, wiceprezes ds. rozwoju w Dagmie. – Jak łatwo się domyślić, najwięcej nieprzyjemnych niespodzianek sprawiły im działania pracowników zdalnych. Z naszych obserwacji wynika, że w ochronę przed wyciekami danych są skłonne inwestować nawet małe firmy, ale pod warunkiem, że takie narzędzie można łatwo wdrożyć.

Zdaniem producenta

Mateusz Pastewski, Cybersecurity Sales Manager, Cisco  

Ewolucja systemów bezpieczeństwa zakłada różne scenariusze, które każdorazowo warto rozpatrywać i realizować na zasadzie przemyślanych kroków. Jednak trzeba mieć jednocześnie na uwadze spójną strategię, gdzie bezpieczeństwo użytkowników czy danych firmowych odgrywa rolę nadrzędną. Do rozwiązań wprowadzających nową jakość do firmowego bezpieczeństwa należy SD-WAN, który pozwala na bezpieczne wykorzystanie tanich łączy operatorskich do połączeń biurowych. Dzięki temu możliwe jest zbudowanie skutecznej sieci SD-WAN pomiędzy firmowymi oddziałami. Bezpieczeństwo powinno obejmować biurowe sieci, stacje końcowe i aplikacje chmurowe. W ramach dobrze funkcjonującego systemu bezpieczeństwa istotna jest oczywiście ochrona DNS, a także proxy z rozpoznawaniem aplikacji i mechanizmami blokującymi szkodliwe programy.

  
Grzegorz Michałek, CEO, mks_vir  

Już od kilku lat nasi klienci wybierają najbardziej rozbudowane pakiety ochronne, które zapewniają szeroką paletę dodatkowych narzędzi wspierających codzienną pracę w obszarze cyberbezpieczeństwa, takich jak: kopie zapasowe, szyfrowane dyski, audyty systemów, ochrona danych przed zaszyfrowaniem czy analiza działań użytkowników. Głównie z tego powodu zdecydowaliśmy się na wycofanie z oferty, wraz końcem 2020 roku, okrojonych, klasycznych, typowo antywirusowych wersji naszych produktów. Klienci coraz częściej pytają o warstwy ochrony wykraczające poza znane od lat mechanizmy blokowania szkodliwego oprogramowania, ataków, prób wyłudzania danych itp.

  

Strategia zamku i fosy zawodzi

Większość obecnie stosowanych zabezpieczeń sieci bazuje na tradycyjnym modelu, określanym jako filozofia budowania zamku i fosy. W tego typu architekturze kluczową rolę pełnią firewalle i systemy UTM – funkcjonują jako fosa powstrzymująca intruzów przed dostaniem się do wnętrza firmowej infrastruktury. Natomiast w zamku znajdują się pracownicy, którzy korzystają z różnego rodzaju urządzeń. I zwykle, zapewne zbyt często, dział IT obdarza tę grupę niemal bezgranicznym zaufaniem, zapewniając jej dużą swobodę w zakresie dostępu do danych. Niestety, strategia zamku i fosy zaczyna w ostatnich latach zawodzić. Za taki stan rzeczy zazwyczaj odpowiadają pracownicy, których działania – świadome bądź nie – prowadzą do utraty danych i ułatwiają dostanie się do zamku hakerom. Jeśli napastnik uzyska dostęp do sieci, może bez trudu penetrować systemy wewnętrzne.

Co gorsza, firmy nie przechowują już centralnie swoich danych – są one rozproszone między różnymi dostawcami chmury lub na komputerach zdalnych pracowników, więc kontrola bezpieczeństwa staje się dużo trudniejsza. Niektórzy próbują rozwiązać ten problem wdrażając systemy DLP. Inni idą dwa kroki dalej i myślą o wdrożeniu koncepcji Zero Trust przedstawionej ponad dekadę temu przez Johna Kindervaga, wówczas analityka Forrester Research, a obecnie pełniącego funkcję Field CTO w Palo Alto Networks. Najprościej można jego sposób myślenia zdefiniować następującymi słowami: nigdy nie ufaj, zawsze sprawdzaj. Przy czym niektórzy eksperci uważają, że tego rodzaju polityka powinna obejmować, poza tożsamością, również urządzenia, aplikacje, dane, infrastrukturę oraz sieci. Na papierze Zero Trust wygląda doskonale, ale diabeł tkwi w szczegółach.

Według założeń Kindervaga, pracownik może otrzymać dostęp wyłącznie do tych zasobów sieci, które są mu potrzebne do wykonywania służbowych obowiązków w danym momencie. W związku z tym administratorzy IT będą musieli odnaleźć równowagę pomiędzy funkcjonowaniem sieci i jej bezpieczeństwem, a potrzebami obliczeniowymi, zaś następnie dokonać podziału odpowiedzialności za takie obszary jak infrastruktura, platforma i oprogramowanie.

Zero Trust nie jest modelem dla wszystkich i nie można bazującego na nim działania wprowadzić od ręki. Ciężko też sobie wyobrazić zastosowanie tej koncepcji w dużej instytucji bądź wielkim koncernie, podobnie jak w firmach korzystających ze starszych systemów zabezpieczeń. Nowa strategia wymaga dużego zaangażowania ze strony administratorów, ponieważ bazuje na rozległej sieci ściśle zdefiniowanych uprawnień. Jest to spore wyzwanie ze względu na dynamiczne zmiany zachodzące w firmach – ludzie często przejmują nowe role i zmieniają lokalizacje, przychodzą nowi pracownicy, inni odchodzą. To sprawia, że reguły kontroli dostępu muszą być każdorazowo aktualizowane, aby zapewnić możliwość korzystania z określonych informacji właściwym osobom.

Wprowadzenie strategii Zero Trust może mieć też negatywny wpływ na produktywność w pracy. Obowiązujące restrykcje i ograniczenia nie pozostają bez wpływu na działania personelu. Przykładowo, jeśli pracownik przenosi się do innego oddziału firmy i przez kilka dni jest pozbawiony dostępu do wrażliwych danych potrzebnych do pracy i komunikacji, staje się praktycznie bezużyteczny. W krańcowych przypadkach spadek produktywności może stać się większym problemem niż ataki hakerów. Wreszcie, zmiana strategii ochronnej wiąże się z inwestycją w nowe rozwiązania.

– Przykładem innowacyjnego podejścia do bezpieczeństwa, które będzie w tym roku zyskiwało na popularności, jest koncepcja SASE, czyli Secure Access Service Edge – tłumaczy Jolanta Malak. – Zgodne z nią rozwiązania łączą w sobie funkcje SD-WAN z usługami bezpieczeństwa sieciowego, takimi jak zapory sieciowe nowej generacji NGFW, bezpieczne bramki internetowe SWG oraz dostęp do sieci na zasadach Zero Trust czy brokery bezpieczeństwa dostępu do chmury CASB.

Pojawiające się trudności nie oznaczają, że należy porzucić ideę Johna Kindervaga i szukać czegoś nowego lub pozostać przy tradycyjnej polityce bezpieczeństwa. Eksperci uważają, że migracja do promowanego przez niego modelu powinna być podzielona na kilka etapów i należy ją przeprowadzić bez nadmiernego pośpiechu. Jednym z pomysłów jest identyfikacja najbardziej wrażliwych danych i kluczowych dla funkcjonowania firmy sposobów ich wykorzystania, a następnie poddanie ich ściślejszej kontroli dostępu, takiej jak uwierzytelnianie wieloskładnikowe, dostęp uprzywilejowany i zarządzanie sesjami.

– Zero Trust to nieuchronny trend związany z dalszą ewolucją i rozwojem rozwiązań chmurowych – mówi Paweł Jurek. – O tempie tej ewolucji zadecydują klienci. W Polsce nadal bardzo wiele firm stawia na klasyczną architekturę bazującą na własnej serwerowni.

Zdaniem dystrybutora  

Miłosz Jaworski, Cyber Security & Network Consultant, AB  

Wszystko wskazuje na to, że zdalna praca przynajmniej dla części pracowników nie będzie wyłącznie krótkim epizodem. Dlatego należy spodziewać się wzrostu popytu na zdalne punkty dostępowe (Remote AP), które zapewnią im dokładnie taki sam komfort podczas pracy zdalnej, jak w biurze. Oprócz tego, że rozwiązania te nie wymagają rekonfiguracji urządzeń klienckich, dodatkowo umożliwiają użytkownikom proste dołączanie nowego sprzętu peryferyjnego, na przykład lokalnych drukarek. Jednocześnie zapewniają bezpieczny i monitorowany przez administratorów dostęp do firmowych zasobów w centrali i oddziałach, a także chmurze publicznej. Urządzenia Remote AP są nie tylko bezpieczne, ale również bardzo łatwe w zarządzaniu, dzięki zgodności z koncepcją SD-WAN. Co istotne, znajdują się w ofercie większości liczących się graczy z rynku WLAN Enterprise, a także u niektórych dostawców rozwiązań klasy UTM.

  

Szyfrowanie na kilka sposobów

Przeprowadzka do chmury publicznej wiąże się z dodatkowym ryzykiem utraty danych. Dlatego też bardziej rozsądni użytkownicy zaczynają stosować dwuskładnikowe uwierzytelnianie, często zmieniają hasła i korzystają z usług VPN. Te ostatnie w ubiegłym roku biły rekordy popularności, stając się praktycznie nieodłącznym atrybutem domowego pracownika. Co ciekawe, pomimo wielkiego boomu ten segment rynku wciąż pozostaje nienasycony. Jak na razie nie ma świecie kraju, w którym więcej niż jedna trzecia internautów korzysta z VPN-a. Najbliżej tego wyniku są Chińczycy – obecnie 31 proc. internautów z Państwa Środka używa wirtualnych sieci prywatnych, dalsze pozycje zajmują Amerykanie i Brytyjczycy (po 18 proc.).

– Duży wzrost popytu na rozwiązania VPN świadczy o rosnącej świadomości użytkowników indywidualnych oraz zarządów mniejszych firm – tłumaczy Mariusz Politowicz, kierownik działu IT w Marken Systemy Antywirusowe. – Ci pierwsi najczęściej wybierają VPN w formie usługi, zaś przedsiębiorstwa raczej skłaniają się ku rozwiązaniom sprzętowym.

Warto też odnotować, że VPN pojawia się jako jedna z funkcji oferowanych przez programy antywirusowe kierowane do rynku konsumenckiego. Jednak producenci nie rozpieszczają zbytnio użytkowników, gdyż przyznają im limity transferu na poziomie 200 MB. Zdaniem Mariusza Politowicza to bardzo dobry sposób na promocję tej usługi – internauci, zanim zdecydują się wydać na nią pieniądze, mogą ją za darmo wypróbować.

Już w nieodległej przyszłości ciekawą alternatywą dla VPN-a w zastosowaniach korporacyjnych może być SD-WAN, który działa zresztą bardzo podobnie jak wirtualna sieć prywatna, to znaczy tuneluje ruch użytkownika w szyfrowanym kanale. Natomiast jego główną przewagą jest możliwość agregacji wielu połączeń fizycznych w jeden „wirtualny tunel” i automatyczny wybór najlepszego dostępnego połączenia. W sytuacji, kiedy łącze internetowe się zapycha, można je łatwo rozbudować, chociażby za pomocą połączenia LTE.

– Taka opcja jest szczególnie pomocna właśnie podczas pracy w mieszkaniu, gdzie domownicy współużytkują dostęp do internetu i często brakuje im pasma – tłumaczy Sebastian Kisiel, Senior System Engineer w Citrix Systems. – Urządzenia SD-WAN potrafią też zastąpić firewall i mają zaawansowane mechanizmy QoS. To pozwala przyznać priorytet aplikacjom krytycznym dla pracy zdalnej.

Domowe routery z reguły nie są wyposażone w tego typu funkcje, a ich konfiguracja często wykracza poza kompetencje przeciętnego użytkownika. W przypadku SD-WAN konfiguracja jest przygotowywana zdalnie przez dział IT, a następnie automatycznie dystrybuowana do wszystkich urządzeń w sieci.

– To kolejny atut SD-WAN – dodaje Sebastian Kisiel. – Dzięki centralnemu kontrolerowi oszczędzamy czas na pracach związanych z utrzymaniem sieci. W klasycznym podejściu instalacja urządzeń brzegowych wymaga ręcznej instalacji, co jest bardzo czasochłonne.

Dropbox, Amazon, Microsoft, jak również setki innych dostawców oferują narzędzia do szyfrowania plików ¬ są to jednak systemy centralne. Część ekspertów jest zdania, że aby rozwiązania te były odporne na ataki, należy je również decentralizować, przyjmując kluczowe techniczne podstawy projektów blockchain. Zdecentralizowane sieci, takie jak łańcuchy bloków, są zaprojektowane do działania na zasadzie konsensusu w wielu różnych węzłach, co eliminuje ryzyko pojedynczego punktu awarii.

Biorąc pod uwagę te korzyści, twórcy największych platform coraz częściej szukają zdecentralizowanych alternatyw. Nawet Twitter niedawno ujawnił plany zdecentralizowanego otwartego standardu dla mediów społecznościowych. Łańcuchy bloków zapewniają prywatność dzięki kompleksowemu szyfrowaniu. Ze względu na decentralizację są odporne na manipulacje ze strony osób trzecich. W przeciwieństwie do scentralizowanych serwerów, blockchain nie może zostać zhakowany poprzez jednorazową akcję cyberprzestępców.

Zdaniem integratora

Rafał Barański, prezes, braf.tech  

Przejście większości pracowników na tryb pracy zdalnej spowodowało olbrzymie przeciążenie firmowej infrastruktury IT. Szczególnie było to zauważalne w dużych firmach, które wcześniej preferowały stacjonarny model pracy. W efekcie znaczna część pracowników miała problemy z wykonywaniem swoich zadań ze względu na brak dostępu do sieci. Wąskim gardłem nie była jednak wyłącznie sieć korporacyjna czy VPN-y. Same sieci domowe, przystosowane do obsługi niewielkiego ruchu internetowego, zostały nagle obciążone gigabajtami danych. To zaowocowało inwestycjami w usługi i sprzęt do domu. Klienci kupowali nowe routery z wbudowanymi firewallami i usługą VPN. Ponadto wydawali więcej niż zazwyczaj pieniędzy na aktualizacje programów antywirusowych i antyszpiegowskich.