„Blue Bridge“ vyresnysis sistemų inžinierius Audrius Biveinis.

Šiuolaikinės technologijos leidžia dirbant nuotoliniu būdu nedaryti kompromiso tarp saugumo ir patogumo. Paradoksalu, bet būtent karantino laikas gali tapti puikia proga atrasti ir „klasikinius“, ir pažangesnius sprendimus, leidžiančius saugiai pasiekti įmonės duomenis neužkraunant visos atsakomybės už informacijos saugumą ant darbuotojų pečių.

Didesnį saugumą užtikrinančios priemonės, tokios kaip VPN (virtualus privatus tinklas) ir dviejų faktorių (2FA) autentifikacijos raktai, nebūtinai turi būti brangios. Be to, jos gali būti įdiegiamos ir karantino metu, pastebi „Blue Bridge“ vyresnysis sistemų inžinierius Audrius Biveinis ir „Hermitage Solutions“ saugumo specialistas Marius Kaukėnas.

nuotrauka::1 right

VPN – laiko patikrintas sprendimas

Viena iš pamatinių priemonių, padedančių užtikrinti kompleksinį duomenų saugumą dirbant iš namų – VPN. Šis sprendimas suteikia saugią nuotolinę prieigą prie įmonės vidinių sistemų. Sprendimas taip pat leidžia įgyvendinti papildomas saugumo priemones, tokias kaip kelių faktorių autentifikavimas, ribotas priėjimas prie įmonės vidinių resursų ir t. t.

Dabartiniame kontekste, kalbant apie VPN, aktualūs keli klausimai, pastebi „Blue Bridge“ vyresnysis sistemų inžinierius Audrius Biveinis. Pirmasis klausimas – ką daryti organizacijoms, kurios šiuo metu jungiasi prie vidinių sistemų tiesiog per internetą, be VPN. „Gali atrodyti, kad laikinai galima leisti sau gyventi be VPN. Tačiau piktavaliams aptikti tokį ryšį greitai ir perimti juo keliaujančią informaciją – paprasta ir pigu. Tam užtenka, pavyzdžiui, nemokamų ir viešai prieinamų įrankių“, – sako pašnekovas.

Ką reikia žinoti, ruošiantis diegti VPN?

Antrasis svarbus klausimas – kokį VPN pasirinkti toms organizacijoms, kurios norėtų naudoti šį sprendimą kuo greičiau.

„VPN galima apibūdinti kaip standartinių protokolų rinkinį. Šių standartų yra įvairių. Kiekvienas gamintojas pasirenka, kuriuos iš standartų naudoti ir pritaiko juos savo VPN programinei įrangai – vadinamam „klientui“. Jis diegiamas ir į infrastruktūrą, ir į darbuotojų kompiuterius. IT infrastruktūroje VPN serverio rolę dažniausiai atlieka tinklo ugniasienė. Taigi – renkantis, kokį VPN naudoti, reikia įsitikinti, kad kompiuteryje ir fizinėje infrastruktūroje diegiami „klientai“ būtų suderinami. Pavyzdžiui, jeigu naudojate ugniasienę, palaikančią VPN funkciją, ir „Microsoft“ operacinę sistemą kompiuteriuose, svarbu įsitikinti, kad šie du standartai „susišnekėtų“, – pasakoja A. Biveinis.

Tiems, kas neturi jokios įrangos, palaikančios VPN, reikėtų įsigyti, pavyzdžiui, ugniasienę, ir tik tuomet diegti VPN programinę įrangą. „Daugumą VPN sprendimų neužtenka „įjungti“, dažniausiai juos reikia integruoti į įmonės tinklą, konfigūruoti serveriuose, ugniasienėse ar kitoje įrangoje, atlikti testus“, – pažymi pašnekovas ir priduria, kad VPN konfigūravimo trukmė priklauso nuo daugelio kintamųjų – kompiuterinių darbo vietų skaičiaus, turimos duomenų centro įrangos, to, ar bus naudojamas kelių faktorių autentifikavimo sprendimas ir t. t.

Patartina išnaudoti papildomas saugumo galimybes

Apsisprendus diegti VPN, reikėtų išnaudoti šio sprendimo suteikiamas papildomas saugumo galimybes, sako „Blue Bridge“ vyresnysis sistemų inžinierius.

„Pavyzdžiui, VPN leidžia užtikrinti, kad prisijungti negalėtų bet kuris IP adresas. Taip pat galima apsaugoti prieigą prie VPN kelių faktorių autentifikavimo sprendimais. Kelių faktorių autentifikavimo sprendimai dabar ypač aktualesni, nes ir pasaulinė, ir Lietuvos statistika liudija, kad vien slaptažodžių apsaugoti bet kokioms paskyroms ir duomenimis jau nebeužtenka“, – pastebi A. Biveinis.

„Blue Bridge“ atstovas taip pat atkreipia dėmesį, norint naudoti kelių faktorių autentikavimo sprendimą kartu su VPN, juos reikia tarpusavyje suderinti ir konfigūruoti ir duomenų centro programinėje įrangoje, ir naudotojų kompiuteriuose.

Antrojo faktoriaus sprendimai padės ir neturintiems VPN

Vis dar papildoma saugumo priemone laikomas kelių faktorių autentifikavimas, šiuo metu gali pagelbėti net toms įmonėms, kurios nenaudoja VPN.

Kaip pastebi „Hermitage Solutions“ saugumo specialistas Marius Kaukėnas, net blogiausią saugumo požiūriu scenarijų, kai duomenys iš vidinių sistemų keliauja nešifruotu kanalu arba darbuotojai darbui iš namų naudoja asmeninius kompiuterius, gali šiek tiek pagerinti antrojo faktoriaus autentifikavimo sprendimai.

„Jei įmonė neturėjo nei laiko, nei galimybės pasirūpinti IT infrastruktūrą apimančiu saugumu, reikėtų pradėti naudoti bent jau antrojo faktoriaus autentifikavimą prisijungimui prie naudotojų paskyrų“, – akcentuoja pašnekovas ir primena, kad kelių faktorių autentifikavimo sprendimai – tai antras naudotojo tapatybės patvirtinimas po slaptažodžių ir naudotojo vardo. Tokie sprendimai gali būti kodų generatoriai, programėlės išmaniajame, autentifikavimo raktai.

Proga išbandyti sprendimą, kurį naudoja žymiausios IT įmonės

Tarp antrojo faktoriaus sprendimų Marius Kaukėnas išskiria švedų gamintojo autentifikavimo raktą „YubiKey“, kuris pasaulyje spėjo išgarsėti dar prieš 5-6 metus.

Šį nedidelį fizinį įrenginį prisijungimui prie darbinių paskyrų naudoja „Google“, „AWS“ ir „Microsoft“ darbuotojai, Prancūzijos prezidentas Emmanuelis Macronas bei daugelis kitų įtakingų politikų bei verslininkų.

„Laimei, šis sprendimas, kainuojantis nuo 15 iki 100 eurų, yra prieinamas plačiam žmonių ir įmonių ratui“, – sako M. Kaukėnas ir priduria, kad kaina ir naudojimo paprastumas drauge su dideliu patikimumu – svarbiausi šio sprendimo privalumai.

USB pavidalo apsauga

Raktas „YubiKey“ gali būti USB C arba USB A tipo. Šį įrenginį reikia įdėti į USB lizdą kompiuteryje, priliesti, palaukti, kol bus inicijuotas prisijungimas ir sugeneruotas šifruotas unikalus vienkartinis kodas, kuris įvedamas taip pat automatiškai.

„Svarbu pažymėti, kad net jei naudotojas raktą pames, niekas kitas negalės juo pasinaudoti, nes nežinos, koks rakto prisijungimo vardas bei slaptažodis ir negalės identifikuoti naudotojo“, – pastebi M. Kaukėnas ir priduria, kad „YubiKey“ raktai gali palaikyti 100-200 tarpusavyje nesusijusių paskyrų, todėl darbuotojai gali naudoti šį raktą ir darbo, ir asmeninėms reikmėmis.

Kaip pradėti naudoti pažangų sprendimą dabar?

Kalbėdamas apie įmonių galimybes pradėti naudoti autentifikavimo raktus šiuo metu, M. Kaukėnas atkreipia dėmesį, kad sprendimo diegimas dažniausiai paprastas, jei naudojamasi, pavyzdžiui, „Office 365“ paslaugomis/

„Šiuo atveju turėsite „passwordless“ (liet. be slaptažodžio) sprendimą. Naudotojui nebereikės naudoti savo naudotojo vardo ir slaptažodžio, užteks įvesti tik PIN kodą ir fiziškai paliesti įrenginį. Beje, PIN kodas yra laikomas saugesniu autentifikavimo metodu nei slaptažodis, be to, šis įrenginys apsaugo ir nuo „phishing“ ir kitų grėsmių, nuo kurių nesaugo kelių faktorių autentifikavimo programėlės išmaniuosiuose. Todėl naudodami „Yubikey“ šiame scenarijuje, turėsite aukščiausią įmanomą saugumo lygį“, – paaiškina M. Kaukėnas.

„Kita vertus, jeigu kalbame apie sudėtingesnes vidines sistemas, kurių paskyras norima apsaugoti, reikės papildomų integracijos bei konfigūravimo darbų ir pačioje sistemoje, ir naudotojų kompiuteriuose“, – sako pašnekovas.

Hermitage Solutions“ saugumo specialistas Marius Kaukėnas.