Napjainkban kevés olyan szervezet van a világban, ahol az informatika nem szövi át a mindennapokat. Ha a szervezet létfontosságú folyamatai nem is függnek informatikai rendszerektől, a kommunikáció ma már szinte kizárólag informatikai eszközökön zajlik, hiszen a telefonok és a számítógépek funkcionalitás-oldalon gyakorlatilag összeértek.
A világ felgyorsulásával és az információk felértékelődésével eltűntek azok a térbeli és időbeli határok, amelyek az információkhoz való hozzáférés kereteit korábban meghatározták. Egyre nagyobb az igény, hogy a szervezeti információkhoz távolról is hozzáférjenek a munkavállalók.
Véleményem szerint ez nem arról szól – és talán később sem arról fog szólni –, hogy mindenkinek, mindenkor, mindenhez hozzá kell férnie. Jól elkülöníthetőek azok a funkciók és informatikai rendszerek, amelyek esetében meg kell határozni a szükséges és elégséges hozzáférést. Tekintve, hogy egy távoli hozzáférés esetén a korábban fizikailag is jól védett környezet és az ismert és jól védhető határok eltűntek, a szervezeteknek teljesen új kihívásokkal kell szembenézniük.
A jó hír, hogy évek óta elérhetőek azok a technológiák, amelyekkel egy távoli hozzáférést biztonságossá tudunk tenni, legyen szó akár egy számítógépről, akár egy okostelefonról. A távoli hozzáférés esetén érdemes végiggondolni azokat a kiemelt pontokat, amelyek az építőkövei egy ilyen kapcsolatnak. Első lépésként ki kell választani azokat az informatikai rendszereket, adatokat és munkaköröket, amelyek esetében szeretnénk a távoli hozzáférést engedni. Ha fentiek kiválasztásra kerültek, akkor szükséges a megfelelő jogosultsági, engedélyezési folyamatokat meghatározni. Ezzel párhuzamosan ki kell alakítani a távoli hozzáférést ténylegesen megvalósító rendszereket.
Távoli hozzáférés főbb szintjei:
1. A legalapvetőbb távolról is elérni kívánt funkció a szervezeti levelezés elérése. Erre számos megoldás létezik, a lényege, hogy a levelezésen kívül a munkavállaló nem ér el semmilyen más erőforrást a szervezetben.
2. A következő szint a szervezeti erőforrások kontrollált elérése, itt már akár fájlszervert és üzleti alkalmazásokat is elérhet a dolgozó.
3. A harmadik, legkockázatosabb szint pedig azon informatikus munkatársak hozzáférése, akik az egész szervezet informatikai rendszereit felügyelik, ha szükséges, akár adminisztrátori jogosultságokkal. A vezetők rémálma, hogy egy ilyen adminisztrátori hozzáférés kompromittálódik és a támadó a teljes hálózat és minden erőforrás és adat fölött megszerzi a felügyeletet.
A biztonságos távoli elérés alapkövetelményei
Az első lépés a titkosított adatkapcsolat, valamilyen megfelelő titkosítási algoritmussal védett csatorna használatával.
Ezt követően a legfontosabb, hogy a VPN (Virtual Private Network) kapcsolat felépítését megelőzően ki lehessen kényszeríteni azt a szabályrendszert, amit a szervezet az adatainak védelmében elvár. Ezen ellenőrzések vonatkozhatnak a felhasználói számítógép vírusmentességére, a patcheltségi szintjére, a támogatott szoftververziókra és számos egyéb funkcióra, beállításra.
A felhasználó és az általa használt eszköz biztonságos azonosítása. Erre számos megoldás van, javasolt a kétfaktorú, tehát tudás és birtoklás-alapú azonosítás használata (one time password – token/sms vagy egyéb eszközzel létrehozva, felhasználói tanúsítvány chipkártyán stb.). Eszközök esetén pedig az eszköztanúsítvány használata javasolt.
Ha már felépült a kapcsolat, az eszköz és a felhasználó is be van azonosítva, sikeres volt a belépés, és a felhasználó hozzáfért a számára engedélyezett rendszerekhez, szerepkörökhöz és funkciókhoz, akkor még mindig nem ér véget a történet.
Ugyanis hacsak nem terminálszerveres megoldást használunk, a felhasználó oldalán adatok fognak maradni, akár temporális fájlokban, akár szándékosan lementett módon. Tehát távoli hozzáférés esetén gondolnunk kell arra is, hogy mi történik a kapcsolat fennállása közben és a kapcsolat megszakadása, lebontása után. Fontos a munkaállomás diszkjének titkosítása mellett az adatok és fájlok szerzői jogi vagy fájlszintű jogosultságvédelme (DRM), a szükséges szintű naplózás beállítása és elemzése.
Célszerű korlátozni valamilyen adatszivárgás-megelőzési megoldással, hogy az adatok a számítógép perifériáin keresztül (usb-tárolók, nyomtatók, bluetooth stb.) illetéktelen kezekbe kerüljenek. Ha tiltani nem is tudjuk, akkor legyen nyilvánvaló a felhasználó számára, hogy a tevékenysége naplózódik, visszakövethető és ez alapján ő felelősségre vonható.
Nem szabad elfeledkezni azokról a kontrollokról sem, amelyek nem szorosan a technológiához kapcsolódnak, de jelentősen emelni tudják a biztonsági szintet. A felhasználók megfelelő hozzáállása, biztonságtudatossága kulcsfontosságú általában is, de kifejezetten fontos olyan felhasználóknál, akik távolról, utazás során, otthonról vagy csak egy távoli telephelyről érik el a szervezet informatikai infrastruktúráját és adatait.
