Amennyiben a vállalatnak a nagy hirtelenséggel tömegessé váló távmunka hatására nem sikerült a felhasználókat teljes mértékben a vállalati védvonalakon belül tartani – bármely always-on jellegű VPN megoldás bevezetésével -, a válasz számunkra egyértelmű, igen.
A munkaállomások integrálása a központi naplógyűjtő és elemző (az egyszerűség kedvéért a továbbiakban SIEM) rendszerekbe tapasztalatunk szerint csak a legritkább esetben – pl. egy, a munkaállomáson futó célalkalmazás kikapcsolását szerette volna nyomon követni a vállalat – történt meg, melynek a főbb okai az alábbiak voltak:
- A vállalati domain környezetben munkát végző felhasználók nyomai, így a naplózandó események a domain kiszolgálókon, a központilag menedzselt szoftverek menedzsment konzoljain, hálózati alkalmazások adatbázisaiban és alkalmazás naplóiban, vagy a vállalati átjárókon nyomon követhetőek voltak,
- A SIEM termékek licenc politikája általában a feldolgozott eseményszámhoz – EPS, adatbázis méret, napi logmennyiség, stb. – köthető, így egy költség-haszon elemzésen is könnyen elbukott a bevonás,
- A hazai felügyeleti szervek (MNB, NEIH, ÁSZ, stb.) és a tanúsítással foglalkozó szervezetek (Hunquard, ISO27001 tanúsító szervezetek, stb.) sem követelik meg explicit a munkaállomások bevonását, kockázatarányos megközelítést javasolnak, mely az első pont alapján szintén a munkaállomások kihagyásához vezethetett.
A fenti kockázatértékelést viszont, véleményünk szerint, jelen helyzetben felül kell vizsgálni, figyelemmel arra, hogy a vállalat milyen módszerrel tudta biztosítani a hirtelen és tömeges távmunka bevezetését:
- Sikerült-e a korábban említett, always-on jellegű VPN megoldást bevezetni,
- Kizárólag vállalati, hardeningelt munkaállomásokon és VPN-en keresztül elérhető vállalati alkalmazásokkal folyik a munkavégzés, de a VPN kapcsolat kiépítése már csak manuálisan és esetlegesen történik meg a felhasználók által,
- Kizárólag vállalati, hardeningelt munkaállomásokon, de a vállalati infrastruktúrát már egyre nagyobb számban elhagyó, felhő alkalmazásokkal támogatott a munkavégzés,
- A munkaállomások hardeningjére nem volt idő, valamint a végpontvédelmi megoldások integrációja nem, vagy csak részben történt meg,
- A hirtelen jött változások a vállalat BYOD politikájának lazulásához vezettek, és a munkavégzés saját munkaállomáson is engedélyezett.
Amennyiben a kockázatértékelés alapján a bevonásról születik döntés, javasoljuk legalább az alábbi események bevonásának megfontolását és a megfelelő riportok, riasztások kialakítását. Természetesen a naplózandó események köre függ attól, hogy a munkaállomáson mi engedélyezett az érvényes hardening beállítások mellett.
- Legalább 5 sikertelen bejelentkezési kísérlet (bármilyen okból) a munkaállomáson 10 percen belül,
- Szoftver/alkalmazás (msi csomag) telepítése,
- Alkalmazások (Windows szolgáltatás) indítása és leállítása, különös figyelemmel, ha van kötelezően futtatandó alkalmazás (pl. time tracking, hangrögzítés, stb.)
- LOGNESS Windsender, vagy bármilyen egyéb, a naplótovábbításért felelős alkalmazás leállítása a munkaállomáson,
- Naplózási szolgáltatás (eventlog service) leállítása a munkaállomáson,
- Felhasználói fiók létrehozása, törlése, zárolása,
- Vírusvédelmi szoftver leállítása a munkaállomáson,
- Vírusvédelmi szoftver eredménytelen műveletet hajt végre a munkaállomáson,
- Remote Desktop alkalmazások használata munkaállomáson,
- Felhasználó USB adathordozót csatlakoztat,
- Rendszeridő megváltoztatása a munkaállomáson,
- Audit policy megváltoztatása a mnnkaállomáson.
A bevonás során javasoljuk, hogy az alábbiak tekintetében különös körültekintéssel járjatok el:
- A munkaállomásokra külön audit beállítások (külön GPO) alkalmazása javasolt, így csökkenthető a naplók számossága, a munkaállomás erőforrásainak igénybe vétele, valamint a VPN-re való csatlakozás időtartama alatt átküldhetők lesznek a gyűjtött naplók,
- Javasoljuk az agentek GPO-ból történő telepítését és konfigurálását, valamint az agentek leállíthatóságának korlátozását, az audit leállításának és a biztonsági naplók törlésének tiltását („normál” munkaállomás hardening)
- Agentek számára megfelelő puffer méret meghatározását, lehetőség szerint fájl puffer, mely összhangban van a felhasználók VPN szokásaival. Szükséges lehet a VPN-re történő kötelező napi csatlakozás előírása, mert a nagy tömegben felgyűlt naplók beküldése jelentős mértékben lassíthatja le a munkaállomást a jelentős CPU terhelés miatt,
- Szükséges a riasztási is riportolási szabályok meghatározása,
- Szükséges a munkaállomás privát használatának felülvizsgálata, figyelemmel az alábbi jogi szekcióban leírtakra.
Zárásul olvassátok el a munkaállomások bevonásával kapcsolatos jogi kitekintésünket:
- A munkavállalók saját, munkavégzés céljára is használt eszközeire a naplógyűjtés álláspontunk szerint nem terjeszthető ki, mivel a privát és munkahelyi naplók elválasztása csak nagyon speciális esetében – pl. munkát kizárólag egy lokálisan futtatott virtuális gépen végez, és kizárólag ennek a naplói kerülnek átküldésre – lehetséges,
- Az ellenőrzés csak a munkával összefüggésben történhet, a munkavállalók magánélete nem ellenőrizhető. Az ellenőrzés nem irányulhat a munkavállalók megfélemlítésére, megalázására, zaklatására, zavarására, és ezeket nem is eredményezheti.
- Amennyiben a privát használat nincs tiltva a vállalat által kiadott munkaállomásokon, a naplózást csak a vállalati policy-vel összhangban, szűk körben – pl. csak munkaidőben, ha munkaidőben a privát használat nem engedélyezett
- Engedélyezett, bár ennek technikai megvalósíthatósága több, mint kérdéses,
- A kizárólag munkavégzésre használható céges munkaállomások esetében is alapszabály, hogy a naplózás nem irányulhat a munkavállalók munkavégzésének megfigyelésére, a vállalati jogos érdek kizárólag a munkavállalók szigorúan célhoz kötött, ahhoz feltétlenül szükséges ellenőrzését alapozhatja meg álláspontunk szerint,
- A munkáltatónak a fokozatosság elvére figyelemmel lépcsőzetes ellenőrzési rendszert kell kidolgoznia, amelyben megfelelően érvényesülhet a személyes adatok védelme, illetve hogy az ellenőrzés minél kisebb mértékben érintse a munkavállalók magánszféráját,
- Mint más munkáltatói ellenőrzéseknél is, a munkáltatói jogos érdek lesz az adatkezelés jogalapja, ennek megfelelően a munkáltatónak el kell végeznie az érdekmérlegelés tesztjét a rendszer bevezetése előtt,
- Ne feledkezzen meg senki a munkavállalók előzetes tájékoztatásáról az új adatkezelés tekintetében, mely legalább kiterjed:
- hogy milyen célból, milyen munkáltatói érdekek miatt kerülhet sor az ellenőrzésre,
- milyen szabályok szerint kerül sor ellenőrzésre (fokozatosság elvének betartása) és mi az eljárás menete, ki fér hozzá a naplókhoz, riportokhoz,
- milyen jogai és jogorvoslati lehetőségei vannak a munkavállalóknak a „céges laptop” ellenőrzésével együtt járó adatkezeléssel kapcsolatban.
kép: varonis.com