Kiberdrošība attālinātam darbam

Kiberdrošības labākās prakses attālinātam darbam — VPN, galapunktu aizsardzība, mājas tīkla drošība, BYOD politikas un mākoņpakalpojumi.

2025. gada 5. decembris
securIT

Attālinātais un hibrīdais darbs ir kļuvis par normu Latvijas uzņēmumos. Pēc pandēmijas pieredzes daudzi uzņēmumi ir saglabājuši elastīgos darba modeļus, un darbinieki regulāri strādā no mājām, kafejnīcām vai kovorking telpām. Tomēr katra iekārta ārpus biroja tīkla ir potenciāls uzbrukuma vektors, un tradicionālais perimetra drošības modelis vairs nedarbojas.

Šajā rakstā apskatīsim, kā nodrošināt kiberdrošību, kad darbinieki strādā ārpus biroja — no VPN un galapunktu aizsardzības līdz mājas tīkla konfigurācijai un BYOD politikām.

Kāpēc attālinātais darbs palielina kiberriskus

Attālinātā darba drošības izaicinājumi ir fundamentāli atšķirīgi no biroja vides:

Nekontrolēta tīkla vide. Birojā IT komanda kontrolē tīklu — ugunsmūri, IDS/IPS, tīkla segmentēšanu. Mājas tīklā darbinieks bieži izmanto noklusēto rūtera konfigurāciju ar vāju paroli.

Personīgās iekārtas. Ja uzņēmumam nav striktas iekārtu politikas, darbinieki var izmantot personīgos datorus, kas nav atjaunināti un uz kuriem ir instalēta neverificēta programmatūra.

Fiziskā drošība. Birojā ir piekļuves kontrole un videonovērošana. Mājās ekrānu var redzēt ģimenes locekļi vai viesi. Kafejnīcā kāds var skatīties pār plecu.

Komunikācijas kanāli. Attālinātie darbinieki vairāk paļaujas uz e-pastu un čatu, kas padara viņus ievainojamākus pret pikšķerēšanu un sociālo inženieriju, jo trūkst iespējas ātri pārjautāt kolēģim klātienē.

VPN — obligāts pamats

Virtuālais privātais tīkls (VPN) šifrē datu trafiku starp darbinieka iekārtu un uzņēmuma resursiem. Tas ir minimālais obligātais pasākums attālinātajam darbam.

VPN ieviešanas rekomendācijas:

  • Izmantojiet uzņēmuma VPN, nevis bezmaksas patērētāju VPN pakalpojumus, kas var pārdot datus vai nenodrošināt pietiekamu drošību.
  • Pieprasiet MFA VPN pierakstīšanās procesā. VPN bez MFA ir tikai daļēja aizsardzība.
  • Split tunneling — rūpīgi izvērtējiet, vai atļaut split tunneling (tikai uzņēmuma trafiks caur VPN). Pilnais tunelis ir drošāks, bet lēnāks. Lēmums atkarīgs no uzņēmuma riska profila.
  • Always-on VPN — ideāli, VPN savienojums tiek izveidots automātiski, kad iekārta ir ieslēgta, bez lietotāja iejaukšanās.
  • Regulāri atjauniniet VPN programmatūru — VPN klienti un serveri regulāri kļūst par uzbrukumu mērķi, ja nav atjaunināti.

Galapunktu aizsardzība (Endpoint Protection)

Katra darbinieka iekārta ir potenciāls ieejas punkts uzņēmuma tīklā. Galapunktu aizsardzība ir kritiska:

EDR (Endpoint Detection and Response) — moderns antivīruss ar uzvedības analīzi, kas spēj atklāt arī jaunus, vēl neklasificētus draudus. Atšķirībā no tradicionālā antivīrusa, EDR monitorē procesu uzvedību un var automātiski izolēt inficētu iekārtu.

Diska šifrēšana — BitLocker (Windows) vai FileVault (macOS) nodrošina, ka nozaudēta vai nozagta iekārta neatklāj uzņēmuma datus. Šifrēšanai jābūt iespējotai uz visām darbstacijām bez izņēmumiem.

Centralizēta iekārtu pārvaldība (MDM/UEM) — risinājumi kā Microsoft Intune vai Jamf ļauj IT komandai attālināti pārvaldīt iekārtas — instalēt atjauninājumus, konfigurēt drošības politikas un, ja nepieciešams, attālināti dzēst datus.

Automātiskie atjauninājumi — konfigurējiet iekārtas automātiski instalēt drošības atjauninājumus. Neļaujiet darbiniekiem atlikt atjauninājumus bezgalīgi.

Mājas tīkla drošība

Darbinieku mājas tīkls ir bieži aizmirsts drošības aspekts. Minimālās rekomendācijas:

  • Mainiet rūtera noklusēto paroli — rūpnīcas paroles ir publiski zināmas. Mainiet gan administrēšanas paroli, gan Wi-Fi paroli.
  • Izmantojiet WPA3 šifrēšanu (vai vismaz WPA2-AES). Nekad neizmantojiet WPA vai WEP.
  • Atjauniniet rūtera programmatūru (firmware) — regulāri pārbaudiet un instalējiet atjauninājumus.
  • Izveidojiet atsevišķu tīklu darbam — ja rūteris atbalsta viesu tīklu vai VLAN, izveidojiet atsevišķu tīklu darba iekārtām, nodalītu no personīgajām ierīcēm un IoT.
  • Izslēdziet WPS — Wi-Fi Protected Setup ir zināms ar drošības ievainojamībām.

Uzņēmums var sagatavot darbiniekam vienkāršu mājas tīkla drošības ceļvedi ar konkrētiem soļiem.

BYOD politika

BYOD (Bring Your Own Device) — kad darbinieki izmanto personīgās iekārtas darbam — ir izplatīta prakse, bet bez skaidras politikas tā rada nopietnus riskus.

BYOD politikas galvenie elementi:

  • Minimālās drošības prasības — obligāts antivīruss/EDR, diska šifrēšana, automātiskie atjauninājumi, ekrāna bloķēšana.
  • MDM/MAM ieviešana — iekārtu pārvaldība vai lietotņu pārvaldība, kas ļauj nodalīt darba un personīgos datus.
  • Datu dzēšanas tiesības — uzņēmumam jābūt tiesībām attālināti dzēst darba datus no iekārtas (piemēram, ja darbinieks aiziet).
  • Atļautā un aizliegtā programmatūra — saraksts ar aizliegtajām lietotnēm (piemēram, neoficiāli mākoņa krātuves pakalpojumi).
  • Atbalstītās operētājsistēmas versijas — neatbalstītas OS versijas (piemēram, Windows 10 pēc atbalsta beigām) nav atļautas.

Alternatīva BYOD ir uzņēmuma nodrošinātas iekārtas, kas pilnībā kontrolētas — drošāk, bet dārgāk.

Mākoņpakalpojumu drošība attālinātajā darbā

Attālinātais darbs nozīmē lielāku atkarību no mākoņpakalpojumiem — Microsoft 365, Google Workspace, CRM, projektu vadības rīki. Drošības pasākumi:

  • MFA visiem mākoņa kontiem — bez izņēmumiem. Skatiet mūsu paroļu politikas ceļvedi.
  • Nosacījumu piekļuve (Conditional Access) — ierobežojiet piekļuvi balstoties uz iekārtas stāvokli, atrašanās vietu un lietotāja risku.
  • Datu zaudēšanas novēršana (DLP) — konfigurējiet DLP politikas, lai novērstu konfidenciālu datu nosūtīšanu ārpus uzņēmuma.
  • Mākoņa drošības monitoringsSOC uzraudzība aptver arī mākoņpakalpojumu žurnālus un var identificēt aizdomīgas aktivitātes (piemēram, pierakstīšanos no neparastas atrašanās vietas).

Plašāku informāciju par mākoņu drošību lasiet rakstā Kiberdrošība mākoņpakalpojumiem.

Drošības kultūra attālinātajā komandā

Tehniskie risinājumi ir nepieciešami, bet nepietiekami. Attālinātajā komandā īpaši svarīga ir drošības kultūra:

  • Regulāras kiberdrošības apmācībaspikšķerēšanas simulācijas un mikroapmācības. Attālinātie darbinieki ir ievainojamāki pret sociālo inženieriju.
  • Skaidrs incidentu ziņošanas process — darbiniekiem jāzina, kam un kā ziņot par aizdomīgām aktivitātēm, arī strādājot no mājām.
  • Drošas komunikācijas kanālu noteikumi — kādi kanāli ir atļauti konfidenciālai komunikācijai (šifrēti) un kādi — nav.
  • Regulāras pārbaudes — nevis lai sodītu, bet lai identificētu un novērstu problēmas, pirms tās izraisa incidentu.

Biežāk uzdotie jautājumi (BUJ)

Vai bezmaksas VPN ir pietiekami drošs attālinātajam darbam? Nē. Bezmaksas VPN pakalpojumi bieži pārdod lietotāju datus, ievada reklāmas vai nodrošina vāju šifrēšanu. Uzņēmumam nepieciešams savs VPN serveris vai uzticams uzņēmuma līmeņa VPN pakalpojums. Ieguldījums ir neliels salīdzinājumā ar riskiem.

Kā nodrošināt drošību, kad darbinieks strādā no kafejnīcas? Obligāts VPN, kas šifrē visu trafiku. Ekrāna privātuma filtrs (privacy screen), kas neļauj blakus sēdošajiem redzēt ekrānu. Nepievienojieties atvērtiem Wi-Fi tīkliem bez VPN. Nestrādājiet ar ļoti konfidenciāliem datiem publiskās vietās. Un vienmēr bloķējiet ekrānu, atstājot iekārtu bez uzraudzības.

Vai uzņēmumam jānodrošina iekārtas vai var ļaut izmantot personīgās? Uzņēmuma nodrošinātas iekārtas ir drošāk — tās ir pilnībā kontrolētas, ar pareizām konfigurācijām un centralizētu pārvaldību. BYOD ir pieņemams, ja ir strikta politika un MDM/MAM risinājums. Ideāli — kritiskajiem darbiniekiem (finanšu nodaļa, IT, vadība) nodrošiniet uzņēmuma iekārtas, pārējiem — BYOD ar stingriem noteikumiem.

Kā SOC palīdz aizsargāt attālinātos darbiniekus? SOC uzrauga ne tikai biroja tīklu, bet arī VPN savienojumus, mākoņpakalpojumu žurnālus un galapunktu EDR brīdinājumus. Tas nozīmē, ka arī attālināta darbinieka iekārta ir uzraudzīta — aizdomīga aktivitāte tiek atklāta un izmeklēta neatkarīgi no darbinieka atrašanās vietas.

Vai vēlaties uzlabot sava uzņēmuma kiberdrošību? Sazinieties ar securIT[email protected] vai +371 27555221.