Proces rozpoczęcia pracy zdalnej przez pracownika rozpoczyna się przeważnie od zalogowania do określonej usługi chmurowej. Do tego celu wykorzystuje on poświadczenia otrzymane od pracodawcy. W przeważającej większości przypadków jest to login do tego systemu nadany przez pracodawcę oraz hasło. W tym momencie pojawia się pierwsze zagrożenie. Pracownik, wprowadzając swój login i hasło do systemu, do którego się loguje, robi to w środowisku nienadzorowanym bądź zarządzanym przez pracodawcę.
Pracodawca, odbierając oświadczenie od pracownika o tym, że posiada warunki do pracy zdalnej, nie jest w stanie skontrolować każdego dnia każdego pracownika, czy jego miejsce pracy zdalnej jest właściwe. W takim przypadku pracownik musi być świadomy tego, że podczas każdorazowego logowania się do systemów chmurowych musi dokonywać tej czynności ze szczególną ostrożnością, tak aby nikt jego poświadczeń nie poznał.
Zabezpieczeniem przed udostępnieniem informacji przetwarzanych przez pracodawcę w wyniku ujawnienia poświadczeń pracownika do logowania się do systemów informatycznych może być wyposażenie go w tzw. drugi (2FA – ang. Two Factor Authentication; dwuskładnikowe uwierzytelnianie) lub kolejny składnik/czynnik uwierzytelniający (MFA – ang. Multi Factor Authentication; wieloskładnikowe uwierzytelnianie).
Pracownik, logując się do danego systemu chmurowego, łączy się z zasobami informatycznymi (najczęściej serwery z aplikacjami/systemami), które znajdują się w lokalizacjach dostarczanych przez dostawcę usługi. Oczywiście to pracodawca zarządza tą usługą i ją nadzoruje, ustala zasady dostępu do tej usługi chmurowej, wskazuje osoby uprawnione, mające dostęp do danej usługi chmurowej, ale, co do zasady, całość infrastruktury i oprogramowania jest dostarczana przez dostawcę usług chmurowych.
Proces uwierzytelniania (autentykacji) i autoryzacji pracownika w systemie chmurowym jest bardziej narażony w przypadku korzystania z usług chmurowych, niż gdy pracownik korzysta z systemów IT zlokalizowanych na terenie zakładu pracy.
Na terenie zakładu pracy to pracodawca ma pełną kontrolę nad siecią teleinformatyczną służącą do przetwarzania i przesyłania informacji pomiędzy pracownikami, komputerami, serwerami. W przypadku usług chmurowych bezpieczeństwo opiera się zazwyczaj na tym, jakie usługi skonfigurował i dostarczył dostawca usług chmurowych. Jednym z najczęściej wybieranych sposobów zabezpieczeń jest korzystanie z usług chmurowych poprzez aplikacje webowe (czyli takie, które działają w przeglądarkach stron internetowych), korzystające z bezpiecznych i zaszyfrowanych połączeń z wykorzystaniem protokołu SSL
SSL (ang. Secure Socket Layer) – protokół zapewniający poufność i integralność transmisji danych, a także uwierzytelnienie serwera, a niekiedy również klienta (użytkownika strony internetowej lub aplikacji webowej). . Aby jeszcze bardziej podnieść bezpieczeństwo takiego połączenia, można zastosować tzw. VPN (Virtual Private Network), czyli bezpieczne, prywatne, szyfrowane połączenia pomiędzy komputerem użytkownika (pracownika pracującego zdalnie) z serwerem dostarczanym przez dostawców usług chmury.
W tym miejscu jednak należy pamiętać, że zestawienie takiego połączenia VPN jest obarczone dodatkowym obciążeniem połączenia internetowego, z którego korzysta pracownik. Dlatego przy wyborze pracy zdalnej jednym z podstawowych czynników, jakie powinien pracodawca brać pod uwagę, jest prędkość połączenia i jakość tego połączenia internetowego, jakie pracownik może wykorzystać w lokalizacji, którą uzgodnił z pracodawcą.
Prędkość połączenia internetowego jest liczona w megabitach (Mb) lub gigabitach (Gb). Jeżeli chodzi o jakość, ważne są następujące parametry:
1) symetryczność łącza – czy tę samą prędkość będzie otrzymywał pracownik od dostawcy usług internetowych w zakresie ściągania i ładowania danych;
2) typ połączenia – czy jest to połączenie światłowodowe, tzw. przewód miedziany (koncentryczny), czy połączenie internetowe będzie realizowane radiowo – LTE.
Wymagania pracodawcy dotyczące jakości połączenia internetowego, typu połączenia czy jego prędkości mogą być różne dla różnych stanowisk pracy.
Inną jakość połączenia internetowego lub jego prędkość będzie potrzebował pracownik wykonujący pracę zdalną, pracujący na dużych plikach o dużych objętościach, np. opracowując wysokiej rozdzielczości pliki graficzne, filmy bądź pliki dźwiękowe o wysokich parametrach jakościowych. Dobrego połączenia internetowego będzie potrzebował także pracownik zajmujący się kompilacją programów komputerowych, wgrywaniem aktualizacji lub innych plików o dużych objętościach lub dużej liczbie plików czy danych. Natomiast pracownik pracujący na typowych aplikacjach biurowych, jak np. system pocztowy, arkusz kalkulacyjny, edytor tekstu, najprawdopodobniej nie będzie potrzebował wysokich parametrów połączenia internetowego.
Standardy dotyczące połączeń internetowych dla pracowników powinny być ustalane przez służby informatyczne pracodawcy na podstawie potrzeb danego stanowiska pracy. Brak połączenia, zrywanie połączenia, utrata połączenia mogą mieć wpływ na bezpieczeństwo informacji, w tym danych osobowych przetwarzanych przez pracownika w trakcie pracy zdalnej. Niższe parametry łącza internetowego pracownika pracującego zdalnie nie będą miały zazwyczaj wpływu na bezpieczeństwo, jednak mogą wpływać na wydajność i efektywność pracy takiego pracownika. Dlatego warto dobrze przeanalizować, jakiego typu i jakiej jakości połączenia internetowe mają pracownicy, którzy mają się udać na pracę zdalną.
Jednym z poważniejszych zagrożeń, które może wystąpić przy pracy zdalnej z wykorzystaniem usług chmurowych, jest utrudniony dostęp do wsparcia służb informatycznych pracodawcy.
Pracownik pracujący w zakładzie pracy, który zorientował się, że najprawdopodobniej wystąpiło jakieś zagrożenie lub wystąpiła jakakolwiek inna sytuacja w trakcie obsługi komputera, może zawsze podejść i zwrócić się o pomoc lub weryfikację pracowników komórek informatycznych. W przypadku pracownika pracującego zdalnie (niezależnie od tego, czy jest to rozwiązanie chmurowe czy nie) pracownik w jakiś sposób musi się skontaktować ze wsparciem informatycznym pracodawcy. Jeżeli komunikacja w takich wypadkach odbywa się za pomocą komputera, pracownik może mieć utrudniony dostęp do pomocy w sytuacjach incydentów bezpieczeństwa. Dlatego jako zabezpieczenie warto rozważyć alternatywny kanał komunikacyjny, np. numer telefonu, pod który pracownik może zawsze zadzwonić z prośbą o pomoc.
Usługi chmurowe charakteryzują się tym, że są skoncentrowane w dużych centrach przetwarzania danych. Mają one wiele zabezpieczeń w postaci dodatkowych łączy telekomunikacyjnych, dodatkowych źródeł zasilania, kopie bezpieczeństwa więcej niż w jednym miejscu, wyspecjalizowane załogi wsparcia technicznego, służby ratownictwa i wiele innych elementów chroniących całą infrastrukturę i zapewniających ciągłość działania operatora usługi chmurowych. Jednakże w przypadku globalnych problemów – czy to z siecią telekomunikacyjną, czy z konkretnymi usługami – usługi chmurowe mogą się wiązać z przerwami w dostępie do infrastruktury lub systemów. Nie są to częste przypadki, jednak brak dostępu do usługi chmurowej oznacza zazwyczaj konieczność przerwania pracy zdalnej pracownika i brak możliwości kontaktu z pracodawcą (jeśli nie został ustanowiony alternatywny kanał komunikacyjny). Podobne problemy mogą wystąpić przy rozwiązaniu niechmurowym, czyli on-premise. Pracownik pracujący zdalnie nie wie, czy problem jest związany z jego komputerem, czy problemem jest usługa dostawcy chmury, czy jeszcze jakiś inny przypadek.
Pracownik korzystający z usług chmurowych zawsze powinien mieć możliwość alternatywnego kontaktu ze wsparciem technicznym, nie tylko za pomocą komunikatorów bądź systemów teleinformatycznych na swoim komputerze.
Tabela. Dobre i złe praktyki korzystania z rozwiązań chmurowych w pracy zdalnej
Dobre praktyki | Złe praktyki |
1. Wdrożenie drugiego składnika uwierzytelniającego (2FA) dla każdego pracownika (np. kod SMS, aplikacje autoryzujące na telefon Przykładowe darmowe aplikacje autoryzujące dostępne na smartfony: Microsoft Authenticator, Google Authenticator, Duo Mobile, Raivo OTP. ).2. Stosowanie przez pracowników bezpiecznych aplikacji do przechowywania haseł np. KeePass Aktualny stan wiedzy technicznej jest taki, że oprogramowanie KeePass jest bezpieczne do przechowywania haseł pod warunkiem zastosowania unikatowego i bezpiecznego hasła; zob. https://keepass.info/ (dostęp 10.2.2023 r.). (Windows), KeePassXC (macOS). 3. Szkolenia pokazujące przykłady, a nie omawiające teoretyczne aspekty. 4. Analiza, które stanowiska pracy wymagają jakich parametrów jakości łącza telekomunikacyjnego. 5. Zapewnienie numeru telefonu, pod którym pracownik zdalny będzie mógł zadzwonić po pomoc. 6. Zapewnienie wsparcia technicznego 10 h na dobę (1 h przed rozpoczęciem pracy pracowników oraz 1 h po zakończeniu pracy pracowników). |
1. Wymuszanie na pracowniku okresowej zmiany hasła co 30 dni.
2. Szkolenia dla pracowników omawiające teoretyczne zagadnienia. 3. Korzystanie z jednego hasła do wielu systemów czy usług. 4. Korzystanie z tego samego hasła do celów prywatnych i służbowych. 5. Zapisywanie haseł w telefonie, pod klawiaturą, na tyle kalendarza na biurku. 6. Udostępnianie haseł innym osobom (koleżankom, kolegom z pracy, członkom rodziny). |