TeamQuest Blog

National Security Agency doradza, jak wybrać bezpieczne narzędzia pracy zdalnej

National Security Agency doradza, jak wybrać bezpieczne narzędzia pracy zdalnej

Maciej Olanicki , 02.05.2020 r.

Wybuch pandemii zmuszający nas do pracy zdalnej wzbudził bardzo duże zainteresowanie oprogramowaniem służącym do komunikacji, zwłaszcza do wideorozmów. Szybko to zainteresowanie poszerzyło się o kwestię ochrony bezpieczeństwa i prywatności oferowanych przez wspomniane narzędzia. Jeśli ktoś uważa, ze można w tej materii polegać na rekomendacjach amerykańskiej National Security Agency, to ta właśnie przygotowała stosowny raport.

Kryteria NSA dot. bezpieczeństwa pracy zdalnej

W dokumencie „Wybór i bezpieczne użytkowanie usług służących współpracy w pracy zdalnej” NSA dzieli się kryteriami, jakimi można się kierować przy wyborze bezpiecznych komunikatorów, czy też – co faktycznie lepiej oddaje możliwości dzisiejszych komunikacyjnych kombajnów posiadających często funkcję m.in. dzielenia się plikami czy przeprowadzaniem wieloosobowych rozmów audio i wideo – usług służących współpracy. Według ekspertów amerykańskiej agencji bezpieczny komunikator spełnia dziewięć podstawowych wymogów:

  • Dostępność szyfrowania end-to-end.
  • Szyfrowanie end-to-end musi wykorzystywać „silne, powszechnie znane i możliwe do testowania” standardy.
  • Dostępność uwierzytelniania wieloskładnikowego.
  • Użytkownicy powinni widzieć i kontrolować to, kto może połączyć się z trwającą sesją.
  • Polityka prywatności nie powinna pozwalać dostawcy usługi na dzielenie się danymi z firmami trzecimi.
  • Usługa powinna umożliwiać użytkownikom bezpieczne usunięcie swoich danych.
  • Usługa powinna mieć otwarty kod źródłowy.
  • Usługa powinna być audytowana lub certyfikowana przez specjalizującą się w tym zakresie firmę o uznanym autorytecie lub instytucję rządową. Gwarancją ma tu być walidacja w programie FEDRAMP.
  • Należy unikać usług, które operują (np. przechowują fizycznie dane) w państwach, w których dane mogą być narażone na niebezpieczeństwo.

Trzeba przyznać, że w raporcie opublikowanym przez NSA to ostatnie kryterium wybrzmiewa dość ironicznie. Zwłaszcza, że za takie państwo nie są uznawane Stany Zjednoczone. Niemniej jednak można zgodzić się, że kryteria te są rozsądne i mogą być faktyczną pomocą w ocenie komunikatorów.

Dobre praktyki według NSA

Agencja nie poprzestaje jednak na sformułowaniu kryteriów i doradza także, jak korzystać ze współczesnego oprogramowania telekomunikacyjnego, choć w dużej części rady te stanowią kontynuację kryteriów. NSA sugeruje m.in., by korzystać z oprogramowania spełniającego wymogi rządowe, sygnalizuje też, by zwracać uwagę na źródło pochodzenia aplikacji, tak aby uniknąć phishingu czy niebezpiecznych skutków przejęcia łańcuchów dostaw. Ponadto użytkownicy powinni upewnić się, że szyfrowanie jest włączone, a także korzystać z możliwie jak najbezpieczniejszych kanałów dostarczania zaproszeń. Amerykańskie służby zalecają, by przed rozpoczęciem konferencji i już podczas jej trwania organizator weryfikował, czy uczestniczą w niej tylko pożądane osoby, a także upewnił się, że dane współdzielone są tylko z użytkownikami, którzy powinni mieć do nich dostęp. Ostatnia dobra praktyka – o którym często dziś zapominamy – to upewnienie się, że w fizycznym otoczeniu komputera nie znajdują się urządzenia zdolne do zbierania głosu, nagrywania wideo czy przechwytywania danych.

nsa-tabela

Biorąc pod uwagę przytoczone kryteria i praktyki, NSA sporządziło tabelę uwzględniającą najpopularniejsze dziś narzędzia do współpracy. Niestety, nie ma co liczyć na to, że którekolwiek z nich spełnia wszystkie warunki. Niezwykle blisko było Cisco Webex, jednak producent nie udostępnia kodu źródłowego programu. Dobry wynik uzyskał także Signal, jednak nie przeszedł on certyfikacji. Eksperci NSA są także zdania, że obsługa E2EE w Zoomie jest częściowa, z czym można się spierać. Wszak albo szyfrowanie jest end-to-end, albo nie. Niewątpliwie jednak z zaleceniami warto się zapoznać. Raport jest dostępny na stronach NSA.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej