InfrastrukturaCyberbezpieczeństwoPREZENTACJA PARTNERA
Lider cyfrowej rekrutacji o bezpieczeństwie pracy zdalnej
Case Study
Rozmawiamy z Mariuszem Turskim, Group Information Security Managerem w Grupie Pracuj.
W marcu 2020 roku Grupa Pracuj, ze względu na sytuację epidemiczną i dbając o bezpieczeństwo swoich pracowników, zdecydowała się przejść na pracę w trybie zdalnym. Było to możliwe m.in. dzięki odpowiednio przygotowanej architekturze IT oraz polityce bezpieczeństwa opartej o koncepcję Zero Trust.
Grupa Pracuj to lider rynku cyfrowej rekrutacji, działający od 20 lat w Polsce i na Ukrainie. Firma jest właścicielem marek Pracuj.pl, Robota.ua, eRecruiter, które wspólnie tworzą cyfrowy ekosystem dla świata HR. Z usług firmy skorzystało do tej pory ponad 60 000 klientów z 40 krajów. Już na początku marca 2020 roku, biorąc pod uwagę bezpieczeństwo pracowników, Zarząd Grupy Pracuj zdecydował o przejściu na pracę zdalną. „Obserwując sytuację w Polsce i innych krajach, już dwa tygodnie przed wprowadzeniem przez rząd pierwszych obostrzeń, rozpoczęliśmy rozmowy na temat konieczności uruchomienia procedur Business Continuity na wypadek braku możliwości korzystania z biur przez pracowników” – wspomina Mariusz Turski, Group Information Security Manager, Grupa Pracuj.
Wsparcie dla pracowników zdalnych
Kluczowym obszarem dla efektywnej pracy zdalnej, który należało zweryfikować przed podjęciem decyzji o pracy całkowicie zdalnej, była możliwość równoczesnego połączenia zdalnego i dostępu do wszystkich zasobów firmowych, tj. wewnętrzne aplikacje, poczta, serwery dla ponad 500 pracowników. „Przed podjęciem ostatecznej decyzji o pozostaniu w domach musieliśmy przeprowadzić testy wydajnościowe infrastruktury IT. Po weryfikacji okazało się, że architektura software’owa (m.in. wykorzystująca Microsoft 365) jak i sprzętowa jest optymalnie zaprojektowana przez dział IT Grupy Pracuj, czego dowodem było umożliwienie naszym pracownikom, właściwie z dnia na dzień, pracy zdalnej z pełnym dostępem do potrzebnych zasobów” – opowiada Mariusz Turski.
Od blisko roku prawie 95% pracowników Grupy Pracuj wykonuje zdalnie swoje obowiązki, a podstawowym narzędziem ich pracy i komunikacji stała się platforma Microsoft 365 z aplikacją Teams na czele. Teamsy wykorzystywane są nie tylko do przeprowadzania rozmów, konferencji czy szkoleń, ale również w innych celach: „W ramach Teams wdrożyliśmy m.in. funkcjonalność powiadamiania i alertowania o zdarzeniach z systemów bezpieczeństwa, np. o potencjalnym wykryciu kampanii phishingowej. To rozwiązanie znacznie skraca czas reakcji, co w przypadku incydentów jest kluczowe” – wyjaśnia Mariusz Turski.
Aby wesprzeć bezpieczeństwo pracowników i firmowych zasobów, Grupa Pracuj zdecydowała się na wdrożenie scentralizowanych narzędzi do kontroli i ochrony swoich zasobów. Wykorzystano do tego elementy pakietu Microsoft 365 E5 Security oraz Microsoft Enterprise Mobility + Security (EMS), w tym: dostęp warunkowy w ramach Azure Active Directory Premium, Azure MFA, Azure Information Protection, Microsoft Intune, Cloud App Security czy Microsoft Defender for Endpoint wraz z Microsoft AV.
„Integracje pomiędzy systemami ułatwiają nam zarządzanie całym środowiskiem. Między innymi wykorzystujemy jedną konsolę do weryfikacji zdarzeń i ich korelacji. Gromadzimy wiedzę o tym, co się dzieje np. na stacjach roboczych pracowników oraz prowadzimy pogłębioną analizę wykorzystując np. Advance Hunting. Dodatkowo wszystkie rozwiązania są stosunkowo proste do integracji z systemami klasy SIEM, co również znacznie ułatwia nam pracę” – mówi Mariusz Turski.
Ochrona dostępu do zasobów firmowych
„Warto pamiętać, że obecnie, gdy większość pracy wykonujemy zdalnie, komputer pracownika stał się bardziej narażony na zagrożenia (np. poprzez podłączanie do Internetu z sieci domowych). Przy prawie 600 stacjach roboczych niezbędna jest centralizacja, zdalne monitorowanie i zarządzanie umożliwiające aktualizację konfiguracji komputerów, w tym polityk bezpieczeństwa, instalację oprogramowania, ustawień firewall, antywirus czy monitorowania stanu podatności danej stacji roboczej na zagrożenia” – dodaje Mariusz Turski.
Przed podjęciem ostatecznej decyzji o pozostaniu w domach musieliśmy przeprowadzić testy wydajnościowe infrastruktury IT. Po weryfikacji okazało się, że architektura software’owa (m.in. wykorzystująca Microsoft 365) jak i sprzętowa jest optymalnie zaprojektowana przez dział IT Grupy Pracuj, czego dowodem było umożliwienie naszym pracownikom, właściwie z dnia na dzień, pracy zdalnej z pełnym dostępem do potrzebnych zasobów.
Mariusz Turski, Group Information Security Manager, Grupa Pracuj
Chcąc monitorować bezpieczeństwo tak złożonego środowiska IT niezbędny jest system dedykowany do zarządzania logami/zdarzeniami klasy Security Information and Event Management (SIEM), który umożliwia integrację i korelację zdarzeń z wielu systemów. „Dysponujemy rozliczalnością logów i to niezależnie od tego, której aplikacji, systemu czy zasobu informacje te dotyczą. Wybierając odpowiednie rozwiązania bezpieczeństwa należy zwrócić uwagę na możliwości integracji z systemami klasy SIEM – wpływa to na znaczną oszczędność czasu i budżetu podczas rozwoju systemu monitorowania” – podkreśla Mariusz Turski.
Bezpieczne uwierzytelnianie
Grupa Pracuj od wielu lat stosuje podwójną autentykację przy dostępie do danych i zasobów. Wykorzystywanie usługi podwójnej autentykacji (np. Azure MFA) powinno być już standardem dla wszystkich firm, które przetwarzają poufne dane lub dane osobowe. „Stosowanie mechanizmów MFA jest dla nas bardzo ważne, tym bardziej w kontekście wprowadzonej polityki Zero Trust. Jest również jednym z silniejszych i stosunkowo prostych do wdrożenia, dostępnych zabezpieczeń z punktu widzenia ochrony tożsamości użytkownika. Podwójną autentykację stosujemy do logowania się do poszczególnych usług, jak i zasobów firmowych. Jest to szczególnie istotne w kontekście zachowania poufności dostępu do przetwarzanych danych osobowych kandydatów i klientów Pracuj.pl” – mówi Mariusz Turski.
Edukacja pracowników w dobie pandemii
Nieustająco głównym zagrożeniem dla bezpieczeństwa stacji roboczych, które może doprowadzić do przejęcia kontroli i włamania się do organizacji, pozostaje phishing. Obecnie to zagrożenie jest jeszcze wyższe ze względu na pracę zdalną, brak kontaktu bezpośredniego z innymi pracownikami lub działem bezpieczeństwa, dodatkowe czynniki rozpraszające czy względne poczucie bezpieczeństwa w domu. „Podczas pracy zdalnej istnieje wiele dodatkowych czynników zewnętrznych, takich jak radio, telewizor, inni domownicy mających negatywny wpływ na naszą czujność, o czym przestępcy wiedzą i doskonale to wykorzystują. Obserwujemy nasilenie liczby przeprowadzanych kampanii phishingowych, coraz bardziej dopasowanych pod względem treści do obecnej sytuacji pandemicznej. Hakerzy wykorzystują fakt, że potencjalnie pracujemy zdalnie i jesteśmy mniej ostrożni. Warto rozważyć weryfikację obecnych ustawień konfiguracji filtrów antyspamowych i antyphishingowych oraz, jeżeli to możliwe, zwiększenie ich skuteczności działania, monitorując równocześnie, czy przypadkiem nie wpływa to negatywnie na błędnie przypisane wiadomości jako SPAM” – podkreśla Mariusz Turski.
Grupa Pracuj cyklicznie weryfikuje odporność pracowników na ataki socjotechniczne wychodząc z założenia, że najlepszą metodą podnoszenia świadomości jest nauka bazująca na rzeczywistych sytuacjach i popełnianych błędach. W ubiegłym roku Mariusz Turski postanowił przygotować kampanię phishingową, która miała przetestować wdrożone zabezpieczenia, szybkość reakcji działów bezpieczeństwa i IT oraz świadomość pracowników. Wykorzystano do tego celu m.in. domenę łudząco podobną do pracuj.pl. Specjalnie spreparowana kampania informowała pracowników Grupy Pracuj o blokadzie poczty email ze względu na przekroczenie limitu znajdujących się w niej danych, a w mailu znajdował się link do jej odblokowania kierujący do strony wyłudzającej dane do logowania. „Postanowiliśmy sprawdzić, jak działają nasze procedury wewnętrzne, jak – jako organizacja – zareagujemy na takie zdarzenie oraz jak działają nasze systemy bezpieczeństwa. Jesteśmy zadowoleni z wyników tego testu. Niemniej po każdej weryfikacji czy audycie staramy się znaleźć kolejne obszary do poprawy, tak aby stale wzmacniać bezpieczeństwo organizacji. Każda tego typu akcja jest pozytywnie odbierana przez pracowników, widzimy duże zainteresowanie szkoleniami, które organizujemy po każdej takiej kampanii uświadamiającej” – mówi Group Information Security Manager, Grupa Pracuj.
Praca zdalna zostanie z nami na zawsze
Warto na końcu dodać, że Zarząd Grupy Pracuj podjął decyzję, że między innymi pracownicy działów technicznych, którzy wyrażą chęć (ok. 150 osób z działów IT, product development czy bezpieczeństwa) będą mogli na stałe pracować zdalnie. „Zarząd zdecydował, że warto utrzymać pracę zdalną dla osób chętnych. Na pewno jest to dla nas wyzwanie w kontekście chociażby podtrzymywania relacji, onboardingu nowych pracowników czy komunikacji wewnętrznej, jednak ma na tyle dużo plusów, że zdecydowaliśmy się je podjąć. Szczególnie, że po ostatnim roku wiemy, że od strony bezpieczeństwa jesteśmy odpowiednio przygotowani” – podsumowuje Mariusz Turski.
- Azure Active Directory Conditional Access,
- Azure MFA,
- Azure Information Protection,
- Azure AD Application Proxy,
- Microsoft Endpoint Manager,
- Cloud App Security,
- Microsoft Defender for Endpoint (w tym Web Content Filtering i Advanced Threat Protection).