Dlaczego wszyscy tego nie cierpią
Blokada ekranu to jeden z tych mechanizmów bezpieczeństwa, które są powszechnie stosowane i powszechnie nielubiane. Powód jest prosty: przeszkadza. Wychodzisz na chwilę po kawę, wracasz - i musisz wpisywać hasło. Wstajesz na chwilę od biurka - hasło. Wychodzisz do toalety - hasło.
Użytkownicy omijają ten mechanizm jak tylko mogą: ustawiają czas blokady na 30 minut albo całkowicie wyłączają automatyczne blokowanie. W firmach bez egzekwowanej polityki bezpieczeństwa IT - po prostu nie blokują wcale, bo "po co, skoro jestem w biurze".
Co się dzieje, gdy komputera nie blokujesz
Odblokowany komputer to otwarte drzwi. Każda osoba, która usiądzie przy Twoim stanowisku, ma natychmiastowy dostęp do wszystkiego, do czego Ty masz dostęp-poczty, dokumentów, systemów firmowych, historii przeglądania, zapisanych haseł w przeglądarce.
Większość incydentów nie wygląda jak film szpiegowski. Nie ma tu hakerów w kapturach. Częściej: pracownik wychodzi na spotkanie i zostawia odblokowany komputer. Kolega z biura, który "tylko chciał sprawdzić jeden plik", przypadkowo widzi poufną korespondencję, czasem celowo a czasem po prostu nadarzyła się okazja.
Wygląda też tak: laptop leży w kawiarni, w przestrzeni coworkingowej, w poczekalni u klienta. Właściciel pozostawia go na chwilę. Ktoś obcy podchodzi i ma dostęp do całego środowiska firmowego.
Albo tak: do biura przychodzi serwisant, kurier albo klient. Pracownik wychodzi mu na spotkanie, zostawiając biurko na chwilę. Na ekranie otwarta poczta, dokumenty, dane klientów. Obca osoba widzi wszystko - nawet jeśli nie miała takiego zamiaru.
W każdym z tych scenariuszy problem nie wynika z zaawansowanego ataku. Wynika z braku najprostszego zabezpieczenia.
Blokada ekranu a dane osobowe i RODO
To nie jest tylko kwestia dobrej praktyki. Brak blokady ekranu w środowisku, w którym przetwarzane są dane osobowe, może być traktowany jako naruszenie zasad ochrony danych.
RODO wymaga stosowania odpowiednich środków technicznych i organizacyjnych, które zapewniają bezpieczeństwo danych. Odblokowany komputer z otwartymi dokumentami zawierającymi dane klientów, pracowników czy partnerów to konkretne naruszenie tej zasady - szczególnie gdy do ekranu mają dostęp osoby nieuprawnione.
W przypadku incydentu wynikającego z braku blokady ekranu, organ nadzorczy może uznać, że firma nie podjęła podstawowych, dostępnych środków ochrony - co ma bezpośrednie przełożenie na ocenę odpowiedzialności i ewentualne konsekwencje.
Właściwe ustawienia - między bezpieczeństwem, a użytecznością
Blokada po 30 minutach bezczynności to nie jest blokada - to iluzja bezpieczeństwa. Przez pół godziny nieobecności przy biurku komputer jest całkowicie otwarty.
Rozsądnym kompromisem dla środowiska biurowego jest blokada po 5 minutach bezczynności. To wystarczająco krótko, żeby realnie chronić stanowisko podczas nieobecności pracownika, i wystarczająco długo, żeby nie blokować ekranu podczas chwilowej przerwy w pisaniu.
Dla laptopów używanych poza biurem - w kawiarniach, u klientów, w transporcie - warto rozważyć krótszy czas, np. 2-3 minuty. Ryzyko jest tu znacznie wyższe, bo komputer jest dostępny dla zupełnie obcych osób.
Warto też włączyć blokowanie ekranu przy zamknięciu klapy laptopa. To proste zabezpieczenie, które nie kosztuje nic i nie wymaga żadnych zmian w codziennych nawykach.
Polityka blokady ekranu w firmie
Budowanie w pracownikach automatyzmu blokowania urządzenie przy każdym opuszczeniu stanowiska to dobra praktyka. Lepiej zablokować urządzenie natychmiast niż pozostawiać je, choć na chwilę, odblokowane. To jednak nie wystarczy. Zaufanie jedynie pamięć pracownika jest niewystarczające. Ludzie zapominają, spieszą się, mają inne rzeczy na głowie.
Właściwe podejście to wymuszenie blokady przez politykę systemową - ustawienie, które administrator IT wdraża centralnie i którego użytkownik nie może zmienić. Komputer blokuje się po określonym czasie bez względu na to, czy pracownik o tym pamięta czy nie.
To samo dotyczy wymagania silnego hasła lub silnego PINu do odblokowania – używanie prostego kodu, który można obserwować przez ramię, nie ma sensu. Część organizacji wdraża uwierzytelnianie biometryczne - odcisk palca lub rozpoznawanie twarzy. Odblokowanie komputera następuje niemal natychmiastowe.
Jak wygląda to w Helpwise
Polityka blokady ekranu jest elementem standardowej konfiguracji stacji roboczych, którą wdrażamy u naszych klientów. Ustawiamy czas blokady, wymuszamy PIN lub hasło do odblokowania i robimy to centralnie przez system zarządzania urządzeniami - tak żeby ustawienie było spójne na wszystkich komputerach i żaden użytkownik nie mógł go obejść.
Biometria – tu sprawdza się doskonale