Polityka i prawo
NSA rekomenduje komunikatory dla Waszyngtonu. Wybór na podstawie „kraju pochodzenia”
Personel rządu Stanów Zjednoczonych może wykorzystywać do pracy zdalnej komercyjne komunikatory jako ostateczną alternatywę dla rządowych aplikacji. Amerykańska National Security Agency wskazuje, że użytkownicy przy doborze produktu powinni kierować się między innymi jego „krajem pochodzenia jako czynnikiem oceny bezpieczeństwa”.
„Podczas pandemii lub innych sytuacji kryzysowych personel rządu Stanów Zjednoczonych musi pracować zdalnie, nieustannie wykonując kluczowe operacje oraz wspierając usługi rządowe” – czytamy w dokumencie „Selecting and Safely Using Collaboration Services for Telework”, opracowanym przez amerykańską National Security Agency (NSA). W jego treści podkreślono, że przy ograniczonym dostępie do wyposażenia dostarczanego przez rząd, takiego jak bezpieczne smartfony czy laptopy, korzystanie z komercyjnych narzędzi współpracy, w tym komunikatorów, do oficjalnych operacji staje się „konieczne i nieuniknione”.
Omawiany dokument zawiera przegląd najlepszych praktyk związanych z komunikacją online i został skoordynowany z rozporządzeniami Departamentu Bezpieczeństwa Wewnętrznego USA. „Niniejsza publikacja NSA ma na celu zapewnienie prostych, praktycznych uwag dla poszczególnych użytkowników rządowych” – wskazują specjaliści agencji. Treść ma odpowiadać na wyzwania związane z zezwoleniem pracownikom rządowym na używanie urządzeń osobistych do pracy, jeśli tylko takie rozwiązanie zostanie uznane za najlepsze, aby wesprzeć działania służby zdrowia w walce z koronawirusem.
Pomimo, że NSA dopuszcza możliwość używania komercyjnych narzędzi komunikacji, rekomenduje jednak korzystanie ze sprzętu dostarczanego przez rząd (ang. govermment furnished equipment – GFE) zawsze, gdy istnieje taka opcja. Wynika to z faktu, że jest on dedykowany do tego sektora oraz jest bezpieczniejszy niż popularne komunikatory.
„Żadne narzędzie współpracy nie jest w pełni bezpieczne przed złośliwym oprogramowaniem” – czytamy w dokumencie. NSA podkreśla, że urządzenia osobiste są często narażone na znaczne ryzyko incydentu z powodu braku odpowiednich aktualizacji zapór lub instalacji zainfekowanych aplikacji, których użytkownicy nie są w stanie zidentyfikować jako niebezpieczne. W ten sposób hakerzy mogą uzyskać dostęp do plików, kontaktów, historii połączeń, lokalizacji GPS i innych danych, pochodzących z konkretnego urządzenia. „Nawet najbezpieczniejszy komunikator nie zapewnia całkowitej ochrony przed cyberatakiem” – wskazuje NSA.
Urządzenia dostarczane przez rząd są często bezpieczniejsze niż sprzęt osobisty personelu. Agencja apeluje, aby zawsze, gdy jest to możliwe, osoby pracujące w administracji rządowej używały dedykowanych dla nich smartfonów lub laptopów. Jeśli jest to niemożliwe, NSA zaleca wykorzystanie tymczasowego, bezpiecznego systemu operacyjnego, takiego jak Air Force Trusted End Node Security (TENS), w celu stworzenia „wirtualnego GFE”.
W sytuacji, gdy żadna z powyższych możliwości jest niedostępna, użytkownicy powinni upewnić się, że wszystkie konta, jakimi się posługują nie mają uprawnień administratora. Według NSA najlepiej jest utworzyć osobne konto o niskich uprawnieniach przeznaczonych tylko do pracy.
Agencja przedstawiła listę 13 aplikacji, które wykorzystywane są do pracy zdalnej. Wśród nich znajduje się Signal, Wickr, Google Suite G, WhatsApp, Skype for Business oraz Zoom i Microsoft Teams.
NSA sugeruje jednak, aby przy wyborze komunikatora użytkownicy kierowali się krajem pochodzenia aplikacji jako czynnikiem oceny bezpieczeństwa. „Użytkownicy powinni mieć świadomość, że kraj pochodzenia, w którym opracowano produkt, nie zawsze jest uznawany za godny zaufania” – czytamy w dokumencie.