BLOG

Jak zapewnić bezpieczny dostęp do zasobów firmowych w dobie pracy zdalnej? Praktyczne rady

Bartek Litwiniec
Bartosz Litwiniec
07/05/2025
null

Praca zdalna a nowe zagrożenia: Dlaczego kontrola dostępu jest dziś kluczowa?

Od 2020 roku realia pracy zmieniły się nieodwracalnie. Pomiędzy rokiem 2015, a początkiem 2020 roku, praca zdalna wzrosła globalnie o około 30–40%, a pandemia COVID-19 była głównym zapalnikiem masowego przejścia na model zdalny i hybrydowy. Wzrost popularności pracy zdalnej pociągnął za sobą jednak inne, nowe zagrożenia.

W 2024 roku zespół CERT Polska odnotował rekordowy wzrost cyberzagrożeń. Liczba zgłoszeń przekroczyła 600 tys., a najczęstszym incydentem był phishing. W efekcie firmy muszą przyłożyć większą wagę do zabezpieczeń swoich zasobów, ponieważ wystarczy nawet jedno nieautoryzowane logowanie, aby doprowadzić do wycieku danych lub paraliżu działalności.

Najczęstsze zagrożenia związane z pracą zdalną

Praca zdalna niesie za sobą specyficzne ryzyka. Gdy zespoły są rozproszone, a kontakt z nowymi osobami często odbywa się wyłącznie mailowo, znacznie trudniej zweryfikować tożsamość nadawcy trafiającej do nas wiadomości. Czynnik ludzki odgrywa kluczową rolę w skuteczności ataków, a brak interakcji osobiście niestety sprzyja potencjalnej manipulacji. Te powody, wraz z nieustającą presją czasu, sprawiają, że pracownicy zdalni są szczególnie narażeni i podatni na ataki socjotechniczne.

Warto zdawać sobie sprawę, że również branże tylko częściowo powiązane z IT (np. księgowość, administracja, HR) nie pozostają poza celownikiem tego typu zagrożeń. Ich pracownicy, z uwagi na brak szkoleń z zakresu security awareness, często nie są świadomi możliwości nieuprawnionego uzyskania dostępu oraz subtelnych "sztuczek" stosowanych przez cyberprzestępców w tym celu.

Ataki phishingowe

Phishing pozostaje najpopularniejszą i najskuteczniejszą formą ataku. Raport firmy Cofense wskazuje, że phishing stanowił przyczynę 91% opublikowanych aktywnych raportów o zagrożeniach.

W praktyce najczęściej wygląda to następująco: pracownik otrzymuje e-mail, który na pierwszy rzut oka wygląda zupełnie autentycznie – wiadomość sprawia wrażenie, jakby pochodziła bezpośrednio od CEO, CFO lub managera działu. W wiadomości znajduje się pilna prośba, np. o udostępnienie danych dostępowych, zatwierdzenie przelewu lub kliknięcie w link prowadzący do "ważnego dokumentu". W ferworze codziennych obowiązków, a szczególnie w środowisku pracy zdalnej i hybrydowej, gdzie kontakt bezpośredni jest ograniczony, takie wiadomości często nie budzą podejrzeń wśród adresatów.

Brak możliwości szybkiego potwierdzenia prośby poprzez kontakt bezpośredni, presja czasu, oraz autorytet nadawcy sprawiają, że pracownicy, nawet jeśli świadomi zagrożeń, mogą paść ofiarą manipulacji. Z tego właśnie powodu phishing, mimo swojej prostoty, pozostaje jednym z najskuteczniejszych narzędzi cyberprzestępców.

Nieautoryzowany dostęp

Nieautoryzowany dostęp najczęściej wynika z wykorzystania luk w zabezpieczeniach aplikacji lub błędów w ich konfiguracji. Zdarza się, że firmy udostępniają swoje systemy lub usługi publicznie – np. aplikacje webowe czy interfejsy API – ale nie zabezpieczają ich w odpowiedni sposób. To może oznaczać zbyt szerokie uprawnienia, domyślne hasła, brak szyfrowania lub niewdrożone aktualizacje bezpieczeństwa. Przestępcy aktywnie skanują sieć w poszukiwaniu tego typu „otwartych drzwi”, a gdy już je napotkają, umieszczają o tym informacje na agregujących tego typu treści portalach. Wystarczy jedna podatność lub błąd konfiguracyjny, aby doszło do uzyskania dostępu do wrażliwych danych lub przejęcia kontroli nad posiadanym przez nas systemem.

Tego typu incydenty są często nagłaśniane, ponieważ kompromitacja aplikacji bywa spektakularna – może skutkować wyciekiem wrażliwych danych, przerwą w działaniu usług lub stratami finansowymi i wizerunkowymi.

Ransomware

Ataki ransomware są najczęściej ukierunkowane na konkretne cele: firmy prywatne, instytucje publiczne lub organizacje non-profit. Przestępcy infiltrują infrastrukturę i szyfrują dane, by następnie żądać okupu w celu przywrócenia ich przydatności. Praca zdalna utrudnia wykrycie takich działań przede wszystkim na wczesnym etapie.

Malware

W dobie nowoczesnych systemów zabezpieczeń ryzyko infekcji oprogramowaniem typu malware maleje, jednak nie jest nieuniknione. W organizacjach, które nie stosują się do zasad zapewnienia bezpieczeństwa poprzez wdrożenie nowoczesnych systemów przeciwdziałających tego typu oprogramowaniu lub dopuszczają korzystanie z prywatnych urządzeń (BYOD), malware nadal stanowi istotne zagrożenie.

Filary bezpiecznego dostępu – przegląd kluczowych rozwiązań

Bezpieczny dostęp do zasobów firmowych nie opiera się na jednym rozwiązaniu, a na całym stacku technologii, które wzajemnie się uzupełniają. Jeden typ narzędzia to za mało – każde z nich pokrywa tylko część ryzyk, dlatego skuteczne zabezpieczenia buduje się warstwowo, łącząc różne podejścia i systemy. To nie jest kwestia wyboru jednego rozwiązania – jak firewall zamiast EDR – ale ich świadomego połączenia w spójną całość.

VPN (Virtual Private Network)

VPN to jedno z podstawowych narzędzi używanych do zabezpieczania transmisji danych pomiędzy pracownikiem a infrastrukturą firmy. Działa jak zaszyfrowany tunel, chroniąc przesyłane informacje przed podsłuchem czy przejęciem. Przez lata standardem w wielu firmach był model „zamek i fosa” (castle-and-moat) – czyli jednorazowe uwierzytelnienie i pełen dostęp do zasobów.

Rozwiązania typu VPN cechują jednak ograniczenia, obejmujące przede wszystkim wysokie koszty administracyjne, konieczność utrzymywania dedykowanej infrastruktury oraz wydłużony czas nadawania dostępu (czekanie na zatwierdzenie VPN potrafi trwać nawet kilka dni).

VPN nadal sprawdza się w mniejszych organizacjach o niskiej rotacji pracowników, jednak dla przedsiębiorstw większych lub takich, które chcą zapewnić maksymalne bezpieczeństwo dostępu zdalnego, lepszym rozwiązaniem są modele oparte na zasadzie Zero Trust, które pozwalają dynamicznie i kompleksowo kontrolować uprawnienia użytkowników.

W jakich organizacjach sprawdzi się VPN?

  • Małe i średnie firmy, które potrzebują szybkiego i stosunkowo prostego zabezpieczenia transmisji danych.
  • Organizacje, które nie doświadczają dużej rotacji pracowników ani dynamicznej zmiany dostępów.
  • Firmy, które na razie nie są gotowe na pełne wdrożenie Zero Trust, ale chcą zwiększyć podstawowy poziom bezpieczeństwa.

MFA (Multi-Factor Authentication)

MFA, czyli uwierzytelnianie wieloskładnikowe, nie jest technologią, a zasadą działania – użytkownik musi potwierdzić swoją tożsamość na dwa (lub więcej) sposobów. Opiera się ona na zasadzie "coś, co wiem" (np. hasło) i "coś, co mam" (np. urządzenie mobilne). Popularną formą MFA jest dwuskładnikowe uwierzytelnianie (2FA), polegające na podaniu sześciocyfrowego kodu, generowanego w aplikacji mobilnej lub akceptacja powiadomienia wysłanego przez taką aplikację.

To właśnie druga z opcji to najskuteczniejsza forma MFA – aplikacje uwierzytelniające typu Google Authenticator czy Microsoft Authenticator, poza standardowym, lokalnym generowaniem kodu OTP, umożliwiają również zatwierdzanie dostępu poprzez akceptację notyfikacji push, wyświetlanej podczas próby uwierzytelnienia. Tego typu rozwiązanie uważane jest za bezpieczniejsze niż kody SMS czy e-maile, które mogą zostać przechwycone w trakcie transmisji.

Często słyszy się, że pracownicy są niechętni do korzystania z metod dwuskładnikowego uwierzytelniania (MFA) – szczególnie jeśli wiążą się one z dodatkowym wysiłkiem, jak wpisywanie kodów z aplikacji czy czekanie na SMS. W takich przypadkach warto rozważyć alternatywy. Przykładem są fizyczne klucze bezpieczeństwa (np. YubiKey), które upraszczają cały proces – w takim przypadku wystarczy obecność klucza lub jego dotknięcie, jako forma dodatkowego zabezpieczenia, by potwierdzić tożsamość nawiązującego połączenie użytkownika.

W jakich organizacjach MFA sprawdzi się najlepiej?

  • Wszystkie organizacje, niezależnie od wielkości i branży.
  • Firmy przechowujące dane klientów, dane finansowe lub inne wrażliwe informacje.
  • Organizacje działające w sektorach regulowanych (finanse, prawo, zdrowie).

ZTNA (Zero Trust Network Access)

ZTNA to rozwinięcie architektury Zero Trust, skoncentrowane na bezpiecznym nadawaniu i zarządzaniu dostępem do zasobów. W przeciwieństwie do tradycyjnych rozwiązań (np. VPN), które po uwierzytelnieniu pozwalają mu na szeroki dostęp do infrastruktury, ZTNA weryfikuje tożsamość pracownika przy każdym żądaniu dostępu. Niezależnie od tego, czy użytkownik próbuje otwarcia pliku przechowywanego w ramach Google Drive, czy logowania na serwer docelowy – wymagane do tego uprawnienia są każdorazowo sprawdzane.

System działający w zgodzie z Zero Trust weryfikuje nie tylko tożsamość użytkownika, ale także kontekst połączenia: lokalizację, stan urządzenia, poziom przyznanych uprawnień, czy czas logowania. Tylko spełnienie wszystkich kryteriów uprawnia do uzyskania dostępu, dzięki czemu nawet w sytuacji, gdy cyberprzestępcom uda się przejąć same dane logowania, możliwości ich działania będą drastycznie ograniczone. W konsekwencji takiego podejścia, w znaczny sposób minimalizowane jest ryzyko lateral movement, czyli możliwość poruszania się po infrastrukturze po uzyskaniu początkowego dostępu.

Poza blokowaniem niechcianego ruchu, zyskujemy także większą widoczność i kontrolę nad ruchem pożądanym – czyli kto z naszych pracowników, kiedy i w jakim kontekście korzysta z zasobów firmowych.

W jakich organizacjach ZTNA sprawdzi się najlepiej?

  • Średnie i duże organizacje, które chcą ograniczyć ryzyko lateralnego ruchu wewnątrz sieci.
  • Firmy, które doświadczyły wcześniej incydentów bezpieczeństwa lub mają podwyższone wymagania regulacyjne.
  • Organizacje, które planują lub już działają w modelu pracy zdalnej i hybrydowej na dużą skalę.
  • Firmy korzystające z modelu BYOD (Bring Your Own Device), gdzie pracownicy używają własnych urządzeń – ZTNA pozwala na dopuszczenie do zasobów tylko urządzenia, które spełniają regulacje oraz wewnętrzne polityki bezpieczeństwa.

PAM (Privileged Access Management)

PAM (Privileged Access Management) to rozwiązanie, które pozwala w pełni kontrolować i monitorować dostęp użytkowników do najbardziej wrażliwych zasobów w organizacji. W środowisku pracy zdalnej jego rola rośnie jeszcze bardziej – PAM umożliwia nie tylko zarządzanie dostępem, ale także rejestrowanie sesji użytkowników, niezależnie od tego, czy jest to pracownik wewnętrzny, konsultant zewnętrzny czy freelancer pracujący na zlecenie.

Jedną z podstawowych funkcji systemów PAM (Privileged Access Management) jest możliwość wstrzykiwania poświadczeń uwierzytelniających bezpośrednio w ramach połączeń do chronionych systemów. Użytkownik końcowy nie otrzymuje dostępu do haseł ani loginów, a proces uwierzytelniania realizowany jest automatycznie przez rozwiązanie PAM, z pominięciem interakcji z poufnymi danymi. Takie podejście znacząco ogranicza ryzyko nieautoryzowanego ujawnienia poświadczeń.

Za przykład może posłużyć użytkownik wykonujący operacje na koncie firmowym w serwisie społecznościowym, który dzięki zastosowaniu rozwiązania PAM może zostać uwierzytelniony bez znajomości faktycznych danych dostępowych, przez co logowanie odbywa się w sposób bezpieczny i kontrolowany.

Takie podejście zabezpiecza organizację przed błędami ludzkimi i świadomymi nadużyciami, a także pozwala na pełen audyt działań użytkowników. To idealne rozwiązanie w firmach, które współpracują z zewnętrznymi dostawcami, agencjami marketingowymi czy konsultantami IT.

Więcej o możliwościach i praktycznych zastosowaniach PAM w zarządzaniu dostępem uprzywilejowanym dostawców IT i systemów OT przeczytasz w naszym artykule.

W jakich organizacjach PAM sprawdzi się najlepiej?

  • Organizacje współpracujące z wieloma dostawcami zewnętrznymi, freelancerami lub konsultantami.
  • Firmy zatrudniające pracowników w modelu zdalnym lub hybrydowym.
  • Organizacje, które zarządzają dostępem do kluczowych systemów przez administratorów lub inżynierów IT.

Passwordless solutions

Rozwiązania passwordless, czyli logowanie bez konieczności wpisywania hasła, stają się coraz bardziej dostępne, ale ich adaptacja nadal rośnie dosyć powoli. Przykładami takich metod są biometryka (np. odcisk palca, rozpoznawanie twarzy) oraz tzw. Passkeys, które pozwalają uwierzytelniać się za pomocą lokalnych kluczy zabezpieczonych biometrią.

Passkeys eliminują konieczność zapamiętywania haseł i znacznie podnoszą bezpieczeństwo, ponieważ każde żądanie uwierzytelnienia podpisywane jest częścią prywatną klucza, który nigdy nie opuszcza urządzenia użytkownika. Dodatkową warstwą zabezpieczenia dostępu do części prywatnej klucza Passkeys jest konieczność uwierzytelnienia się na urządzeniu je przechowującym, z wykorzystaniem biometrii (odcisk palca, skan twarzy) lub kodu PIN.

Obecnie technologia Passkeys wspierana jest głównie przez największych graczy branży technologicznej, takich jak Google, Apple czy Facebook, ponieważ wdrożenie Passkeys wymaga wsparcia zarówno po stronie urządzenia użytkownika, jak i samych usług internetowych.

Drugim popularnym podejściem do passwordless jest korzystanie z zewnętrznych dostawców tożsamości (IdP, Identity Provider), takich jak Microsoft Entra ID czy Okta. Dzięki temu użytkownik może wykorzystać tożsamość uwierzytelnioną w jednym z serwisów, aby przedstawić się również przed innymi systemami, za pomocą jednego kliknięcia.

Czy rozwiązania passwordless są gotowe do szerokiego wdrożenia? Technologicznie tak, problemem pozostaje jednak niski poziom adaptacji wśród użytkowników. Tworzenie Passkey lub konfiguracja po stronie IdP wymaga wykonania dodatkowego wysiłku na początku procesu, a to często bywa główną barierą. Ludzie z natury szukają prostych rozwiązań tu i teraz, często ignorując długoterminowe korzyści, jak brak konieczności cyklicznej zmiany hasła, czy ochrony przed phishingiem.

W jakich organizacjach rozwiązania passwordless sprawdzą się najlepiej?

  • Organizacje stawiające na nowoczesne technologie i wygodę użytkownika.
  • Firmy, które chcą wyeliminować problem wycieków haseł.
  • Organizacje obsługujące duże zespoły pracowników lub klientów, gdzie szybkie i bezpieczne uwierzytelnianie ma kluczowe znaczenie.

Najczęstsze błędy przy wdrażaniu rozwiązań bezpieczeństwa

Wdrożenie rozwiązań bezpieczeństwa jest procesem wymagającym precyzyjnego podejścia. Choć każde wdrożenie systemów bezpieczeństwa tworzy odmienne środowisko, które ujawniać może inne podatności, da się zauważyć powtarzające się schematy, a najczęstsze z nich to:

  • brak security assessmentu przed wyborem narzędzi,
  • brak szkoleń z cyberbezpieczeństwa dla pracowników (również nietechnicznych),
  • nieuwzględnianie ochrony komunikacji aplikacyjnej,
  • wdrażanie polityk bez testów środowiskowych,
  • brak monitoringu działań po wdrożeniu.

Wiele organizacji – ze względu na dużą liczbę pracowników zatrudnianych w modelu outsourcingowym – dopuszcza korzystanie z prywatnych komputerów. Niestety, często brakuje przy tym jasno określonych procesów kontroli i zabezpieczeń środowiska pracy.

Brak systemów monitorujących, takich jak EDR-y oraz brak nadzoru nad prywatnym sprzętem sprawia, że organizacja nie ma realnej kontroli nad tym, co dzieje się na urządzeniach pracowników. W efekcie łatwo o luki w zabezpieczeniach – np. w przypadku, gdy urządzenie jest zainfekowane malwarem pochodzącym z nieautoryzowanych źródeł.

Tego typu błędy i przeoczenia mogą prowadzić do poważnych nadużyć i bardzo kosztownych konsekwencji.

Czy firmy zdają sobie sprawę z zagrożeń bezpieczeństwa w modelu pracy zdalnej?

Świadomość cyberzagrożeń wśród organizacji stale rośnie i to w zauważalny sposób. Coraz więcej przedsiębiorstw dostrzega, że bezpieczeństwo IT to nie tylko kwestia posiadania kilku narzędzi, ale też stałego procesu edukacji i adaptacji do zmieniających się zagrożeń. Z danych ISACA "State of Cybersecurity 2023" wynika, że 70% organizacji na świecie zwiększyło w ostatnich latach budżety na bezpieczeństwo IT, a aż 64% odnotowało wzrost świadomości zagrożeń wśród swoich pracowników.

Coraz większą rolę odgrywają także media: kanały YouTube poświęcone bezpieczeństwu, artykuły w prasie branżowej oraz nagłaśnianie realnych przypadków wycieków i phishingu. To sprawia, że firmy zaczynają inwestować nie tylko w technologie, ale również w budowanie kultury bezpieczeństwa.

Jednak warto pamiętać, że ataki ewoluują równie szybko jak systemy obronne, dlatego organizacje muszą stale aktualizować swoją wiedzę i procedury. Świadomość rośnie, ale tak samo niestety rosną umiejętności i pomysłowość cyberprzestępców. Dlatego budowanie odporności organizacji to proces ciągły i wymagający aktywnego zaangażowania.

Jeśli chcesz lepiej przygotować swoją organizację na wyzwania związane z pracą zdalną, skontaktuj się z nami. Wspólnie przeanalizujemy potrzeby Twojej firmy i podpowiemy, jakie rozwiązania mogą realnie zwiększyć poziom bezpieczeństwa.

Artykuł został przygotowany przez eksperta 4Prime, a następnie zredagowany przy wsparciu narzędzi sztucznej inteligencji.

Autor tekstu:
Bartek Litwiniec
Bartosz Litwiniec , IT Security Engineer , 4Prime IT Security

Czytaj również

Środowisko multicloud

Chmura

Jak zapewnić cyberbezpieczeństwo w środowisku multicloud?

VPAM

PAM

VPAM: Zarządzanie dostępem uprzywilejowanym dostawców IT i OT

null

Strategia

Exposure Management

Co utrudnia proces zarządzania podatnościami? Główne wyzwania

Atak na Twoją firmę mógł się zacząć już miesiąc temu.

Sprawdź, jak możesz zapewnić bezpieczeństwo swojej organizacji już dziś.