دوران کنونی شیوع ویروس کرونا با اوجگیری سیاستهای دورکاری و برگزاری جلسات از راه دور در انواع سازمانها و شرکتهای خصوصی و دولتی همراه شد. تاکنون بخشنامههای متعددی به سازمانها ارسال شده است که مجوز برگزاری جلسات از راه دور و دورکاری کارمندان را صادر میکند. دراینمیان نگرانی مدیران و مسئولان از امنیت جلسهها و اسناد اداری موجب شد تا بخشنامهای جدید برای شرح پیش نیازهای عمومی فنی جلسههای دورکاری ابلاغ شود.
به گزارش پیوست، سازمان اداری و استخدامی کشور و ستاد ملی مدیریت و مقابله با ویروس کرونا، تاکنون بخشنامههای متعددی را پیرامون برگزاری جلسههای کاری بهصورت آنلاین صادر کردهاند. بخشنامهی جدید بهمنظور حفظ امنیت اسناد سازمانی و پشتیبانی از سازمانها و دستگاههای اجرایی و جلوگیری از تهدیدهای امنیتی در فضای مجازی ابلاغ شد.
برگزاری هرگونه جلسه با محتوای حساس و طبقهبندی شده بهصورت آنلاین، ممنوع است
در بخش قوانین و سیاستهای اجرایی و فنی جلسات از راه دور بخشنامهی جدید، برگزاری هرگونه جلسه با موضوع حساس و دارای طبقهبندی بهصورت آنلاین، ممنوع اعلام شد. بهعلاوه، نمایش اسناد حساس و دارای طبقهبندی هم در جلسههای آنلاین عادی، ممنوع خواهد بود. نکتهی مهم دیگر، ذخیرهسازی و ثبت جلسات توسط حاضران در جلسه است که باید با کسب اجازه از مسئول جلسه و اطلاعرسانی به سایر اعضا انجام شود. در جلسههایی که ضبط آنها ضروری باشد، محتوای ضبطشده باید در آرشیو امن سازمان نگهداری شود.
در بخشی از ابلاغیهی جدید پیرامون جلسههای آنلاین میخوانیم:
درصورتیکه از نرمافزارهای خارجی برای جلسات از راه دور استفاده میشود،محل نصب آنها باید در کارگزارهای تحت مدیریت و کنترل آن دستگاه بوده و علاوه بر استفاده از کانالهای امن ارتباطی، دسترسی به بیرون آنها (Outbound) نیز در اینترنت قطع باشد.
سازمانهایی که تصمیم به استفاده از کارگزارهای اشتراکی ارائه سرویس جلسه از راه دور دارند، باید مواردی را در همکاری با مرکز مورد نظر رعایت کنند. امضای قرارداد منع افشا، در اختیار گرفتن صفحه مدیریت دسترسی برای حذف یا انتقال آرشیوا و مطالبه تأییدیهی آزمون امنیتی، از پیشنیازهای همکاری با کارگزارهای اشتراکی هستند. تأییدیهی آزمون امنیتی نیز باید توسط شرکتهای صاحب صلاحیت در حوزهی امنیتی دریافت شود که فهرست آنها در وبسایت سازمان فناوری اطلاعات قرار دارد.
در بخشی از ابلاغیه جلسههای آنلاین سازمانی به الزام حضور در شبکه ملی اطلاعات برای شرکت در جلسهها اشاره میشود. به بیان دیگر، تجهیزات تنظیمشده با IP خارج از نشانیهای اینترنتی متعلق به کشور، اجازهی حضور در جلسات را ندارند و ارزیابی این مورد نیز برعهدهی وزارت ارتباطات و فناوری اطلاعات است.
در بخش مرتبط با دورکاری سازمانی ابلاغیهی جدید، به اهمیت حضور بخشهای پایش و پشتیبانی اشاره میشود. طبق ابلاغیهی جدید، سازمانهای مرتبط با خدمات اداری الکترونیک تنها درصورتی اجازهی ارائهی خدمات ۲۴ ساعته دارند که نیروهای پایش و پشتیبانی آنها در تمامی ساعات شبانهروز در دسترس باشند. بهعلاوه، فعالیتهای دورکاری نیز باید در کانالهای امن با مکانیزمهای احراز هویت انجام شوند. نکتهی مهم در ابلاغیهی جدید این است که «استفاده از پروتکل مدیریت دسترسی از راه دور RDP در بستر اینترنت برای فعالیتهای اداری مرتبط با دورکاری ممنوع است».
ابلاغیهی جدید، سازمانها را ملزم میکند تا ظرف دو هفته پس از دریافت بخشنامه، نسبت به پیادهسازی سازوکارهای امنیتی و تأیید هویت کارمندان اقدام کنند. از بخشهای مهم زیرساختی میتوان به صلاحیتسنجی دورهای رفتار استفاده کارکنان برای اعطای سطوح دسترسی متناسب اشاره کرد. تنظیم زمان در اختیار گرفتن رمزهای عبور، استفاده از رمزهای یکبار مصرف و مکانیزم نظارت آنلاین بر رفتارهای غیرمتعارف و رویههای هشدار و واکنش فوری، از الزامهای دیگر بخشنامهی جدید هستند.
در پایان ابلاغیهی سیاستها و ضوابط فنی عمومی برگزاری جلسات از راه دور و دورکاری کارکنان، به نقش وزارت ارتباطات و فناوری اطلاعات و مرکز مدیریت راهبردی افتا در پیادهسازی سیاستها اشاره میشود. این سازمانها باید دستورالعمل حفاظت از سامانههای سمت کاربران دورکار را همراهبا آموزشهای حفاظت شخصی و آگاهی از مسئولیتهای امنیتی، تهیه و منتشر کنند.