przejdź
przejdź
  2. Serwis Biznesu
  3. Cyberbezpieczeństwo
  4. Na czym polega bezpieczny zdalny dostęp?

Na czym polega bezpieczny zdalny dostęp?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Zdalny dostęp potrafi znacznie ułatwić codzienną pracę. W niektórych przypadkach bywa niezbędny, ponieważ umożliwia wgląd do plików osobom oddalonym o setki kilometrów. Nie można jednak zapominać o podstawowych zasadach cyberbezpieczeństwa, które zmniejszają ryzyko wystąpienia incydentów.

Praktyczny zdalny dostęp

W przypadku małych i średnich przedsiębiorstw oraz jednostek samorządu terytorialnego należy wyróżnić dwa sposoby, które umożliwiają zdalny dostęp do zasobów, a mianowicie:

  • VPN (wirtualne sieci prywatne);
  • zdalny pulpit (RDP).

Stosowanie odpowiednich zabezpieczeń jest ważne nie tylko pod kątem bezpieczeństwa urządzeń czy serwerów, lecz również ochrony danych osobowych.

RODO i UODO o zdalnym dostępie

W artykule „Dane osobowe w prywatnym komputerze pracownika też trzeba chronić” Urzędu Ochrony Danych Osobowych (UODO) z grudnia 2023 roku podkreślono, że korzystanie przez pracowników z prywatnego sprzętu podczas pracy zdalnej musi zostać opisane w analizie ryzyka.

W motywie 39 Ogólnego Rozporządzenia o Ochronie Danych (RODO) wskazano wprost, że konieczne jest zapewnienie ochrony przed nieuprawnionym dostępem do danych. Niepoprawna konfiguracja zdalnego dostępu może prowadzić do poważnych incydentów, dlatego tak kluczowe jest zapewnienie maksymalnego poziomu bezpieczeństwa RDP i VPN.

Rekomendacje na poziomie rządowym

W dokumencie „Zadbaj o bezpieczeństwo firmowej sieci” udostępnionym przez Ministerstwo Cyfryzacji znalazła się bardzo ważna rekomendacja. Resort zaleca m.in. stosowanie dedykowanej sieci VPN oraz opracowanie polityki bezpieczeństwa.

Bardzo szczegółowe zalecenia zawarto w opracowaniu „Rekomendacje dla wzmocnienia ochrony systemów OT” CERT Polska z maja 2024 roku. Choć dokument dotyczy głównie automatyki przemysłowej, wiele wskazówek można odnieść również do zdalnego dostępu do zasobów organizacji. Mowa tutaj o m.in.:

  • wymogu korzystania z VPN z wieloskładnikowym uwierzytelnianiem;
  • braku możliwości bezpośredniego połączenia zdalnego (z poziomu Internetu) w przypadku protokołu RDP (pulpitu zdalnego).

Przykłady realnych incydentów

Błędy związane ze zdalnym dostępem zdarzały się zarówno w większych, jak i mniejszych organizacjach. Jeden z najbardziej znanych incydentów dotyczy firmy Colonial Pipeline, odpowiadającej za amerykański ropociąg. Cyberprzestępcy mieli dostać się do sieci za pomocą VPN, który to nie wymagał dwuetapowego uwierzytelniania podczas logowania.

Bardzo ważnym przykładem są również niedawne ataki na polską infrastrukturę energetyczną. Zgodnie z „Raportem z incydentu w sektorze energii 29.12” opublikowanym przez CERT Polska pod koniec stycznia 2026 roku atakujący powiązani z Rosją wielokrotnie uzyskiwali dostęp do „usługi SSL-VPN” w urządzeniu na brzegu sieci, aby finalnie uzyskać dostęp do komputerów z wykorzystaniem protokołu zdalnego pulpitu. Konta były zdefiniowane w konfiguracji. Podobnie jak w przypadku amerykańskiego rurociągu konta nie wymagały dwuskładnikowego logowania.

W decyzji UODO z czerwca 2022 roku (DKN.5131.56.2021) wskazano, że zainfekowanie serwera było możliwe wskutek RDP (protokołu zdalnego pulpitu). Dodatkowo router miał ustawione przekierowanie natywnego portu, co może wskazywać na widoczność zasobu z poziomu Internetu.

Polityki zdalnego dostępu

W dokumencie „Zasady zdalnego dostępu do zasobów teleinformatycznych GUGiK” możemy znaleźć praktyczne zasady dotyczące bezpiecznego dostępu zdalnego. Główny Urząd Geodezji i Kartografii prowadzi ewidencję osób, które mają możliwość uzyskania zdalnego dostępu do zasobów urzędu – jest to bardzo ważne pod kątem rozliczalności użytkowników. Wśród ważnych zapisów należy również wyróżnić:

  • automatyczne odbieranie dostępu po określonym czasie;
  • nadzór nad (zaakceptowanymi) połączeniami zewnętrznych podmiotów;
  • konieczność stosowania różnych haseł do VPN oraz certyfikatu;
  • jasne wskazanie jednostki przyjmującej zgłoszenia incydentów.

Kolejnymi kluczowymi regułami, które warto wdrożyć w organizacji, są m.in.:

  • ograniczenie dostępu do ściśle określonych zasobów;
  • aktualizowanie systemu;
  • dopuszczanie urządzeń po weryfikacji działu IT;
  • ścisłe regulacje dotyczące połączeń w sytuacjach awaryjnych.

Bardzo ważne jest również faktycznie przestrzeganie wdrażanych regulacji ze szczególnym naciskiem na unikanie sytuacji wyjątkowych.

Przykład 1.

W organizacji obowiązuje polityka zdalnego dostępu do zasobów. Procedury przewidują sytuację awaryjną, w której dopuszczalne jest połączenie z nowego, niezweryfikowanego urządzenia. Jeśli jednak takie urządzenie nie zostanie odebrane po upływie określonego w dokumencie czasu, powstaje nowe zagrożenie – szczególnie istotne w przypadku braku dwuetapowego uwierzytelniania.

Kluczowe wnioski

Podstawową rekomendacją, jeśli chodzi o zdalny dostęp, jest aktualizowanie oprogramowania. Jest to szczególnie ważne w przypadku stosowania fizycznych urządzeń, które służą do zdalnego połączenia za pomocą VPN – wielokrotnie znajdowano w nich aktywnie wykorzystywane podatności.

Należy również pamiętać o kontrolowaniu dostępu do zasobów, szczególnie w przypadku osób spoza danej organizacji.

Incydenty związane z nadużyciem zdalnego dostępu pokazują również, że rola logów (dziennika zdarzeń) jest niezmiernie ważna. Nie można również pomijać reagowania na zdalne połączenia z obcych lokalizacji oraz w nietypowych godzinach.

Przykład 2.

Konto pracownika posiadającego zdalny dostęp do zasobów zostaje przejęte przez cyberprzestępców. W takiej sytuacji należy wiedzieć, gdzie znajdują się logi (zapisy dziennika zdarzeń) dotyczące incydentu, co pozwala na przykładowo określenie skutków ataku.

Kolejnym ważnym aspektem pozostaje segmentacja sieci (np. na podstawie VLAN-ów – wirtualnych sieci lokalnych), dzięki której uzyskanie nieuprawnionego dostępu do danych w przypadku przełamania zabezpieczeń ma zdecydowanie mniejszy zakres.

SSH i FTP

Wśród metod zdalnego dostępu do zasobów należy wyróżnić również SSH i FTP. Pomimo mniejszego poziomu znajomości wśród szerokiego grona odbiorców protokoły mogą być wykorzystywane m.in. przez działy IT. Niepoprawne skonfigurowanie logowania na serwery może stanowić kolejne wektory ataku.

W przypadku SSH głównym zabezpieczeniem pozostaje wyłączenie logowania hasłem na rzecz posługiwania się kluczem prywatnym (zabezpieczonym odpowiednio złożoną frazą). Dla FTP ważne jest korzystanie z szyfrowanej wersji protokołu (FTPS).

Podsumowanie

Zdalne logowanie powinno zostać uwzględnione w analizie ryzyka organizacji. Przejęcie konta z możliwością uzyskania dostępu do zasobów spoza sieci firmowej pokazuje jednocześnie, że powinniśmy pamiętać o zasadzie przyznawania minimalnych (wymaganych) uprawnień.

Niedostatecznie zabezpieczone zdalne pulpity (wykorzystujące protokół RDP) tworzą kolejne zagrożenia. Dane z portalu shodan.io pokazują, że w Polsce liczba instancji widocznych z poziomu Internetu wynosi ponad 10 tysięcy (stan na 31 stycznia 2026 roku).

W celu zapewnienia rozliczalności dostępu należy unikać stosowania współdzielonych kont, aby możliwe było ustalenie osoby korzystającej z danego zasobu.

Warto również jasno określić zakres danych, do których powinna mieć wgląd określona grupa pracowników. Zdalny dostęp nie może umożliwiać szerokiego dostępu do współdzielonego zasobu z wszystkimi danymi firmy.

Przykład 3.

Pracownik z działu księgowości łączy się zdalnie za pomocą swojego konta, aby wykonywać swoje codzienne zadania. Nie powinien on mieć bezpośredniego i automatycznego wglądu w dane z innych działów. Dostęp do zasobów potrzebnych pracownikowi powinien być rejestrowany (logowany w dzienniku zdarzeń).

Kontrola zdalnego dostępu powinna być ciągła i cykliczna, aby uniknąć sytuacji, gdzie byli pracownicy wciąż mają dostęp do danych firmowych.

Polecamy:

KSeF a wybór programu do fakturowania

Ciągłość działania NIS 2. Jak przygotować plany BC...
Luty 2026
13
Piątek
  • PIT 4R
  • PIT 8AR
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. System Zarządzania Bezpieczeństwem Informacji (SZBI) w praktyce
  2. Anonimizacja danych – jak poprawnie zabezpieczyć dokumenty firmowe?
  3. Monitoring wizyjny: RODO, cyberbezpieczeństwo i ochrona danych
  4. Zgłaszanie incydentów bezpieczeństwa – jak to zrobić?
  5. Dyrektywa NIS 2 – jakie obowiązki czekają małe i średnie firmy?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Cyberbezpieczeństwo

Ciągłość działania NIS 2. Jak przygotować plany BCP i DRP?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

KOBIETY W FINANSACH 2026: CZAS SOJUSZU. SYNERGIA TALENTÓW, POKOLEŃ I TECHNOLOGII
3. Expo HR: TYLKO! SPRAWDZONE ROZWIĄZANIA DLA HR I BIZNESU!
RODO 2.0 – Ochrona danych osobowych na rozdrożu: modernizacja, deregulacja czy zmiana paradygmatu?
VII FORUM HR CHALLENGE POLAND 2026: Jak HR sprosta wyzwaniom nieustającej transformacji?
Mobile Trends Conference 2026 – Najważniejsze wydarzenie technologiczne nadchodzącego roku Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów