Praca zdalna, CyberBezpieczeństwo w dobie COVID-19

Praca zdalna, CyberBezpieczeństwo w dobie COVID-19

autor

Pandemia zmusza wielu pracowników do pracy w domu. Czy Twoja organizacja może pozostać produktywna… i bezpieczna? Z uwagi na bezpieczeństwo, w całym kraju pracodawcy coraz częściej wysyłają swoich pracowników do domu, umożliwiając im pracę zdalną (tzw. home office). W sieci pojawiło się mnóstwo porad jak rozliczać zadania, nadzorować czas pracy, mobilizować i motywować pracowników zdalnych itp. Niewiele się jednak mówi o tym, jak zapewnić bezpieczeństwo IT dla całej organizacji.

Wybuch koronawirusa (COVID-19) został oficjalnie uznany przez Światową Organizację Zdrowia (WHO) za pandemię, co oznacza, że infekcja przyspiesza jednocześnie w wielu krajach. Obawy związane z koronawirusem spowodowały zamknięcie szkół, galerii handlowych, ośrodków rekreacji oraz innych miejsc pracy.

Według najnowszego raportu International Workplace Group na całym świecie 50% pracowników pracuje poza główną siedzibą przez co najmniej 2,5 dnia w tygodniu. Jednak COVID-19 stanowi wyzwanie dla większej liczby – być może wszystkich – organizacji do potencjalnego, natychmiastowego przyjęcia stylu pracy zdalnej. Oprócz presji, jaką ten biurowy exodus wywiera na zespoły IT i architekturę sieci, istnieją prawdziwe wyzwania cyberbezpieczeństwa, które organizacje muszą wziąć pod uwagę.

Zanim firma wyśle swoich pracowników do domu, powinna rozważyć ryzyka. Nie oznacza to, że koronawirusa i choroby COVID-19 nie należy traktować poważnie, ale podobnie jak z problemami zdrowotnymi, należy się zająć również cyberbezpieczeństwem. Niebezpieczeństwo polega na tym, że pracownicy pracując w swoich domach, mogą czuć się bardziej komfortowo niż w biurze. Nie chodzi tylko o wybór garderoby – chodzi o skupienie, które jest niezbędne do pracy zdalnej. Jego brak zwiększa ryzyko wprowadzenia do swoich firm złośliwego oprogramowania, np. poprzez kliknięcie niebezpiecznego łącza (90% ataków odbywa się za pośrednictwem poczty elektronicznej). Dodatkowo zakłócenia komunikacji oraz brak możliwości bezpośrednich kontaktów z innymi pracownikami może spowodować, że padniemy ofiarą ataków.

Pamiętaj!
Laptop służbowy używany w domu jest nadal własnością firmy i powinien być używany wyłącznie przez upoważnione osoby.

Fizyczne bezpieczeństwo urządzeń firmy

Pracownicy będą narażać urządzenia firmowe na większe ryzyko, gdy opuszczą bezpieczne środowiska w miejscu pracy. Pracownik zdalny często zabiera urządzenia służbowe w miejsca publiczne. Dlatego należy chronić urządzenia przed zagubieniem, kradzieżą, bądź innymi formami przejęcia (w tym również chrońmy dane służbowe, które posiadamy w pamięci wewnętrznej urządzeń). Co możemy zrobić?

  • Szyfrowanie całego dysku gwarantuje, że w przypadku, gdy urządzenie wpadnie w niepowołane ręce, dane firmy nie będą dostępne.
  • Wyloguj się, gdy urządzenie nie jest używane – zarówno w domu, jak i w miejscach publicznych.
    Wygaszacze ekranu powinny wymagać hasła. Pamiętaj, aby używać przydatnych skrótów klawiaturowych, takich jak Win-L (Windows) i Ctl-Cmd-Q (Mac), aby szybko blokować ekran za każdym razem, gdy odchodzisz od komputera.
  • Silna polityka haseł – wszystkie konta na urządzeniu powinny wymagać unikatowych poświadczeń logowania, a konta użytkowników powinny być ograniczone do uprawnień innych niż administracyjne.
  • W miejscach publicznych nigdy nie pozostawiaj urządzenia bez nadzoru.

Dostęp do sieci i systemów firmy

Należy ustalić, czy pracownik potrzebuje dostępu do wewnętrznej sieci organizacji, czy wystarczy dostęp do usług chmurowych i poczty e-mail. Należy wziąć pod uwagę, czy taki sam poziom dostępu do poufnych danych, z których pracownik korzysta w firmie, powinien być przyznany, gdy przebywa poza miejscem pracy.

  • Należy łączyć się z urządzenia należącego do organizacji (legalnego oraz z aktualnymi systemami bezpieczeństwa) tak, aby można było zapewnić kontrolę nad podłączonym urządzeniem przez zespół ds. bezpieczeństwa technologii IT.
  • Zawsze używać połączenia VPN do łączenia zdalnych pracowników z wewnętrzną siecią organizacji. Zapobiega to atakom typu man-in-the-middle ze zdalnych lokalizacji, tj. pracując z domu, ruch przepływa przez sieci publiczne.
  • Kontroluj użycie urządzeń zewnętrznych, takich jak pamięć USB i innych, które mogą zainfekować sieć.

Jeżeli to możliwe, zaimplementuj mechanizm 2FA lub MFA (dwu/wieloskładnikowe uwierzytelnienie) do logowania w sieci firmowej. W miarę możliwości należy używać generatorów krótkoterminowych, takich jak Google i Microsoft Authenticator, aby zminimalizować ryzyko naruszenia bezpieczeństwa poprzez kradzież danych uwierzytelniających lub wyłudzanie informacji.

Podatność na kampanie phishingowe

Kampanie phishingowe stanowią zagrożenie dla wszystkich pracowników, niezależnie od tego, czy mają siedzibę wewnętrzną, czy zdalną. Pracownikom, którzy nie są przyzwyczajeni do pracy „w domu” i mają do czynienia ze wzrostem liczby wiadomości e-mail i innych wiadomości tekstowych, trudniej ocenić, co jest prawdziwe, a co jest zagrożeniem. Szczególnie w sytuacji wzrostu liczby spamu grającego dokładnie na obawach przed koronawirusem, od „zwykłych podejrzanych” zachowań w sieci. Na co zwracać uwagę?

  • Należy pamiętać, aby zawsze sprawdzać linki przed kliknięciem (w wiadomościach mail oraz www), najeżdżając na nich wskaźnikiem myszy, aby zobaczyć rzeczywiste miejsce docelowe adresu URL.
  • Należy odrzucać prośby o włączenie makr podczas otwierania załączników e-mail.
  • Należy mieć ograniczone zaufanie do maili/stron www, których nie znamy.
  • Korzystać z zaufanych źródeł, takich jak legalne, rządowe strony internetowe, aby uzyskać aktualne, oparte na faktach informacje o COVID-19.

Oprócz technologii i procesów funkcjonalnych, istnieją inne kluczowe czynniki pracy zdalnej

  • Komunikacja: kontakt z zespołem, informowanie pracowników o statusie oraz umożliwienie dzielenia się doświadczeniami i problemami.
  • Reakcja:  praca zdalna to nie to samo, co praca w środowisku biurowym. Należy ustalić jasne wytyczne dotyczące tego, jak szybko zdalny pracownik ma odpowiedzieć na żądanie w zależności od rodzaju komunikacji, adresu e-mail, zwolnienia, zaproszeń kalendarza itp.
  • Raportowanie: kierownicy powinni wdrożyć procedury, które pozwolą ustalić, czy zdalni pracownicy wykonują zadanie, np. obowiązkowe spotkania grupowe, współpraca w zespole, codzienne / tygodniowe / miesięczne raporty.
  • Zdrowie i bezpieczeństwo: czy ergonomiczne klawiatury z biura można zabrać do domu, aby zapewnić taki sam komfort, do jakiego przyzwyczajeni są pracownicy? Praca w domu nie usuwa odpowiedzialności za zapewnienie dobrego środowiska pracy.
  • Odpowiedzialność: należy zapewnić ochronę majątku firmy, gdy jest ona w posiadaniu pracownika.
  • Wsparcie techniczne: rozpowszechnianie danych kontaktowych, tj. wszyscy zdalni pracownicy muszą wiedzieć, jak uzyskać pomoc w razie potrzeby.
  • Socjalizacja: interakcje społeczne są ważną częścią motywacji i zwiększają wydajność. Pomóc w tym mogą min. szkolenia wewnętrzne, wykorzystujące komunikatory np. z bezpieczeństwa, czy tzw. OpenSpace, w którym każdy będzie mógł wyrazić swoje zdania.
  • Dostępność: należy ustanowić wirtualną politykę zarządzania otwartymi drzwiami, tak jak ma to miejsce w biurze. Upewnij się, że ludzie są dostępni i mogą być łatwo zaangażowani w powierzenie zadań.

 

Niezależnie od tego, jak rozwinie się sytuacja z COVID-19, firmy powinny rozważyć podobne, zdroworozsądkowe środki, aby być w gotowości do zapewnienia cyberbezpieczeństwa na potencjalne zakłócenia.

  • Należy wzmocnić obowiązujące zasady, procedury i szkolenia dotyczące pracy w domu, ochrony urządzeń, szyfrowania danych w spoczynku, utrzymywania jasnych zasad dotyczących biurka itp.
  • Upewnij się, że masz aktualną politykę bezpieczeństwa informacji, która obejmuje pracę zdalną. Silne zasady bezpieczeństwa mogą już istnieć, ale ważne jest, aby je przejrzeć i upewnić się, że są odpowiednie, gdy Twoja organizacja decyduje się na pracę większej liczby osób pracujących w domu niż w biurze. Zasady bezpieczeństwa muszą obejmować zdalne zarządzanie dostępem do pracy, korzystanie z urządzeń osobistych oraz zaktualizowane względy prywatności danych w celu uzyskania dostępu pracowników do dokumentów i innych informacji.
  • Przygotuj urządzenia łączące się z organizacją. Pracownicy pracujący w domu mogą korzystać z urządzeń osobistych w celu wykonywania funkcji biznesowych, zwłaszcza jeśli nie mogą uzyskać dostępu do urządzenia dostarczanego przez pracodawcę. Urządzenia osobiste będą musiały mieć taki sam poziom bezpieczeństwa, jak urządzenia należące do firmy. Zadbaj o możliwość komunikacji VPN, aktualizacje wszystkich łatek bezpieczeństwa.
  • Wrażliwe dane mogą być dostępne za pośrednictwem niebezpiecznych sieci Wi-Fi. Pracownicy pracujący w domu mogą uzyskiwać dostęp do poufnych danych biznesowych za pośrednictwem domowych sieci Wi-Fi, które nie będą miały takich samych zabezpieczeń – jak min. FireWall, NAT, itp. stosowanych w tradycyjnych biurach. Więcej połączeń będzie się odbywać ze zdalnych lokalizacji, co będzie wymagało większego skupienia się na prywatności danych.
  • Higiena, tak jak i edukacja CYBER zagrożenia ma kluczowe znaczenie. Światowa Organizacja Zdrowia (WHO) i Federalna Komisja Handlu USA (FTC) ostrzegły już przed trwającymi atakami phishingowymi i kampaniami-oszustwami dotyczącymi koronawirusa. Ciągła edukacja użytkowników końcowych i komunikacja są niezwykle ważne i powinny obejmować zapewnienie, że zdalni pracownicy mogą szybko skontaktować się z działem IT w celu uzyskania porady. Organizacje powinny również rozważyć zastosowanie bardziej rygorystycznych środków bezpieczeństwa poczty e-mail.
  • Zorganizuj szkolenie anty phishingowe z udziałem personelu IT i innych osób mających dostęp do poufnych informacji firmy.

Firma CompNet Sp z.o.o. posiada w swojej ofercie min. szkolenia online podnoszące świadomość zagrożeń, które w dobie pandemii pozwolą podnosić bezpieczeństwo w Państwa organizacji. Ponadto firma świadczy usługi outsourcing, pozwalając przedsiębiorstwom, podmiotom administracji publicznych na obniżenie kosztów oraz eliminację ryzyka kar za nieprzestrzeganie przepisów.

  • Wykorzystaj okazję, aby zaktualizować alternatywne informacje kontaktowe w planach reagowania na naruszenia bezpieczeństwa danych i innych planach komunikacji kryzysowej.
  • W przypadku tych samych planów opracuj procedury zwolnienia chorobowego, jeśli jeden lub więcej kluczowych członków zespołu zachoruje i nie będzie w stanie uczestniczyć – zidentyfikuj zespół elastyczny.
  • Dopełnij wszelkich formalności z pracownikiem w zakresie pracy zdalnej – zadbaj o umowę powierzenia sprzętu służbowego, umowę o odpowiedzialności za sprzęt, za pobierane oprogramowanie i inne.
    Jednym z rozwiązań jest powierzenie bezpieczeństwa, outsourcing usług czy wymogów ustawowych do firm, które zadbają o Twoje bezpieczeństwo.
  • Plany zarządzania kryzysowego i reagowania na incydenty muszą być wdrożone przed zdalną pracą.
    Cyber ​​incydent, który ma miejsce, gdy organizacja działa już poza normalnymi warunkami, ma większy potencjał wymknięcia się spod kontroli.

  • Kryzys COVID-19 prawdopodobnie będzie z nami przez jakiś czas. Organizacje i ich pracownicy będą musieli szybko podejmować trudne decyzje, a umożliwienie zdalnej pracy jest jedną z nich. 

    Wyzwania związane z trwającą epidemią koronawirusa polegają na zapewnieniu bezpieczeństwa zdrowia i życia oraz poczucia bezpieczeństwa, które ulega zachwianiu  poprzez fake news’y, wzbudzające min. panikę, strach czy dynamiczny rozwój sytuacji.

    Należy pamiętać, że sytuacja wokół COVID-19 ewoluuje, dlatego należy do niej racjonalnie podchodzić oraz rozważać wszystkie zagrożenia związane nie tylko z koronowirusem, ale również innymi podatnościami, w tym cyber zagrożeniami.

Bądź bezpieczny! Bądź świadomy! Bądź zdrowy!

Autor: Michał Lubera,
Kierownik Projektu, Specjalizacja: Ochrona Teleinformatyczna i Zarządzanie Oprogramowaniem

 

© Copyright by CompNet Sp. z o. o.