Ze względu na pandemię wywołaną przez wirus COVID-19 wiele firm decyduje się na wysłanie pracowników na pracę zdalną. Niestety organizacje, które nigdy wcześniej nie rozważały takiego ruchu, nie mają jeszcze odpowiednich zasad regulujących ten tryb pracy. Co gorsza, trudno jest przygotować je na poczekaniu. Spróbujmy ustalić, na czym należy skupić swoją uwagę, aby zminimalizować ryzyko.
Na pierwszy rzut oka jedyną różnicą dla pracowników biurowych jest brak kontaktu ze współpracownikami. W rzeczywistości sprawa jest znacznie bardziej skomplikowana i dotyka takich kwestii jak kanały komunikacji, przestrzenie ustalonych reguł, korzystanie z narzędzi do współpracy, sprzętu oraz dostępu do tego sprzętu.
Kanały komunikacji
Gdy pracownicy pracują w biurach połączonych z siecią lokalną, rozwiązania zabezpieczające czuwają na wymienianymi danymi. Jednak gdy pracownicy pracują z domu, korzystają z internetu prywatnego. Nie wiemy nic o jego dostawy, a także nie mamy kontroli nad stosowanymi zabezpieczeniami. W niektórych przypadkach z domowego internetu może korzystać nie tylko Twój pracownik, ale także potencjalny atakujący. Mówiąc w skrócie, lepiej jest nie udostępniać firmowych tajemnic przez takie kanały komunikacji.
Rozwiązanie: Jeśli Twoi pracownicy muszą łączyć się z zasobami firmowymi zdalnie, upewnij się, że korzystają się z niezawodnego rozwiązania VPN, tworzącego bezpieczny kanał komunikacji pomiędzy stacjami roboczymi a infrastrukturą firmową oraz zapewniającego ochronę firmowym danym przed zagrożeniami z zewnątrz. Zablokuj możliwość uzyskiwania dostępu do zasobów firmowych z sieci zewnętrznych, jeśli użytkownik nie korzysta z wirtualnej sieci prywatnej.
Ustalone procedury
Pracownicy zdalni nie mogą osobiście omawiać ze sobą problemów związanych z pracą, co prowadzi do wzrostu korespondencji obejmującej nowych uczestników (osób, z którymi komunikacja zwykle odbywała się osobiście). Krótko mówiąc, jeśli w biurze nie są obecni wszyscy pracownicy, bardzo zmienia to proces komunikowania się. Taka sytuacja teoretycznie daje atakującemu więcej możliwości, w szczególności jeśli chodzi o używanie ataków BEC. Wśród wielu firmowych e-maili może przemknąć niezauważona jedna wiadomość phishingowa: w takich okolicznościach oszukańcza wiadomość zawierająca prośbę o podanie danych nie będzie wzbudzać podejrzeń. Co więcej, w warunkach domowych wiele osób może być mniej skupionych, a zatem mniej czujnych.
Rozwiązanie: Po pierwsze, nawet pracując w domu, należy używać tylko służbowej poczty e-mail. Ułatwi to zidentyfikowanie sytuacji, w której cyberprzestępca będzie próbować podszyć się pod pracownika, korzystając z konta w innej domenie. Po drugie, serwery poczty muszą być chronione przez technologie, które potrafią wykryć próby zmiany nadawcy wiadomości. Takie technologie zapewniają nasze rozwiązania zarówno dla serwerów pocztowych, jak i usług Microsoft Office 365. I po trzecie, zanim wyślesz pracowników do domu, poinstruuj ich o cyberzagrożeniach.
Narzędzia do współpracy
Po utracie kontaktu osobistego pracownicy mogą szukać innych metod współpracy. Część z nich może mieć sporo wad i musi być prawidłowo skonfigurowana. Na przykład jeśli dokument w Dokumentach Google będzie mieć nieprawidłowo skonfigurowane uprawnienia dostępu, może być indeksowany przez wyszukiwarkę i stać się źródłem wycieku danych firmowych. To samo może się zdarzyć z danymi umieszczonymi w magazynie w chmurze. Ponadto jeśli do środowiska współpracy, takiego jak Slack, dodamy niewłaściwą osobę, może ona uzyskać dostęp do całej historii plików i wiadomości.
Rozwiązanie: Oczywiście najlepiej jest wybrać takie środowisko współpracy, które zapewnia odpowiedni poziom bezpieczeństwa i zestaw funkcji. W idealnym przypadku rejestracja powinna wymagać podania firmowego adresu e-mail. Co więcej, warto wyznaczyć administratora nadającego i anulującego uprawnienia. Ale co najważniejsze, zanim wyślesz pracowników na pracę z domu, zorganizuj spotkanie (może to być sesja zdalna), którego celem będzie uświadomienie cyberhigieny i poinformowanie uczestników, aby używali tylko systemu współpracy wdrożonego w firmie (lub zatwierdzonego przez Ciebie). Nie zaszkodzi również powtórzenie, że są oni odpowiedzialni za bezpieczeństwo firmowych tajemnic.
Sprzęt
Ogólnie rzecz biorąc, nie wszyscy pracownicy mają dostęp do firmowych laptopów, a telefony komórkowe nie nadają się do wszystkich zadań. W związku z tym pracownicy mogą próbować korzystać ze swoich komputerów domowych. W przypadku firm, które nie dopuszczają korzystania z własnych urządzeń do pracy (Bring Your Own Device, BYOD), może to stanowić poważne zagrożenie.
Rozwiązanie: Po pierwsze, jeśli pracownicy muszą pracować w domu, w razie możliwości zapewnij im firmowe laptopy i telefony. Oczywiście urządzenia te muszą być chronione odpowiednimi rozwiązaniami bezpieczeństwa oraz zapewniać możliwość zdalnego usuwania informacji firmowych, oddzielania danych osobowych i firmowych oraz ograniczania instalacji aplikacji. Skonfiguruj je tak, aby automatycznie sprawdzały dostępność najnowszego oprogramowania krytycznego i aktualizacji systemu operacyjnego.
Jeśli z jakiegoś powodu pracownicy muszą korzystać z urządzeń osobistych, wprowadź zasady dotyczące korzystania z nich — na przykład utworzenie oddzielnych partycji dla danych biznesowych i osobistych. Ponadto dopilnuj, aby wszyscy pracownicy zainstalowali oprogramowanie antywirusowe (nawet darmowe) na swoich urządzeniach domowych. W idealnym przypadku urządzenia te powinny łączyć się z sieciami firmowymi tylko wtedy, gdy jest na nich zainstalowane rozwiązanie zabezpieczające, a system operacyjny jest aktualny.
Dostęp do sprzętu
Nigdy nie masz pewności co do tego, gdzie i z kim mieszkają Twoi pracownicy, a zatem kto może przypadkowo uzyskać dostęp do danych. Ponadto mogą oni wybrać się z urządzeniem np. do kawiarni, gdzie ryzyko wycieku jest znacznie większe.
Rozwiązanie: Większość z tych problemów można rozwiązać za pomocą wdrożenia zasad bezpieczeństwa, regulujących używanie haseł i automatyczne blokowania ekranu. Podobnie jak w przypadku innych kwestii związanych z cyberbezpieczeństwem, w szczególności w zakresie pracy zdalnej, zorganizowanie szkolenia uświadamiającego wspomniane kwestie powinno pomóc w utrzymaniu ogólnej czujności.
Seminarium
18 marca nasi eksperci przeprowadzą seminarium internetowe na temat bezpiecznej telepracy. Aby przyłączyć się do dyskusji, zarejestruj się w serwisie BrightTalk.