Cyberbezpieczeństwo w organizacji zdalnej. O czym firmy muszą pamiętać?
W czasie pandemii przywykliśmy już do pracy zdalnej i hybrydowej. PwC przeprowadziło badanie wśród 133 menedżerów i dyrektorów z różnych firm, i wynika z niego, że dla podtrzymania kultury organizacyjnej wskazana jest praca hybrydowa. Pracodawcy zdają sobie sprawę, że jeśli załoga pracowałaby całkowicie zdalnie, udałoby się wprowadzić wiele oszczędności, niemniej zależy im, aby budować silną kulturę organizacji i dobre relacje wśród pracowników. Do tego potrzebna jest praca w biurze, dlatego najwięcej ankietowanych (29 proc.) opowiedziało się za tym, by pracownicy przez 3 dni w tygodniu przychodzili do biura. To zdaniem pracodawców optymalne rozwiązanie, choć 18 proc. preferowałoby 4 dni w biurze, a 15 proc. - 2 dni. Jednym z wyzwań, które stoi przed firmami dopuszczającymi pracę zdalną, jest jednak ryzyko naruszeń danych i ataków. Pracownicy często bowiem używają prywatnych sieci i urządzeń, które zazwyczaj są gorzej zabezpieczone niż sprzęt służbowy wykorzystywany w biurze. Albo wcale.
- Cyberbezpieczeństwo stało się priorytetem dla firm w dobie pandemii
- Liczba ataków znacznie wzrosła w ostatnich miesiącach
- Phishing, BYOD, shadow IT oraz szyfrowanie — te pojęcia powinien przyswoić sobie dział IT, jeśli chce zatroszczyć się o bezpieczeństwo pracowników zdalnych
- Przedsiębiorstwa, jeśli tego jeszcze nie zrobiły, powinny stworzyć politykę pracy zdalnej z konkretnymi zaleceniami i wymaganiami w zakresie bezpieczeństwa
- Tekst pochodzi z cyklu publikacji na temat cyfryzacji i przy okazji konkursu Chief Digital Officer of the Year 2021. Sprawdź szczegóły konkursu
Praca zdalna i hybrydowa stały się bardzo atrakcyjne zarówno dla pracowników, jak i pracodawców. Dużą wadą jest jednak zwiększone zagrożenie dotyczące cyberataków i naruszeń. Działy IT mają przed sobą zdecydowanie więcej pracy, ponieważ muszą poświęcać więcej uwagi i zasobów na ochronę danych firmowych bez względu na to, gdzie pracownicy realizują swoje zadania służbowe. A wyzwań jest sporo — od używania słabych haseł po logowanie się do niezabezpieczonych sieci. Pracownicy mogą mieć dobre intencje, natomiast nawet drobna chwila nieuwagi otwiera drzwi hakerom i prowadzi do strat tak finansowych, jak i wizerunkowych.
To sprawia, że pracodawcy nie mają wyjścia: powinni zdecydowanie więcej uwagi i środków przeznaczyć na cyberbezpieczeństwo. Jakie praktyki są zalecane?
Usługi chmurowe i praca w miejscach publicznych
Polityka firmy powinna zawierać listę oprogramowania dopuszczonego i zaakceptowanego przez dział IT. Pracownicy mogą wykonywać zadanie służbowe właśnie na takim oprogramowaniu - i nie na innym. Kolejna kwestia to aktualizacje. Jeśli oprogramowanie nie jest zaktualizowane do najnowszej wersji, może zawierać luki w bezpieczeństwie. Jeśli korzystamy z narzędzi instalowanych na dysku komputera, wyzwaniem okaże się ich aktualizowanie. Dział IT będzie musiał troszczyć się o to, by pracownicy instalowali aktualizacje, i to jak najszybciej od ich wydania.
Z tego powodu zalecane są przede wszystkim usługi chmurowe. Aplikacje działające w chmurze dają nam nie tylko wygodę w zakresie dostępu, ale też zawsze są oferowane w najnowszej wersji - i wszędzie. Aktualizacje są bowiem wprowadzane po stronie dostawców oprogramowania, a ci robią to niezwłocznie. Po stronie działu IT może być wówczas okresowe przypominanie o aktualizowaniu systemu operacyjnego oraz oprogramowania antywirusowego.
Wybierając usługi chmurowe zadbajmy natomiast o to, aby pochodziły od firm z dobrą reputacją. Bardzo dobrym wyborem będzie też dostawca, który wykorzystuje szyfrowaną infrastrukturę.
W przypadku pracy zdalnej trzeba zdawać sobie sprawę, że nie zawsze oznacza ona pracę z domu. Wiele osób może pracować zdalnie, ale zechce robić to z kawiarni, restauracji, centrum handlowego czy innych miejsc. Zdecydowanie warto zabronić wykorzystywania publicznych sieci WiFi. Zazwyczaj nie mają one nie tylko tak dobrych zabezpieczeń, jak sieci biurowe, ale nawet te domowe. Cyberprzestępcy mogą wówczas łatwo uzyskać dostęp do komputera danej osoby, jeśli tylko będą w tej samej sieci. A co, jeśli pracownik akurat musi popracować z centrum handlowego lub lotniska? Niech skorzysta z osobistego hotspotu, łącząc się przez smartfona.
Czytaj też: Cyfryzacja sprzyja elastyczności. Kolejne produkty dostępne z poziomu ekranu smartfonu
Szyfrowanie i brak wsparcia dla BYOD
Chcąc zatroszczyć się o bezpieczeństwo w dobie pracy zdalnej, powinniśmy także postawić na szyfrowanie. W sytuacji, gdy pracownik zgubi urządzenie lub zostanie ono skradzione, szyfrowanie sprawi, że unikniemy problemu z wyciekiem danych. Zadbajmy, aby wszyscy pracownicy zdalni korzystali z urządzeń, które mają aktywne szyfrowanie plików i dokumentów.
Dodatkowo pamiętajmy, aby uaktywnić szyfrowanie również w poczcie e-mail. Na pewno zwiększymy bezpieczeństwo, jeśli szyfrowane będą także pliki dołączane do e-maili - niepożądany odbiorca nie będzie mógł wówczas przeglądać informacji.
Bring Your Own Device (BYOD) to dość popularne podejście, szczególnie w mniejszych firmach, dysponujących niższymi budżetami IT. Zakłada, że pracownik wykorzystuje do pracy własne, prywatne urządzenia, ale też oprogramowanie. Jeśli tylko możemy wyposażyć pracownika w sprzęt służbowy - zróbmy to. Dział IT przygotuje urządzenia w odpowiedni sposób, przeprowadzi należytą konfigurację, jak również będzie w stanie zdalnie i łatwo zarządzać takimi komputerami czy smartfonami. Zdecydowanie zmniejszymy ryzyko cyber ataków, jeśli postawimy na sprzęt kontrolowany przez firmę, z odpowiednimi rozwiązaniami zabezpieczającymi. Warto dodać, aby zablokować opcję podłączania do służbowego komputera zewnętrznych dysków pracownika i innych niezatwierdzonych przez firmę akcesoriów.
Z BYOD nierozerwalnie łączy się także shadow IT. Tym pojęciem z kolei określamy sprzęty i oprogramowanie, które pracownicy wykorzystują bez wiedzy i zgody działu IT. Zdarza się, że dana osoba np. preferuje konkretny sprzęt i nie chce pracować na czymś innym. Firma dostarcza jej komputer służbowy, ale ona i tak pracuje na swoim prywatnym. W takim wypadku powinniśmy zadbać, aby dostęp do służbowych danych i aplikacji był możliwy tylko z poziomu sprzętu służbowego. Można zrozumieć osobiste preferencje pracownika, jednak bezpieczeństwo danych i – co za tym idzie – firmy, powinno być ważniejsze.
Konieczne szkolenia
Na koniec zostają szkolenia. Nie zakładajmy, że personel samodzielnie zadba o odpowiednie bezpieczeństwo. Weźmy też pod uwagę, że w pracy zdalnej dochodzi kolejne ryzyko: dzieci, partnerzy, współlokatorzy. Zadbajmy o to, aby pracownicy byli świadomi wszelkich zagrożeń — a przynajmniej tych, które często mają miejsce.
Jednym z najpopularniejszych ataków w dobie pracy zdalnej jest phishing. Cyberprzestępcy podszywają się pod kogoś z firmy, często z działu kadr, próbując zmusić pracownika do podania danych. Nierzadko działają na emocjach, co w czasie pandemii jest łatwe do przeprowadzenia — przykładowo możemy otrzymać e-mail, że firma wprowadzi obowiązkowe szczepienia i jeśli się nie zaszczepimy, to stracimy zatrudnienie. W wiadomości znajdzie się link z informacją, że jeśli chcemy, możemy jednak się nie szczepić, ale trzeba wypełnić formularz. Niektóre osoby wypełnią taki formularz, a potem okaże się, że ich dane — w tym dane poufne i firmowe — trafią do rąk cyberprzestępcy. Z kolei dział kadr wyjaśni, że firma wcale nie zamierzała wprowadzać takiej polityki. A to tylko jeden przykład phishingu, często przytaczany na szkoleniach.