Rok 2020 zapoczątkował lub bardzo zintensyfikował zmiany w formie pracy, nieustannie rośnie liczba pracowników zdalnych i można zakładać, że zasady pracy które już teraz wielu pracodawców musiało wdrożyć nie powrócą do stanu sprzed pandemii, a przynajmniej nie będzie to o wiele większy zakres wykorzystania pracy zdalnej. Gdy wiele firm nagle lub tymczasowo zostało zmuszonych do przejścia na pracę zdalną, z dużym prawdopodobieństwem zabrakło czasu, aby przeszkolić pracowników, którzy mogą nie wiedzieć, jak bezpiecznie pracować. Na co zatem zwrócić szczególną uwagę w związku ze zdalną pracą. Jednym z takich elementów jest podnoszenie świadomości pracowników w zakresie stosowania zasad bezpieczeństwa.

Zdalni pracownicy mogą nieświadomie narażać dane firmy na ryzyko. Praca w domu może potencjalnie prowadzić do naruszenia bezpieczeństwa danych, fałszowania tożsamości i wielu innych negatywnych konsekwencji. Nieświadomie stosując złe praktyki w zakresie cyberbezpieczeństwa, pracownicy mogą dać hakerom i cyberprzestępcom dostęp do firmowych zasobów. Jednym z zagrożeń jest phishing. Działania phisingowe zwykle za pośrednictwem poczty e-mail, w celu nakłonienia do podania osobistych danych logowania lub poufnych informacji, które można następnie wykorzystać do włamania się na konta, kradzieży wrażliwych informacji, przeprowadzenia oszustwa. E-maile phishingowe stały się tak wyrafinowane, że coraz trudniej je wykryć, zwłaszcza gdy wiadomości phishingowe przedostają się przez filtry antyspamowe skrzynki odbiorczej pracownika.

Szkolenie pracowników w zakresie wykrywania i unikania wiadomości phishingowych może znacznie zmniejszyć ryzyko wyłudzenia. Aby zbudować skuteczny program szkoleń i budowania świadomości, szkolenia powinny być realizowane już na początku zatrudnienia oraz w szczególności w sytuacji wprowadzania zmian w procesach biznesowych, które mogą mieć wpływa na bezpieczeństwo zasobów firmowych. Dodatkowo warto edukować pracowników w zakresie dobrych praktyk bezpieczeństwa wykorzystując biuletyny, testy phisingowe.

Na co zdalni pracownicy powinni zwrócić szczególną uwagę i jaki informacje przekazywać w celu podnoszenia świadomości. Między innymi polecamy stosowanie poniższych zasad:

  1. Pracownicy powinni rozdzielać informacje służbowe od prywatnych np.: sprawdzanie poczty osobistej zdecydowanie lepiej jest wykonywać na smartfonie prywatnym niż komputerze służbowym podłączonym poprzez VPN do sieci firmowej.
  2. Pracując w domu ważne jest, aby zabezpieczać sprzęt firmowy np.: przed ciekawskimi dziećmi. Każde pozostawienie komputera bez nadzoru powinno zostać poprzedzone zablokowaniem ekranu.
  3. Należy wskazać pracownikom jak powinni zadbać o zabezpieczenie domowej sieci Wi-Fi – zmiana domyślnego hasła routera, ustawienie szyfrowania, jeżeli router to umożliwia – odizolowanie sieci, z której łączymy się z zasobami firmowymi od sieci wykorzystywanej przez pozostałych użytkowników/domowników.
  4. Zwrócić uwagę pracowników na aktualizacje oprogramowania routera domowego, które są często pomijane. Urządzenia, które nie będą miały załatanych luk w zabezpieczeniach, stanowią dodatkowe ryzyka wycieku informacji.
  5. Wdrożyć i wykorzystywać szyfrowane połączenia VPN, nawet w sytuacji, kiedy pracownik łączy się do firmowych zasobów cloudowych, to kierując ruch sieciowy przez firmowego firewall’a lub UTM’a, zwiększymy poziom bezpieczeństwa danych firmowych. Wiele osób nie posiada firewall w domowym routerze. A jeśli nawet w routerze domowym zaimplementowano podstawowy firewall, to jest to rozwiązanie o wielokrotnie słabszej skuteczności niż profesjonalne zapory lub zintegrowane systemy zabezpieczające.
  6. Zwrócić uwagę na wiadomości phishingowe, zwłaszcza teraz dotyczące koronawirusa. Wiadomo, że przestępcy wykorzystują obecną sytuację, wysyłając wiadomości phishingowe lub rozpowszechniając złośliwe oprogramowanie.
  7. Poinformowanie pracowników jak zadbać o aktualność wykorzystywanego oprogramowania i wtyczek. Gdy tylko zostaną ujawnione luki w oprogramowaniu, cyberprzestępcy próbują je wykorzystać. Aby zapobiec tego typu atakom, należy instalować aktualizacje i poprawki bezpieczeństwa natychmiast po ich udostępnieniu.
  8. Administratorzy powinni być na bieżąco z pojawiającymi się zagrożeniami i istniejącymi rozwiązaniami, ale również niezbędne jest poinformowanie pracowników o możliwych zagrożeniach.
  9. Uświadomienie pracowników, że zapisywanie haseł w przeglądarkach jak i ich powtarzanie na kontach osobistych i firmowych to zła praktyka. Ujawnienie hasła do konta prywatnego może narazić firmę na wyciek danych, a każdorazowe zapisanie hasła stwarza okazję, że ktoś może to hasło odkryć.
  10. Zapewnienie, że wysyłane pocztą e-mail wrażliwe dane zawsze zostaną zaszyfrowane.
  11. Zwrócić uwagę, aby praca zdalna nie była wykonywana na urządzeniach prywatnych, zwłaszcza smartfonach. Większość osób nie myśli o szyfrowaniu prywatnych urządzeń, urządzenie powinno być zaszyfrowane podobnie jak firmowy laptop. W przypadku, gdy nie ma możliwości zapewnienia wszystkim pracownikom służbowego sprzętu, warto rozważyć skorzystanie z usługi Desktop-as-a-Service (DaaS).
  12. Zabezpieczenie drukarek domowych np. wyłączenie funkcji takich jak drukowanie z dowolnego miejsca, skanowanie dokumentów na wewnętrzny dysk drukarki, dostępny z każdego urządzenia w sieci domowej.

Oczywiście powyższe wytyczne nie stanowią katalogu zamkniętego i obowiązywać powinny również wtedy, gdy nie ma globalnej pandemii, ale teraz, gdy praca zdalna odbywa się na największą skalę w historii, w szczególności warto zadbać o bezpieczeństwo zasobów firmowych.

Autor: Piotr Maziakowski