Кибербезопасность фирмы при дистанционной работе: что компаниям нужно помнить?
Во время пандемии мы уже привыкли к дистанционной и смешанной работе. PwC провела опрос среди 133 менеджеров и директоров из разных компаний. Он показал, что для поддержки организационной культуры рекомендуется смешанная работа. Работодатели отдают себе отчет, что, если бы персонал работал полностью удаленно, сэкономить можно много, но они хотят построить прочную организационную культуру и хорошие отношения между сотрудниками. Для этого нужно работать в офисе, поэтому большинство респондентов (29%) высказались за то, чтобы работники приходили в офис 3 дня в неделю. По мнению работодателей, это оптимальное решение, хотя 18% опрошенных предпочли бы находиться 4 дня в офисе, а 15% – 2 дня.
Одной из проблем, с которой сталкиваются компании, практикующие удаленную работу, является риск взлома данных и кибератак. Сотрудники часто используют частные сети и устройства, обычно менее безопасные, чем рабочее оборудование в офисе. Кибербезопасность стала приоритетом для компаний в эпоху пандемии, ведь за последние месяцы количество атак значительно возросло. Фишинг, BYOD, теневые ИТ и шифрование – эти концепции должны принять ИТ-отдел, если он хочет обеспечить безопасность сотрудников на дистанционной работе. Предприятия, если они этого еще не сделали, должны разработать политику удаленной работы с конкретными рекомендациями и требованиями безопасности
Удаленная и гибридная работа стала очень привлекательной как для людей, так и для работодателей. У IT-отделов в такой ситуации гораздо больше работы, поскольку они должны уделять много внимания и ресурсам защиты корпоративных данных, независимо от того, где подчиненные выполняют рабочие задания. Многие проблемы могут быть даже от использования слабых паролей до входа в незащищенные сети. Даже небольшой момент невнимательности открывает двери для хакеров и приводит к финансовым и имиджевым потерям.
Это не оставляет работодателям иного выбора, кроме как уделять гораздо больше внимания и ресурсам кибербезопасности. Что же рекомендуется сделать?
Облачные сервисы и работа в общественных местах
Политика компании должна включать список программного обеспечения, утвержденного ИТ-отделом. Сотрудники могут выполнять рабочие задания только на таком программном обеспечении, а не на каком-либо другом. Другая проблема – обновление. Если ваше программное обеспечение не обновлено до последней версии, оно может иметь уязвимость безопасности. В случае использования инструментов, установленных на жестком диске компьютера, их обновление будет сложной задачей. ИТ-отдел должен позаботиться о том, чтобы работники установили обновление как можно скорее после их выпуска.
По этой причине рекомендуется использовать облачные услуги. Приложения, работающие в облаке, не только обеспечивают удобство доступа, но всегда предлагаются в последней версии – и везде. Обновление вводится на стороне поставщиков программного обеспечения, и они делают это немедленно. ИТ-отдел может периодически напоминать об обновлении операционной системы и антивирусного программного обеспечения.
Выбирая облачные сервисы, позаботьтесь о том, чтобы они были от компаний с хорошей репутацией. Провайдер, использующий зашифрованную инфраструктуру, будет очень хорошим выбором.
Работа удаленно не всегда означает ее выполнение из дома. Многие могут работать дистанционно, но часто комфортно это делать в кафе, ресторанах, торговых центрах или других местах. Однозначно следует запретить использование общедоступных сетей WiFi. Обычно у них нет такой хорошей защиты, как офисные сети, или даже домашние сети. Киберпреступники могут легко получить доступ к компьютеру человека, если они находятся в одной сети. Что делать, если работнику просто нужно работать из торгового центра или аэропорта? Позвольте ему использовать личную точку доступа, подключившись через смартфон.
Шифрование без поддержки BYOD
Если мы хотим позаботиться о безопасности в эпоху удаленной работы, мы должны сосредоточиться на шифровании. В ситуации, когда сотрудник потерял устройство или его украли, шифрование поможет избежать проблемы утечки данных. Поэтому все удаленные сотрудники должны использовать устройства с активным шифрованием файлов и документов.
Кроме того, следует активировать шифрование также в электронной почте. Безопасность улучшится, если файлы, прикрепленные к электронной почте, также будут зашифрованы – тогда нежелательный получатель не сможет просмотреть информацию.
«Принесите свое собственное устройство» (BYOD) довольно популярный подход, особенно в небольших компаниях с меньшими ИТ-бюджетами. Предполагается, что работник использует для работы частные устройства и программное обеспечение. Если можно оснастить сотрудника только служебным оборудованием – сделайте это. ИТ-отдел правильно подготовит устройства, выполнит соответствующую конфигурацию и сможет дистанционно и легко управлять такими компьютерами или смартфонами. Риск кибератак снизится, если работу персонал будет выполнять на оборудовании фирмы. Также следует заблокировать возможность подключения к рабочему компьютеру внешних накопителей сотрудника и других аксессуаров, не разрешенных компанией.
Shadow IT также неразрывно связан с BYOD. Этот термин в свою очередь означает аппаратное и программное обеспечение, которое сотрудники используют без ведома и согласия ИТ-отдела. Бывает, что человек, например, предпочитает конкретное оборудование и не хочет работать с чем-то другим. Компания поставляет ей рабочий компьютер, но он все же работает на личном. В этом случае мы должны убедиться, что доступ к бизнес-данным и приложениям возможен только с оборудования компании. Вы можете понять личные предпочтения сотрудника, но безопасность ваших данных и, следовательно, вашего бизнеса должна быть важнее.
Необходимая подготовка
В завершение – следует задуматься о тренингах, ведь персонал не позаботится о должной безопасности самостоятельно. Учтем также, что в дистанционной работе существует еще один риск: дети, партнеры, соседи по комнате. Позаботьтесь о том, чтобы сотрудники осознавали все риски – или, по крайней мере, часто возникающие.
Одной из самых популярных атак в эпоху отдаленной работы является фишинг. Киберпреступники выдают себя за кого-то из компании, часто из отдела кадров, пытаясь заставить сотрудника предоставить данные. Они часто действуют на эмоции. Например, мы можем получить электронное письмо о том, что компания введет обязательные прививки, и если мы не сделаем прививку, потеряем работу. В сообщении будет ссылка на информацию, что при желании мы можем, однако, не вакцинироваться, а заполнить форму. Некоторые люди заполняют такую форму, затем обнаруживают, что их данные, включая конфиденциальные и корпоративные данные, оказались в руках киберпреступников. В свою очередь, в отделе кадров объяснят, что компания вообще не собиралась реализовывать такую политику. И это лишь один из примеров фишинга, часто упоминаемый на учебных курсах.