Кібербезпека фірми під час дистанційної роботи: що компаніям потрібно пам’ятати?
Ми вже звикли до дистанційної та змішаної роботи. PwC провела опитування серед 133 менеджерів і директорів з різних компаній, яке показало, що для підтримки організаційної культури рекомендується змішана робота. Роботодавці усвідомлюють, що якби персонал працював повністю віддалено, заощадити можна багато, але вони хочуть побудувати міцну організаційну культуру та добрі стосунки між співробітниками. Для цього потрібно працювати в офісі, тому більшість респондентів (29%) висловилися за те, щоб працівники приходили в офіс 3 дні на тиждень. На думку роботодавців, це оптимальне рішення, хоча 18 % опитаних воліли б перебувати 4 дні в офісі, а 15% - 2 дні.
Однією з проблем, з якою стикаються компанії, що практикують віддалену роботу, є ризик злому даних і кібератак. Співробітники часто використовують приватні мережі та пристрої, які зазвичай менш безпечні, ніж робоче обладнання в офісі. Кібербезпека стала пріоритетом для компаній в епоху пандемії, адже за останні місяці кількість атак значно зросла. Фішинг, BYOD, тіньові ІТ та шифрування – ці концепції має прийняти ІТ-відділ, якщо він хоче забезпечити безпеку співробітників на дистанційній роботі. Підприємства, якщо вони ще цього не зробили, повинні розробити політику віддаленої праці з конкретними рекомендаціями та вимогами безпеки
Дистанційна та гібридна робота стала дуже привабливою як для працівників, так і для роботодавців. У IT-відділів у такій ситуації набагато більше роботи, оскільки вони повинні приділяти більше уваги та ресурсів захисту корпоративних даних, незалежно від того, де підлеглі виконують робочі завдання. Багато проблем може бути навіть від використання слабких паролів до входу в незахищені мережі. Навіть невеликий момент неуважності відкриває двері для хакерів і призводить до фінансових та іміджевих втрат.
Це не залишає роботодавцям іншого вибору, крім як приділяти набагато більше уваги та ресурсів кібербезпеці. Що ж саме рекомендовано зробити?
«Хмарні» сервіси та робота в громадських місцях
Політика компанії повинна включати перелік програмного забезпечення, затвердженого ІТ-відділом. Співробітники можуть виконувати робочі завдання лише на такому програмному забезпеченні, а не на якомусь іншому. Інша проблема – оновлення. Якщо ваше програмне забезпечення не оновлено до останньої версії, воно може мати вразливості безпеки. У випадку використання інструментів, встановлених на жорсткому диску комп’ютера, їх оновлення буде складним завданням. ІТ-відділ повинен подбати, щоб працівники встановили оновлення якомога швидше після їх випуску.
З цієї причини рекомендується використовувати хмарні сервіси. Додатки, що працюють у хмарі, не тільки забезпечують зручність доступу, але й завжди пропонуються в останній версії – і скрізь. Оновлення вводяться на стороні постачальників програмного забезпечення, і вони роблять це негайно. ІТ-відділ може періодично нагадувати вам про оновлення операційної системи та антивірусного програмного забезпечення.
Вибираючи хмарні сервіси, подбайте про те, щоб вони були від компаній з хорошою репутацією. Провайдер, який використовує зашифровану інфраструктуру, також буде дуже хорошим вибором.
Робота віддалено не завжди означає виконання її з дому. Багато людей можуть працювати дистанційно, але часто комфортно це робити в кафе, ресторанах, торгових центрах чи інших місцях. Однозначно варто заборонити використання загальнодоступних мереж WiFi. Зазвичай вони не мають такого хорошого захисту, як офісні мережі, або навіть домашні мережі. Кіберзлочинці можуть легко отримати доступ до комп’ютера особи, якщо вони знаходяться в одній мережі. Що робити, якщо працівнику просто потрібно працювати з торгового центру чи аеропорту? Дозвольте йому використовувати свою особисту точку доступу, підключившись через смартфон.
Шифрування без підтримки BYOD
Якщо ми хочемо подбати про безпеку в епоху віддаленої роботи, ми також повинні зосередитися на шифруванні. У ситуації, коли співробітник загубив пристрій або його вкрали, шифрування допоможе уникнути проблеми витоку даних. Тому усі віддалені працівники повинні використовувати пристрої, які мають активне шифрування файлів і документів.
Крім того, слід активувати шифрування також в електронній пошті. Безпека покращиться, якщо файли, прикріплені до електронних листів, також будуть зашифровані – тоді небажаний одержувач не зможе переглянути інформацію.
«Принесіть свій власний пристрій» (BYOD) є досить популярним підходом, особливо в невеликих компаніях з меншими ІТ-бюджетами. Передбачається, що працівник використовує для роботи власні приватні пристрої та програмне забезпечення. Якщо можливо оснастити співробітника тільки службовим обладнанням – зробіть це. ІТ-відділ належним чином підготує пристрої, виконає відповідну конфігурацію та зможе дистанційно й легко керувати такими комп’ютерами чи смартфонами. Ризик кібератак звичайно буде зменшено, якщо роботу персонал буде виконувати на обладнанні фірми. Також слід заблокувати можливість підключення до робочого комп’ютера зовнішніх накопичувачів співробітника та інших аксесуарів, не дозволених компанією.
Shadow IT також нерозривно пов'язаний з BYOD. Цей термін, своєю чергою, означає апаратне та програмне забезпечення, яке співробітники використовують без відома та згоди ІТ-відділу. Буває, що людина, наприклад, віддає перевагу конкретному обладнанню і не хоче працювати над чимось іншим. Компанія постачає їй робочий комп'ютер, але вона все ще працює на приватному. У цьому випадку ми повинні переконатися, що доступ до бізнес-даних і додатків можливий лише з обладнання компанії. Ви можете зрозуміти особисті переваги співробітника, але безпека ваших даних і, отже, вашого бізнесу має бути важливіше.
Необхідна підготовка
На завершення – слід задуматися про тренінги, персонал не подбає про належну безпеку самостійно. Врахуємо також, що в дистанційній роботі є ще один ризик: діти, партнери, сусіди по кімнаті. Подбайте про те, щоб співробітники усвідомлювали всі ризики – або принаймні ті, які часто виникають.
Однією з найпопулярніших атак в епоху віддаленої роботи є фішинг. Кіберзлочинці видають себе за когось із компанії, часто з відділу кадрів, намагаючись змусити співробітника надати дані. Вони часто діють на емоціях. Наприклад, ми можемо отримати електронний лист про те, що компанія запровадить обов’язкові щеплення, і якщо ми не зробимо щеплення, ми втратимо роботу. У повідомленні буде посилання з інформацією, що при бажанні ми можемо, однак, не вакцинуватися, а заповнити форму. Деякі люди заповнюють таку форму, а потім виявляють, що їхні дані, включаючи конфіденційні та корпоративні дані, опинилися в руках кіберзлочинців. Своєю чергою, у відділі кадрів пояснять, що компанія взагалі не мала наміру реалізовувати таку політику. І це лише один із прикладів фішингу, який часто згадується на навчальних курсах.