Таким образом, даже несмотря на постепенное ослабление карантинных ограничений, можно с достаточной долей уверенности говорить о том, что к концу 2020-го в мире будет заметно больше удаленных работников, чем в начале года. И несмотря на то, что массовый переход офисных сотрудников на удаленку давно назревал и в целом воспринимается с оптимизмом, переход на remote-работу также создает для многих компаний дополнительные трудности.
Ухудшение кибербезопасности — одна из основных проблем, которые принес компаниям массовый переход на удаленку.
Опасности и риски для бизнеса, связанные с удаленной работой
Согласно недавнему исследованию от OpenVPN, более чем 90% ИТ-профессионалов считают, что удаленные сотрудники в их компании недостаточно защищены с точки зрения кибербезопасности, тогда как 70% считают, что удаленщики несут с собой более серьезные риски, чем обычные офисные работники. Вот только самые базовые проблемы с кибербезопасностью, с которыми бизнес сталкивается из-за удаленщиков.Доступ к корпоративным данным через незащищенные домашние Wi-Fi сети.
Очень часто удаленные сотрудники подключаются к корпоративным сетям и пользуются абочим учетными записями через незащищенные публичные Wi-Fi подключения. Это позволяет злоумышленникам легко получать доступ к их соединениям и воровать конфиденциальную информацию. Данные, которые пересылаются в незашифрованном виде через обычные Wi-Fi сети, очень легко перехватить. Именно поэтому удаленным сотрудникам советуют подключаться к неизвестным Wi-Fi сетям только при условии использования VPN.
Использование личных устройств для работы.
46% опрошенных сотрудников компаний признались в том, что переносили файлы с рабочих устройств на домашние хотя бы раз. Несложно понять, что такие практики приводят к появлению целого ряда рисков. Например, домашнее устройство с конфиденциальными данными компании могут украсть, или сотрудник может просто уволиться, оставив корпоративные данные на своем домашнем устройстве. А если программное обеспечение девайса еще и не обновляется своевременно, это открывает целый букет разного рода уязвимостей.
Несоблюдение режима конфиденциальности и раскрытие корпоративных данных в ходе работы.
Несмотря на то, что чаще всего утечки информации и взломы корпоративных сетей происходят именно из-за уязвимостей в кибербезопасности, нередко проблемы возникают и просто из-за несоблюдения минимальных правил безопасной и конфиденциальной работы. Например, когда сотрудник громко обсуждает по телефону рабочие проекты или работает в публичном месте, так что другие люди могу видеть экран его компьютера. Многие вообще отлучаются, оставляя свои устройства незаблокированными.
Использование сторонних инструментов и платформ.
Еще одно вредное и весьма опасное не только с точки зрения бизнес-процессов, но и кибербезопасности явление — использование удаленными сотрудниками компаний сторонних инструментов и платформ в своей работе. Если, например, сотрудник использует старую версию плохо защищенного мессенджера, хранит файлы на подозрительной и малоизвестной облачной платформе или применяет неодобренные компанией открытые программные продукты с плохой защитой, риск утечки корпоративной информации, и так весьма немаленький, увеличивается в разы.
Несоблюдение корпоративных правил кибербезопасности и отчетности об утечках.
У многих небольших компаний вообще отсутствуют какие-либо правила в отношении кибербезпасности, но даже в тех случаях, когда они есть, очень часто такие правила игнорируются сотрудниками. Особенно в тех случаях, когда речь идет об отчетах в отношении утечек информации, которые не были достаточно масштабными, по мнению работника.
Как укрепить свою защищенность на удаленной работе?
Безопасность сетевых подключений.
Поскольку абсолютное большинство удаленных сотрудников используют для подключения незащищенные публичные Wi-Fi сети, первой и самой главной рекомендацией от экспертов является использование VPN для работы, всегда и без исключений.
“Всегда используйте VPN при подключении ко внутренней сети своей организации. Это помогает предотвращать большинство атак посредников (man-in-the-middle attacks). Также удостоверьтесь в том, что ваш VPN регулярно обновляется, и обязательно используйте многофакторную аутентификацию в качестве еще одного уровня защиты,” — советует Гай Брюно (Guy Bruneau), старший консультант по кибербезопасности в канадской компании IPSS.
Безопасность рабочих устройств.
В некоторых случаях у сотрудников просто нет выбора, и они вынуждены использовать личные устройства для выполнения задач. Однако сам факт использования личных девайсов в работе — один из основных источников проблем.
“Желательно, чтобы у сотрудников был доступ ко внутренней сети организации только с устройств, принадлежащих компании, и все эти устройства находились под контролем команды техподдержки. Если работник вынужден применять личное устройство, по крайней мере следует предварительно проверить его на наличие основных уязвимостей. Также имеет смысл ограничить возможности для хранения, скачивания и копирования данных на личные устройства,” — считает Тони Анскомбе (Tony Anscombe), главный евангелист по безопасности разработчика антивирусов компании ESET.
Аутентификация и авторизация.
Безусловно, удаленная работа значительно повышает необходимость использования многофакторной аутентификации, контроля доступа и создания надежных паролей.
“Убедитесь, что при доступе к системам компании используются надежные брандмауэры и пароли. Найдите достойное программное решение для идентификации и управления доступом, которое поможет автоматизировать переключение и предоставление удаленным работникам разных уровней доступа и технологий,” — рекомендует Джозеф Карсон (Joseph Carson), главный специалист по безопасности компании Thycotic.
Защита каналов коммуникаций и приложений для совместной работы.
Рост популярности мессенджеров и приложений для совместной работы, вроде Microsoft Teams, Slack, WhatsApp и других, привел к тому, что у хакеров появился еще один канал для относительно простого доступа к корпоративным сетям и конфиденциальным данным.
“Одна из проблем таких платформ, как Microsoft Teams или Slack, в том, что они никогда не создавались для безопасного корпоративного использования, и поэтому не могут гарантировать безопасность передаваемых с их помощью данных. Поэтому важно уделять максимально возможное внимание контролю использования этих платформ,” — сказал Анураг Лал (Anurag Lal), президент и исполнительный директор компании NetSfere.
Короткие советы
Это было самое основное, а вот еще ряд коротких советов, которым стоит следовать на удаленной работе, чтобы не оказаться в малоприятной роли дурака, который подставил свою компанию из-за неосторожности.Будьте осторожны с электронной почтой.
Фишинг через электронную почту — все еще один из основных и самых излюбленных методов, с помощью которых киберпреступники заражают компьютеры обычных пользователей вредоносным кодом и находят себе жертв для атак и кражи данных среди компаний.
Шифруйте важную информацию.
К важной информации относятся прежде всего личные, медицинские и финансовые данные, которые могут храниться на удаленных устройствах. Полноценное шифрование в большинстве случаев помогает предотвратить утечку, если носитель с данными потерян или попал не в те руки.
Следите за окружением при работе в публичном месте.
Если вы работаете в кафе или другом публичном месте, всегда имеет смысл удостовериться, что экран вашего лэптопа не просматривается другими людьми.
Следите за физической безопасностью своих устройств.
Никогда не оставляйте ноутбук и другие устройства в машине, не забывайте закрывать двери и окна в своем жилище и следуйте другим базовым советам, которые помогут уменьшить вероятность того, что устройство украдут.
Кибербезопасность на удаленке: слова экспертов
Ну и напоследок поделимся рядом рекомендаций и замечаний по теме от авторитетных экспертов. “Постоянно появляется новая информация об уязвимостях в устройствах Интернета вещей. Я думаю, сейчас отличное время для того, чтобы заняться укреплением их безопасности с помощью сильных паролей и обновления прошивок. Также хорошим решением будет установить на свои устройства специальное приложение для мониторинга домашних сетей на наличие в них уязвимостей, устаревших версий ПО или слабых паролей, которые нужно поменять,” — считает Барбара Рембиеса (Barbara Rembiesa), президент и генеральный директор Международной ассоциации менеджеров ИТ-активов. “Если в вашей организации нет планов или политик в отношении кибербезопасности, сейчас — самое время, чтобы разработать хотя бы базовые рекомендации, касающиеся удаленного доступа к информационным системам компании и использования сотрудниками личных устройств для работы,” — рекомендует Кристофер Бонтемпо (Christopher Buontempo), адвокат в юридической фирме Mintz. “Как общее правило — данные компании никогда не должны скачиваться или сохраняться на личных устройствах или облачных сервисах, включая компьютеры сотрудников, USB-накопители и персональные аккаунты в сервисах вроде Google Drive и Dropbox,” — добавил Бонтемпо. “Для повышения уровня безопасности, компании могут запрещать использование популярных, но плохо защищенных методов коммуникации. Правда, здесь нужно признать, что люди неизбежно будут обходить такие ограничения, если это возможно. Например, совсем недавно меня по ошибке пригласили в закрытую WhatsApp группу одной компании из списка Fortune 500, несмотря на то, что сама компания ограничивает использование данного мессенджера. Поэтому очень важно установить еще один дополнительный уровень безопасности для таких случаев. Один из них — это образование. Важно просвещать сотрудников о том, какие данные особенно важны для компании, и поэтому ни в коем случае не должны быть скомпрометированы,” — сказал Дэвид Крилман (David Creelman), исполнительный директор рекрутинговой компании Creelman Research.
ПЕРЕЙДИТЕ В ПОЛНУЮ ВЕРСИЮ