Як зберегти кар'єру і не уславитися дурнем? Правила кібербезпеки при віддаленій роботі

Нещодавно ми вже говорабо про те, що пандемія коронавірусу несподівано сильно вплинула на те, де і як ми працюємо. Багато співробітників, якось спробувавши працювати з дому, оцінабо всі плюси "віддалення" і хотіли б зберігати такий самий режим і після карантину. Переваги віддаленої роботи виявабося близькими і багатьом компаніям (ще б пак, адже утримувати видальників набагато дешевше), і вони почали повідомляти про послаблення в правилах щодо remote-роботи. Зокрема, про підтримку руху в цю сторону вже заявабо Facebook , Twitter , Apple , Square та низка інших великих ІТ-компаній. Таким чином, навіть незважаючи на поступове ослаблення карантинних обмежень, можна з достатньою впевненістю говорити про те, що до кінця 2020-го у світі буде помітно більше віддалених працівників, ніж на початку року. І незважаючи на те, що масовий перехід офісних співробітників на віддалення давно назрівав і сприймається в цілому з оптимізмом, перехід на remote-роботу також створює для багатьох компаній додаткові труднощі. Погіршення кібербезпеки - одна з основних проблем, які приніс компаніям масовий перехід на віддалення.

Небезпеки та ризики для бізнесу, пов'язані з віддаленою роботою

Згідно з недавнім дослідженням від OpenVPN, більш ніж 90% ІТ-професіоналів вважають, що віддалені співробітники в їхній компанії недостатньо захищені з точки зору кібербезпеки, тоді як 70% вважають, що видальники несуть із собою серйозніші ризики, ніж звичайні офісні працівники. Ось тільки базові проблеми з кібербезпекою, з якими бізнес стикається через віддальників.

1. Доступ до корпоративних даних через незахищені домашні Wi-Fi мережі.

   Найчастіше віддалені співробітники підключаються до корпоративних мереж і користуються обочними обліковими записами через незахищені публічні Wi-Fi підключення. Це дозволяє зловмисникам легко отримувати доступ до їх з'єднань та красти конфіденційну інформацію. Дані, які надсилаються в незашифрованому вигляді через звичайні Wi-Fi мережі, дуже легко перехопити. Саме тому віддаленим співробітникам радять підключатися до невідомих Wi-Fi мереж лише за умови використання VPN.

2. Використання власних пристроїв для роботи.

   46% опитаних співробітників компаній зізналися, що переносабо файли з робочих пристроїв на домашні хоча б раз. Неважко зрозуміти, що такі практики призводять до появи цілого ряду ризиків. Наприклад, домашній пристрій з конфіденційними даними компанії можуть вкрасти або співробітник може просто звільнитися, залишивши корпоративні дані на своєму домашньому пристрої. А якщо програмне забезпечення девайсу ще й не оновлюється своєчасно, це відкриває цілий букет різноманітних уразливостей.

3. Недотримання режиму конфіденційності та розкриття корпоративних даних під час роботи.

   Незважаючи на те, що найчастіше виток інформації та зломи корпоративних мереж відбуваються саме через вразливість у кібербезпеці, нерідко проблеми виникають і просто через недотримання мінімальних правил безпечної та конфіденційної роботи. Наприклад, коли співробітник голосно обговорює по телефону робочі проекти або працює у публічному місці, то інші люди можу бачити екран його комп'ютера. Багато хто взагалі відлучається, залишаючи свої пристрої незаблокованими.

4. Використання сторонніх інструментів та платформ.

   Ще одне шкідливе і вельми небезпечне не тільки з погляду бізнес-процесів, а й кібербезпеки явище використання віддаленими співробітниками компаній сторонніх інструментів і платформ у своїй роботі. Якщо, наприклад, співробітник використовує стару версію погано захищеного месенджера, зберігає файли на підозрілій і маловідомій хмарній платформі або застосовує несхвалені компанією відкриті програмні продукти з поганим захистом, ризик витоку корпоративної інформації, і так вельми чималий, збільшується в рази.

5. Недотримання корпоративних правил кібербезпеки та звітності про витоки.

   Багато невеликих компаній взагалі відсутні якісь правила щодо кібербезпеки, але навіть у тих випадках, коли вони є, дуже часто такі правила ігноруються співробітниками. Особливо в тих випадках, коли йдеться про звіти щодо витоків інформації, які не були досить масштабними, на думку працівника.

Як зміцнити свою захищеність на віддаленій роботі?

Незважаючи на те, що витікання конфіденційних даних шкодять насамперед компаніям, для співробітника, який допустив витік, це теж не несе нічого доброго, і загрожує як мінімум репутацією необережного дурня, а як максимум звільненням або навіть у деяких випадках судовим переслідуванням. Пройдемося за базовими порадами та рекомендаціями щодо кібербезпеки при роботі з дому.

• Безпека підключення до мережі.

  Оскільки абсолютна більшість віддалених співробітників використовують для підключення незахищені публічні Wi-Fi мережі, першою та найголовнішою рекомендацією від експертів є використання VPN для роботи, завжди і без винятків.

  “Завжди використовуйте VPN під час підключення до внутрішньої мережі вашої організації. Це допомагає запобігати більшості атак посередників (man-in-the-middle attacks). Також переконайтеся в тому, що ваш VPN регулярно оновлюється, і обов'язково використовуйте багатофакторну автентифікацію як ще один рівень захисту,” – радить Гай Брюно (Guy Bruneau), старший консультант з кібербезпеки в канадській компанії IPSS.

• Безпека робочих пристроїв.

  У деяких випадках співробітники просто не мають вибору, і вони змушені використовувати особисті пристрої для виконання завдань. Однак сам факт використання особистих девайсів у роботі є одним з основних джерел проблем.

  “Бажано, щоб співробітники мали доступ до внутрішньої мережі організації тільки з пристроїв, що належать компанії, і всі ці пристрої перебували під контролем команди техпідтримки. Якщо працівник змушений застосовувати особистий пристрій, принаймні слід попередньо перевірити його наявність основних уразливостей. Також має сенс обмежити можливості для зберігання, скачування та копіювання даних на особисті пристрої”, - вважає Тоні Анскомбе (Tony Anscombe), головний євангеліст з безпеки розробника антивірусів компанії ESET.

• Аутентифікація та авторизація.

  Безумовно, віддалена робота значно підвищує необхідність використання багатофакторної автентифікації, контролю доступу та створення надійних паролів.

  “Переконайтеся, що при доступі до систем компанії використовуються надійні брандмауери та паролі. Знайдіть гідне програмне рішення для ідентифікації та управління доступом, яке допоможе автоматизувати перемикання та надання віддаленим працівникам різних рівнів доступу та технологій,” – рекомендує Джозеф Карсон (Joseph Carson), головний спеціаліст з безпеки компанії Thycotic.

• Захист каналів комунікацій та додатків для спільної роботи.

  Зростання популярності месенджерів і додатків для спільної роботи, на кшталт Microsoft Teams, Slack, WhatsApp та інших, призвело до того, що у хакерів з'явився ще один канал для простого доступу до корпоративних мереж та конфіденційних даних.

“Одна з проблем таких платформ, як Microsoft Teams або Slack, у тому, що вони ніколи не створювалися для безпечного корпоративного використання, і тому не можуть гарантувати безпеку даних, що передаються з їх допомогою. Тому важливо приділяти максимально можливу увагу контролю за використанням цих платформ,” — сказав Анураг Лал (Anurag Lal), президент і виконавчий директор компанії NetSfere.

Короткі поради

Це було найголовніше, а ось ще низка коротких порад, яким варто слідувати на віддаленій роботі, щоб не опинитися в малоприємній ролі дурня, який підставив свою компанію через необережність.

• Будьте обережні з електронною поштою.

  Фішинг через електронну пошту — все ще один із основних та найулюбленіших методів, за допомогою яких кіберзлочинці заражають комп'ютери звичайних користувачів шкідливим кодом і знаходять собі жертв для атак та крадіжки даних серед компаній.

• Шифруйте важливу інформацію.

  До важливої ​​інформації належать насамперед особисті, медичні та фінансові дані, які можуть зберігатися на віддалених пристроях. Повноцінне шифрування в більшості випадків допомагає запобігти витоку, якщо носій із даними втрачено або потрапив не в ті руки.

• Слідкуйте за оточенням під час роботи у публічному місці.

  Якщо ви працюєте в кафе або іншому публічному місці, завжди є сенс переконатися, що екран вашого лептопа не проглядається іншими людьми.

• Слідкуйте за фізичною безпекою своїх пристроїв.

  Ніколи не залишайте ноутбук та інші пристрої в машині, не забувайте закривати двері та вікна у своїй оселі та дотримуйтесь інших базових порад, які допоможуть зменшити ймовірність того, що пристрій вкрадуть.

Кібербезпека на віддаленні: слова експертів

Ну і насамкінець поділимося низкою рекомендацій та зауважень на тему від авторитетних експертів. “Постійно з'являється нова інформація про вразливість у пристроях Інтернету речей. Я думаю, зараз чудовий час для того, щоб зайнятися зміцненням їхньої безпеки за допомогою сильних паролів та оновлення прошивок. Також хорошим рішенням буде встановити на свої пристрої спеціальний додаток для моніторингу домашніх мереж на наявність у них уразливостей, застарілих версій ПЗ або слабких паролів, які потрібно поміняти, - вважає Барбара Рембієса (Barbara Rembiesa), президент і генеральний директор Міжнародної асоціації менеджерів ІТ- активів. “Якщо у вашій організації немає планів чи політик щодо кібербезпеки, зараз – саме час, щоб розробити хоча б базові рекомендації, що стосуються віддаленого доступу до інформаційних систем компанії та використання співробітниками особистих пристроїв для роботи,” – рекомендує Крістофер Бонтемпо (Christopher Buontempo), адвокат у юридичній фірмі Mintz. "Як загальне правило - дані компанії ніколи не повинні скачуватися або зберігатися на особистих пристроях або хмарних сервісах, включаючи комп'ютери співробітників, USB-накопичувачі та персональні облікові записи в сервісах на кшталт Google Drive і Dropbox", - додав Бонтемпо. “Для підвищення рівня безпеки компанії можуть забороняти використання популярних, але погано захищених методів комунікації. Щоправда, тут треба визнати, що люди неминуче обходитимуть такі обмеження, якщо це можливо. Наприклад, зовсім недавно мене помилково запитабо до закритої WhatsApp групи однієї компанії зі списку Fortune 500, незважаючи на те, що сама компанія обмежує використання цього месенджера. Тому дуже важливо встановити ще один додатковий рівень безпеки для таких випадків. Один із них — це освіта. Важливо просвітлювати співробітників про те, які дані особливо важливі для компанії, і тому в жодному разі не повинні бути скомпрометовані», - сказав Девід Крілман (David Creelman), виконавчий директор рекрутингової компанії Creelman Research.