Egy 2022-es kiberbiztonsági jelentés szerint a szervezetek több mint 49%-a állítja, hogy a kutatást megelőző két évben adatbetörést szenvedett el – szemben a pandémia előtti 39%-os eredményekkel.
A TOPdesk IT- és biztonsági szakértői szerint a nyári időszakban érdemes ráerősíteni az alapvető biztonsági követelményekre, hiszen a kiberbiztonság megsértésének 95%-a emberi hibára vezethető vissza. Ráadásul, mivel a kollégák ebben az évszakban sokat dolgoznak távol az informatikai részleg figyelő szemeitől, az iránymutatások betartásának felelőssége leginkább a dolgozókra hárul.
Ha tehát az IT-biztonság már nem csak az informatikusok feladata, a kollégákat érdemes egy rövid dokumentum formájában tájékoztatni a legfontosabb biztonsági teendőkről és tilalmakról. Ez nem csak abban segít, hogy az alkalmazottak ne kövessenek el alapvető biztonsági hibákat, de a kollégák értékelni is fogják, hogy kéznél vannak ezek a kulcsfontosságú információk.
A napi munka közben a kollégáknak figyelembe kell venniük: Ki áll mögöttem munka közben? Védett hálózatot használok? Feloldatlanul és felügyelet nélkül hagyom-e a készülékemet? Megengedhetem-e egyáltalán, hogy a partnerem vagy családtagjaim kölcsönvegyék a munkaeszközömet?
Amikor a távmunka kezdett mindennapossá válni, az informatikai osztályok többségének elsődleges célja az volt, hogy biztosítsa az emberek otthoni környezetét a munkavégzéshez. A valóság azonban az, hogy a kutatások szerint egyre többen kezdenek úgynevezett “harmadik terekben”, például kávézókban, könyvtárakban vagy útközben dolgozni, ami ugyan a kollégáknak szabadságot és rugalmasságot biztosít, de egyben növeli a biztonsági fenyegetések kockázatát is.
A távmunka során a legfontosabb tényezők, amire oda kell figyelnie a munkavállalóknak:
- Az eszközök és dokumentumok biztonsága
Talán magától értetődőnek tűnhet, mégis javasolt emlékeztetni a kollégákat, hogy vigyázzanak a vállalat által biztosított hardverekre és szoftverekre, hiszen távmunkában nehéz fizikai segítséget küldeni vagy cserét biztosítani. Ugyanígy érdemes felhívni a figyelmet arra, hogy minden fontos dokumentumról készüljön biztonsági másolat.
- Jelszó- és belépési biztonság
A digitális jelszavak megfelelő használatát jelszó-higiéniának is nevezik, ami magában foglalja az erős, egyedi, és rendszeresen cserélt jelszavak használatát minden alkalmazáshoz és minden felhasználói fiókhoz. A személyes és céges adatok védelme érdekében különösen fontos minderre odafigyelni a szigorúbb irodai környezeten kívüli munka során. Nem könnyű több tucatnyi egyedi és bonyolult jelszót fejben tartani, de erre nincs is szükség: a jelszókezelő alkalmazások biztonságosan generálnak és tárolnak összetett jelszavakat, ezáltal csökkentve az emberi hiba lehetőségét, a gyenge vagy újrafelhasznált jelszavak kockázatát. Emellett a többfaktoros hitelesítés (MFA) bevezetése a jelszavakon túl további biztonságot jelent. Az egyszerű kétlépcsős ellenőrzéssel szemben, ami jellemzően egy jelszót és egyetlen másodlagos tényezőt (például egy SMS kódot) tartalmaz, az MFA két vagy több különböző típusú hitelesítési tényezőt igényel – a laptopon beírt jelszó mellett például okostelefonon lévő alkalmazásba érkező kódot, vagy akár biometrikus ellenőrzést, így jelentősen megerősítve a jogosulatlan hozzáférés elleni védelmet.
- Magán- vagy magánhasználatú céges eszközök
A hibrid munkavégzés elterjedése azt jelenti, hogy egyre több munkavállaló dönt úgy, hogy személyes eszközeit, például laptopjait és telefonjait használja munkájához. Ennek rövidítése a BYOD = bring your own devices. A kollégák számára ez gyakran kényelmesebb, az informatikai részlegek számára azonban a személyes eszközök potenciális biztonsági kockázatot jelentenek. Ha ez engedélyezett a cégben, határozzuk meg a határokat – azt, hogy mit tehetnek meg a kollégák ezeken az eszközökön és mit nem. Ráadásul, mivel a BYOD-eszközök általában személyes és üzleti adatok keverékét tartalmazzák, az IT számára nehezebb biztosítani és távolról irányítani őket, ha valami baj történne. Szintén gondot okozhat, ha a távmunka időszakában valaki a gyerekeit is odaengedi a munkához használt laptophoz vagy mobilhoz. Érdemes jelezni a kollégáknak, hogy ne engedjék, hogy a gyerekek alkalmazásokat telepítsenek a bizalmas információkkal teli céges gépre. Erre az időszakra inkább biztosítsunk nekik egy külön – akár régi – eszközt.
- „Árnyék IT”
Így nevezünk minden olyan szoftvert, hardvert vagy informatikai erőforrást, amelyet a vállalati hálózaton az informatikai osztály jóváhagyása és gyakran az informatikai osztály tudta vagy felügyelete nélkül használnak. Az árnyék IT lényegében a vállalati IT vakfoltja, ami nem csupán az adatkezelést teszi nehezebbé, de láthatatlan kockázatokat is létrehoz. Ezeket a kockázatokat és problémákat az informatikai részlegek nem tudják kezelni, hiszen nem is tudnak róluk, aminek következtében jelentősen megnő az adatszivárgás veszélye.
- Nyilvános hálózatok, nyilvános helyek
A kollégák ne jelentkezzenek be vállalati gépükkel nyilvános hálózatokra, különösen, ha külföldről dolgoznak. A nem biztonságos nyilvános hálózatokon könnyedén ellophatják a bejelentkezési adatainkat, jelszavainkat, de akár rosszindulatú szoftvereket is telepíthetnek a gépünkre. Ugyanígy javasolt ügyelni arra is, hogy ne tekintsenek meg bizalmas információkat nyilvános helyeken és ne beszéljenek meg bizalmas anyagokat virtuális találkozókon ismeretlen, illetve nem szavatoltan biztonságos alkalmazások segítségével.
- Szoftverfrissítés
Hívjuk fel a kollégák figyelmét, hogy mielőtt hosszabb időszakra távmunkára vonulnak, győződjenek meg arról, hogy minden eszközön friss szoftver működik és naprakész biztonsági védelem van. A szoftverfrissítések kulcsfontosságúak a biztonság szempontjából, mivel ezek kezelik a biztonsági réseket, amelyeket rosszindulatú támadók arra használhatnak, hogy jogosulatlanul hozzáférjenek a rendszerhez vagy az adatokhoz. A gyakori frissítések biztosítják, hogy a réseket azonnal betömjék, amint felfedezik őket.
- Virtuális magánhálózatok (VPN)
Bár egyes szervezetek a távoli eléréshez saját VPN-t biztosítanak a kollégáknak, hogy ezzel próbálják növelni a szervezet egészére kiterjedő biztonságot, valójában ennek az ellenkezőjét érhetik el: a VPN használatával a laptop nagyobb támadási felületet kap, ami az egész szervezetet kiszolgáltatottabbá teszi a támadásokkal szemben. Egyetlen veszélyeztetett eszköz hatással lehet a cég összes szolgáltatására, mert a VPN természeténél fogva beengedhet potenciálisan nem kívánatos vagy nem biztonságos eszközöket a vállalat belső hálózatába. Ráadásul minél több eszköz használ VPN-hozzáférést, annál nehezebb az IT csapatnak követnie mindegyiken a frissítések és biztonsági javítások telepítését.
+1 Kérdéses helyzetek
Végül, mivel minden helyzetre nem lehet tökéletesen felkészülni, a munkatársak minden kicsit is gyanús helyzetben keressék fel az IT biztonság terén illetékes kollégákat. Érdemes egyértelműen, konkrétan meghatározni, hogy a cégnél kihez lehet fordulni kiberbiztonsági kérdés, probléma, vagy csak bizonytalanság esetén.