Kyberútočníci využívají nedostatečné zabezpečení práce z domova

Práce z domova

Kyberútočníci využívají nedostatečného zabezpečení

Kyberútočníci využívají nedostatečné zabezpečení práce z domova

Nová prostředí a nástroje, které používají zaměstnanci při home office bez řádného zabezpečení a proškolení, s sebou přinášejí
i nová kybernetická rizika.

V loňském roce došlo k dramatickému nárůstu množství firem a organizací, které se v časové tísni snažily umožnit svým zaměstnancům práci na dálku – zpřístupněním nástrojů na komunikaci a spolupráci i podnikových aplikací a dat pro vzdálený přístup. A jelikož rozhodujícím faktorem byla často rychlost, a ne každá společnost má své bezpečnostní oddělení, proběhly tyto změny mnohdy bez důrazu na bezpečnost. Výsledkem je, že se na nás obracejí zákazníci, kteří v minulém roce začali používat například řešení Microsoft Teams, ale zcela bez potřebných bezpečnostních prvků. Nedostatečné zabezpečení mělo prakticky okamžitě své následky, především v podobě značného nárůstu intenzity kybernetických útoků v jarních měsících loňského roku, kterým se často podařilo zneužít uživatele pracující v nových, ne vždy dostatečně zabezpečených podmínkách.

Práce z domova jako trvalý – a bezpečný – stav

Pro mnoho firem bude práce velkého množství zaměstnanců z domova už trvalým stavem, bez ohledu na koronavirovou pandemii
a další okolnosti. Během uplynulého roku si podniky a další organizace úspěšně ověřily, že  home office nepatří mezi mimořádné zaměstnanecké výhody, ale měl by být zcela běžný. Samozřejmě s ohledem na aktuální potřebu osobní přítomnosti zaměstnanců na pracovišti. Pro firmy znamená práce z domova možnost obrovských úspor nákladů, při stejné – a často dokonce vyšší – produktivitě práce. Jak tedy ošetřit podnikovou IT infrastrukturu, aby byla práce z domova přinejmenším stejně bezpečná jako práce v kanceláři
a jak vytvořit povědomí o kyberhrozbách mezi vašimi zaměstnanci?

Pokud společnosti při přechodu na práci na dálku v loňském roce z hlediska zabezpečení něco zanedbaly, měly by co nejdříve provést audit zabezpečení svého aktuálního prostředí, nejlépe ve spolupráci se specializovaným poskytovatelem tohoto typu služeb. Audit jasně a přehledně ukáže, kterým oblastem by se měla organizace věnovat nejdříve a jaká rizika plynou z případné nečinnosti. Typickým problémem bývá především ochrana identit pro přihlašování k podnikovým systémům a ochrana e-mailového systému. Ze statistik je jasně patrné, že právě phishingové útoky, tedy útoky vedené přes e-mailovou komunikaci, představují stále větší část kybernetických útoků. Velmi účinnou ochranu identit uživatelů při přihlašování k e-mailovým schránkám i dalším podnikovým aplikacím představuje použití vícefaktorové autentikace. Z technických opatření je nutné zkontrolovat nastavení přístupů, možnost sdílení složek, oprávnění uživatelů a prověřit i nastavení zabezpečení online nástrojů, které jsou nyní používány v mnohem větší míře.

PHISHINGOVÉ ÚTOKY: NENECHTE SE NACHYTAT!

Phishingové útoky se pro všechny typy organizací staly hrozbou, na kterou je třeba se připravit. Klíčem jsou znalosti
o nejběžnějších typech phishingových útoků a o tom, jak je identifikovat.

PHISHINGOVÉ ÚTOKY: NENECHTE SE NACHYTAT!

I přes důsledné zabezpečení podnikových systémů je navíc stále nutné pamatovat na zásadní rizikový faktor, kterým jsou sami zaměstnanci, respektive jejich aktivity. Při práci v kancelářích mají zaměstnanci navyklé určité bezpečnostní postupy, ale mnohdy si neuvědomují, že stejná pravidla (pokud jsou aplikovatelná) by se měla dodržovat i při práci z domova. Proto je vhodné vytvořit pro zaměstnance jednoduchá pravidla pro práci z domova, s nimiž budou seznámeni a která jim budou opakovaně připomínána. V případě, že zaměstnanci využívají vlastní zařízení, je rovněž nutné nastavit politiky pro BYOD (Bring Your Own Device).

„V řadě firem je základní bezpečnostní školení, zaměřené na ochranu informací a ochranu před kybernetickými útoky, součástí tréninku všech nových zaměstnanců. Další vzdělávání zaměstnanců v těchto oblastech ale už tak obvyklé nebývá. Výjimkou jsou společnosti, které ke své činnosti potřebují pravidelně obnovované certifikace zaměřené na kybernetickou bezpečnost, jako je například ISO 27001. Zde je vzdělávání nastaveno na pravidelné bázi, a to často          s pomocí externího partnera, jenž zajistí splnění všech požadavků certifikace. Stále oblíbenějším řešením pro firmy a organizace všech typů jsou pravidelné newslettery zaměřené vždy na nějaké konkrétní téma, jako je například vytváření bezpečných hesel, politika využívání mobilních zařízení nebo třeba běžné typy phishingových útoků.“

Kateřina Hůtová, ISMS Manager, SoftwareONE Czech Republic

Základní pravidla pro bezpečnou práci            z domu

I přesto, že organizace udělá maximum pro zabezpečení prostředí, dat i aplikací pro práci z domova, zůstává velká část zodpovědnosti na samotných zaměstnancích, kteří by měli mít zažitých alespoň několik základních návyků:

 

  1. Ujistěte se, že je vaše domácí Wi-Fi připojení zabezpečené. Většina Wi-Fi připojení je zabezpečena dobře, ale zejména starší instalace mohou mít slabá místa.
  2. Firemní zařízení (stolní počítač, notebook a mobilní telefon) by neměla být zpřístupněna dětem ani jiným členům rodiny.
  3. Neposílejte citlivá data nezašifrovaná ani jinak nechráněná e-mailem a nikdy neposílejte firemní informace prostřednictvím soukromých e-mailových účtů.
  4. Nenechávejte doma povalovat žádné informace, například tištěné dokumenty.
  5. Aktivujte zámek obrazovky pokaždé, když opustíte své pracoviště.

Závěr

Bezpečná práce z domova je pro mnoho firem a organizací i více než rok po vypuknutí koronavirové pandemie zásadním tématem. Díky rozsáhlým zkušenostem jsme pomohli mnoha našim zákazníkům s provedením bezpečnostních auditů a zabezpečením jejich systémů, aplikací i dat, stejně jako se získáním certifikací souvisejících s IT bezpečností. Pokud i vás zajímá, jak se chránit před phishingem, ransomwarem, odcizením dat i dalšími typy útoků, neváhejte se na nás obrátit!

 

Zajímá vás téma firemní bezpečnosti ve spojení s prací vašich zaměstnanců?

Přečtěte si více:

Na co nezapomenout před nástupem nového zaměstnance a zachovat přitom bezpečnost firemních dat?

Information Security Management System

Jednoduché řešení pro získání nebo soulad s ISO 27001

Chci vědět více
  • Security

Vložit komentář k článku

Přidejte komentář, abychom věděli, co si o tomto tématu myslíte.

Přidat komentář

Autor

Martin Trněný

Martin Trněný

Cloud Security Consultant, SoftwareONE Czech Republic

Související články

Jak probudit v zaměstnancích zájem o ISMS?
  • 03 června 2021
  • Kateřina Hůtová
  • Security

Jak probudit v zaměstnancích zájem o ISMS?

Zaměstnanci jsou nejdůležitějším aktivem společnosti.
Z pohledu bezpečnosti pro vás ale zároveň mohou představovat velké riziko.

isms-na-co-nezapomenout
  • 06 května 2021
  • Kateřina Hůtová
  • Security

Na co nezapomenout před nástupem nového zaměstnance

ISMS doporučuje zavést různé procesy, které by měly společnosti pomoci se správným pojetím informační bezpečnosti. Jak na to?

5 kroků k vytvoření povědomí o kyberhrozbách mezi vašimi zaměstnanci
  • 15 června 2020
  • Jakub Hejný
  • Security
  • Security, Future Workplace, Microsoft, Microsoft 365, Cyber Attack, Cyber-Threats

5 kroků k vytvoření povědomí o kyberhrozbách mezi vašimi zaměstnanci

Silná pozice kybernetické ochrany daleko přesahuje bezpečnostní tým organizace. Kyberzločinci dnes necílí svoje útoky na vaši infrastrukturu, síť nebo aplikace, ale na vaše zaměstnance.