Kyberútočníci využívají nedostatečné zabezpečení práce z domova

Nová prostředí a nástroje, které používají zaměstnanci při home office bez řádného zabezpečení a proškolení, s sebou přinášejí
i nová kybernetická rizika.

V loňském roce došlo k dramatickému nárůstu množství firem a organizací, které se v časové tísni snažily umožnit svým zaměstnancům práci na dálku – zpřístupněním nástrojů na komunikaci a spolupráci i podnikových aplikací a dat pro vzdálený přístup. A jelikož rozhodujícím faktorem byla často rychlost, a ne každá společnost má své bezpečnostní oddělení, proběhly tyto změny mnohdy bez důrazu na bezpečnost. Výsledkem je, že se na nás obracejí zákazníci, kteří v minulém roce začali používat například řešení Microsoft Teams, ale zcela bez potřebných bezpečnostních prvků. Nedostatečné zabezpečení mělo prakticky okamžitě své následky, především v podobě značného nárůstu intenzity kybernetických útoků v jarních měsících loňského roku, kterým se často podařilo zneužít uživatele pracující v nových, ne vždy dostatečně zabezpečených podmínkách.

Práce z domova jako trvalý – a bezpečný – stav

Pro mnoho firem bude práce velkého množství zaměstnanců z domova už trvalým stavem, bez ohledu na koronavirovou pandemii
a další okolnosti. Během uplynulého roku si podniky a další organizace úspěšně ověřily, že  home office nepatří mezi mimořádné zaměstnanecké výhody, ale měl by být zcela běžný. Samozřejmě s ohledem na aktuální potřebu osobní přítomnosti zaměstnanců na pracovišti. Pro firmy znamená práce z domova možnost obrovských úspor nákladů, při stejné – a často dokonce vyšší – produktivitě práce. Jak tedy ošetřit podnikovou IT infrastrukturu, aby byla práce z domova přinejmenším stejně bezpečná jako práce v kanceláři
a jak vytvořit povědomí o kyberhrozbách mezi vašimi zaměstnanci?

Pokud společnosti při přechodu na práci na dálku v loňském roce z hlediska zabezpečení něco zanedbaly, měly by co nejdříve provést audit zabezpečení svého aktuálního prostředí, nejlépe ve spolupráci se specializovaným poskytovatelem tohoto typu služeb. Audit jasně a přehledně ukáže, kterým oblastem by se měla organizace věnovat nejdříve a jaká rizika plynou z případné nečinnosti. Typickým problémem bývá především ochrana identit pro přihlašování k podnikovým systémům a ochrana e-mailového systému. Ze statistik je jasně patrné, že právě phishingové útoky, tedy útoky vedené přes e-mailovou komunikaci, představují stále větší část kybernetických útoků. Velmi účinnou ochranu identit uživatelů při přihlašování k e-mailovým schránkám i dalším podnikovým aplikacím představuje použití vícefaktorové autentikace. Z technických opatření je nutné zkontrolovat nastavení přístupů, možnost sdílení složek, oprávnění uživatelů a prověřit i nastavení zabezpečení online nástrojů, které jsou nyní používány v mnohem větší míře.

I přes důsledné zabezpečení podnikových systémů je navíc stále nutné pamatovat na zásadní rizikový faktor, kterým jsou sami zaměstnanci, respektive jejich aktivity. Při práci v kancelářích mají zaměstnanci navyklé určité bezpečnostní postupy, ale mnohdy si neuvědomují, že stejná pravidla (pokud jsou aplikovatelná) by se měla dodržovat i při práci z domova. Proto je vhodné vytvořit pro zaměstnance jednoduchá pravidla pro práci z domova, s nimiž budou seznámeni a která jim budou opakovaně připomínána. V případě, že zaměstnanci využívají vlastní zařízení, je rovněž nutné nastavit politiky pro BYOD (Bring Your Own Device).

I přesto, že organizace udělá maximum pro zabezpečení prostředí, dat i aplikací pro práci z domova, zůstává velká část zodpovědnosti na samotných zaměstnancích, kteří by měli mít zažitých alespoň několik základních návyků:

1. Ujistěte se, že je vaše domácí Wi-Fi připojení zabezpečené. Většina Wi-Fi připojení je zabezpečena dobře, ale zejména starší instalace mohou mít slabá místa.
2. Firemní zařízení (stolní počítač, notebook a mobilní telefon) by neměla být zpřístupněna dětem ani jiným členům rodiny.
3. Neposílejte citlivá data nezašifrovaná ani jinak nechráněná e-mailem a nikdy neposílejte firemní informace prostřednictvím soukromých e-mailových účtů.
4. Nenechávejte doma povalovat žádné informace, například tištěné dokumenty.
5. Aktivujte zámek obrazovky pokaždé, když opustíte své pracoviště.

Závěr

Bezpečná práce z domova je pro mnoho firem a organizací i více než rok po vypuknutí koronavirové pandemie zásadním tématem. Díky rozsáhlým zkušenostem jsme pomohli mnoha našim zákazníkům s provedením bezpečnostních auditů a zabezpečením jejich systémů, aplikací i dat, stejně jako se získáním certifikací souvisejících s IT bezpečností. Pokud i vás zajímá, jak se chránit před phishingem, ransomwarem, odcizením dat i dalšími typy útoků, neváhejte se na nás obrátit!

Zajímá vás téma firemní bezpečnosti ve spojení s prací vašich zaměstnanců?

Přečtěte si více:

Na co nezapomenout před nástupem nového zaměstnance a zachovat přitom bezpečnost firemních dat?