Kyberútočníci využívají nedostatečné zabezpečení práce z domova

Nová prostředí a nástroje, které používají zaměstnanci při home office bez řádného zabezpečení a proškolení, s sebou přinášejí i nová kybernetická rizika.

V loňském roce došlo k dramatickému nárůstu množství firem a organizací, které se v časové tísni snažily umožnit svým zaměstnancům práci na dálku – zpřístupněním nástrojů na komunikaci a spolupráci i podnikových aplikací a dat pro vzdálený přístup. A jelikož rozhodujícím faktorem byla často rychlost, a ne každá společnost má své bezpečnostní oddělení, proběhly tyto změny mnohdy bez důrazu na bezpečnost. Výsledkem je, že se na nás obracejí zákazníci, kteří v minulém roce začali používat například řešení Microsoft Teams, ale zcela bez potřebných bezpečnostních prvků. Nedostatečné zabezpečení mělo prakticky okamžitě své následky, především v podobě značného nárůstu intenzity kybernetických útoků v jarních měsících loňského roku, kterým se často podařilo zneužít uživatele pracující v nových, ne vždy dostatečně zabezpečených podmínkách.

Práce z domova jako trvalý – a bezpečný – stav

Pro mnoho firem bude práce velkého množství zaměstnanců z domova už trvalým stavem, bez ohledu na koronavirovou pandemii a další okolnosti. Během uplynulého roku si podniky a další organizace úspěšně ověřily, že  home office nepatří mezi mimořádné zaměstnanecké výhody, ale měl by být zcela běžný. Samozřejmě s ohledem na aktuální potřebu osobní přítomnosti zaměstnanců na pracovišti. Pro firmy znamená práce z domova možnost obrovských úspor nákladů, při stejné – a často dokonce vyšší – produktivitě práce. Jak tedy ošetřit podnikovou IT infrastrukturu, aby byla práce z domova přinejmenším stejně bezpečná jako práce v kanceláři a jak vytvořit povědomí o kyberhrozbách mezi vašimi zaměstnanci?

Pokud společnosti při přechodu na práci na dálku v loňském roce z hlediska zabezpečení něco zanedbaly, měly by co nejdříve provést audit zabezpečení svého aktuálního prostředí, nejlépe ve spolupráci se specializovaným poskytovatelem tohoto typu služeb. Audit jasně a přehledně ukáže, kterým oblastem by se měla organizace věnovat nejdříve a jaká rizika plynou z případné nečinnosti. Typickým problémem bývá především ochrana identit pro přihlašování k podnikovým systémům a ochrana e-mailového systému. Ze statistik je jasně patrné, že právě phishingové útoky, tedy útoky vedené přes e-mailovou komunikaci, představují stále větší část kybernetických útoků. Velmi účinnou ochranu identit uživatelů při přihlašování k e-mailovým schránkám i dalším podnikovým aplikacím představuje použití vícefaktorové autentikace. Z technických opatření je nutné zkontrolovat nastavení přístupů, možnost sdílení složek, oprávnění uživatelů a prověřit i nastavení zabezpečení online nástrojů, které jsou nyní používány v mnohem větší míře.

PHISHINGOVÉ ÚTOKY: NENECHTE SE NACHYTAT!

Phishingové útoky se pro všechny typy organizací staly hrozbou, na kterou je třeba se připravit. Klíčem jsou znalosti o nejběžnějších typech phishingových útoků a o tom, jak je identifikovat.

„V řadě firem je základní bezpečnostní školení, zaměřené na ochranu informací a ochranu před kybernetickými útoky, součástí tréninku všech nových zaměstnanců. Další vzdělávání zaměstnanců v těchto oblastech ale už tak obvyklé nebývá. Výjimkou jsou společnosti, které ke své činnosti potřebují pravidelně obnovované certifikace zaměřené na kybernetickou bezpečnost, jako je například ISO 27001. Zde je vzdělávání nastaveno na pravidelné bázi, a to často s pomocí externího partnera, jenž zajistí splnění všech požadavků certifikace. Stále oblíbenějším řešením pro firmy a organizace všech typů jsou pravidelné newslettery zaměřené vždy na nějaké konkrétní téma, jako je například vytváření bezpečných hesel, politika využívání mobilních zařízení nebo třeba běžné typy phishingových útoků.“

Kateřina Hůtová, ISMS Manager, SoftwareOne Czech Republic

Základní pravidla pro bezpečnou práci z domu

I přesto, že organizace udělá maximum pro zabezpečení prostředí, dat i aplikací pro práci z domova, zůstává velká část zodpovědnosti na samotných zaměstnancích, kteří by měli mít zažitých alespoň několik základních návyků:

1. Ujistěte se, že je vaše domácí Wi-Fi připojení zabezpečené. Většina Wi-Fi připojení je zabezpečena dobře, ale zejména starší instalace mohou mít slabá místa.
2. Firemní zařízení (stolní počítač, notebook a mobilní telefon) by neměla být zpřístupněna dětem ani jiným členům rodiny.
3. Neposílejte citlivá data nezašifrovaná ani jinak nechráněná e-mailem a nikdy neposílejte firemní informace prostřednictvím soukromých e-mailových účtů.
4. Nenechávejte doma povalovat žádné informace, například tištěné dokumenty.
5. Aktivujte zámek obrazovky pokaždé, když opustíte své pracoviště.