Praca zdalna w Polsce istniała od lat, ale dopiero w okresie pandemii stała się bardzo popularna. Obecnie obserwuje się trend polegający na powrocie do biur, niemniej jednak nawet wtedy często proponuje się pracownikom model hybrydowy (o różnym stosunku dni spędzanych w biurze i w domu). Zarówno pracownicy hybrydowi, jak i całkowicie zdalni, mogą stwarzać dodatkowe ryzyko dla firmy.
Jakie (cyber)zagrożenia niesie ze sobą praca zdalna?
O ile w budynku firmy można mieć firmową sieć i odpowiednio zabezpieczoną infrastrukturę, to właściciel organizacji czy jej obszar IT nie ma kontroli nad tym, jaką ochronę oferują pozostałe sieci. Tymczasem pracownicy zdalni łączą się z internetem nie tylko w swoich domach, ale też w najróżniejszych miejscach publicznych. Z tego względu potencjalne zagrożenia gwałtownie rosną, bo dane firmowe i wewnętrzne systemy zostają wynoszone poza – teoretycznie przynajmniej – bezpieczną strefę.
Dalsza część artykułu pod materiałem wideo
To właśnie niezabezpieczone lub niewłaściwie zabezpieczone sieci Wi-Fi stanowią jedno z największych zagrożeń w pracy zdalnej. Z tego samego powodu ryzyko stwarza również koncepcja BYOD, polegająca na wykorzystywaniu prywatnych urządzeń do realizacji zadań służbowych. Źródłem problemów może być też po prostu czynnik ludzki – nieświadomy zagrożeń pracownik może nieintencjonalnie narażać ważne dane na wyciek, a znajduje się całkowicie poza kontrolą firmowego działu IT.
Popularyzacja pracy zdalnej i hybrydowej niesie za sobą wiele korzyści, jednak z perspektywy cyberbezpieczeństwa może się okazać poważnym wyzwaniem. Warto przypomnieć, że w 2021 roku, kiedy wiele firm zaczęło masowo wprowadzać pracę zdalną, aż 64 proc. z nich napotkało przynajmniej jeden incydent związany z cyberbezpieczeństwem. Phishing stał się wówczas główną metodą ataku, dotykając 29 proc. przedsiębiorstw. W dobie, gdy praca zdalna staje się codziennością, kwestia bezpieczeństwa cyfrowego nigdy nie była bardziej istotna. Każde przedsiębiorstwo powinno wziąć pod uwagę wprowadzenie skutecznych środków ochrony, takich jak różnicowanie urządzeń, stosowanie silnych haseł czy uwierzytelnianie dwuskładnikowe. Warto również wdrożyć odpowiednio skonfigurowane zaawansowane usługi VPN oraz zarządzane firewalle. Należy podkreślić, że małe i średnie firmy mają do dyspozycji dedykowane im zintegrowane rozwiązania, które kompleksowo zabezpieczą urządzenia pracowników, nie wymagając jednocześnie angażowania specjalistycznej kadry IT – mówi Mirosław Jędrych, Cyber Security Advisory Team Leader T-Systems Polska
Bezpieczna firma z pracownikami zdalnymi
Właściwie zabezpieczenie zasobów organizacji stało się zdecydowanie większym wyzwaniem z powodu popularności pracy zdalnej. Mając jednak świadomość zagrożeń można stworzyć odpowiednią politykę firmy w kontekście bezpieczeństwa IT.
Przede wszystkim należy ustalić, na jakich urządzeniach pracownicy mogą logować się do kluczowych systemów firmowych. Trzeba też wymusić stosowanie odpowiednio silnych haseł, a najlepiej – uwierzytelniania dwuskładnikowego. Dobrym pomysłem może być także VPN (prywatny serwer wirtualny) zabezpieczający dane przed ewentualnym wyciekiem i niepozwalający na uzyskiwanie dostępu do firmowych informacji z poziomu innych urządzeń. Dopełnieniem całości powinny być szkolenia.
Omówmy więc pokrótce te poszczególne kwestie.
Komputer służbowy i prywatny to dwa różne komputery
Niezwykle ważną zasadą jest ta, że komputer służbowy i komputer prywatny to powinny być dwa różne komputery. Chodzi przede wszystkim o to, by z poziomu osobistego peceta lub laptopa nie mieć dostępu do firmowej sieci. Prywatne komputery często służą różnym formom rozrywki i nierzadko też bywają zdecydowanie gorzej zabezpieczone. Logowanie się z ich poziomu do firmowych systemów i przechowywanie korporacyjnych informacji na ich dyskach, stwarza więc poważne zagrożenie. Cyberprzestępca może po prostu wejść w posiadanie danych, które powinny być pilnie strzeżone.
Dlatego każdy pracownik powinien zostać uświadomiony w tym zakresie. Powinien też otrzymać komputer, który posłuży mu wyłącznie do pracy.
Udostępniając pracownikowi komputer służbowy należy zadbać o jego odpowiednią konfigurację. Oznacza to przede wszystkim instalację oprogramowania antywirusowego i legalnych aplikacji ze sprawdzonego źródła. Ważne są także ustawienia – pracownik nie powinien być administratorem takiego komputera, lecz tylko jego użytkownikiem. Samodzielnie nie wprowadzi więc zmian w konfiguracji systemu ani nawet nie zainstaluje dodatkowego oprogramowania – w ten sposób minimalizuje się zagrożenia.
Ważne jest, by pracownik brał udział w procesie konfiguracji komputera. On sam wie bowiem najlepiej, jakiego oprogramowania potrzebuje. Utrudniając lub wręcz uniemożliwiając mu uzyskanie dostępu do potrzebnych narzędzi, niejako zachęca się go do tego, by omijał zasady obowiązujące w firmie.
Silne hasło to podstawa
Tak jak wejścia do budynku firmy strzec może ochroniarz albo bramka odblokowywana kodem lub kartą, tak wejścia do systemów informatycznych przedsiębiorstwa chroni hasło. To całkowicie naturalne. Nie stawia się na wejściu ochroniarza, niedającego żadnego poczucia bezpieczeństwa i nie ustawia się na takiej bramce kodu z czterema zerami czy "1234".
Dlatego właśnie dostępu zarówno do samego komputera, jak i wewnętrznych systemów informatycznych, strzec powinny silne hasła. Należy zatem wdrożyć odpowiednią politykę, wymuszającą na przykład stosowanie haseł nie krótszych niż 14 znaków i zawierających znaki różnego typu (cyfry, wielkie litery czy znaki specjalne).
Testy wykazały, że długość hasła jest kluczowa – im więcej znaków, tym więcej czasu potrzebuje komputer, by ewentualnie złamać zabezpieczenie. Znaki różnego typu utrudniają natomiast zadanie tym, którzy mogliby próbować zgadnąć hasło osoby, którą bardziej lub mniej znają.
Ogólna zasada jest następująca: dobre hasło powinno być trudne do zgadnięcia, ale łatwe do zapamiętania.
Ale samo hasło to za mało. Dobrą praktyką jest również wymuszenie na pracownikach korzystania z systemów uwierzytelnienia dwuskładnikowego (2FA). Chodzi o to, by dostęp do platform firmowych można było uzyskać dopiero po dwukrotnym uwierzytelnieniu się – pierwszym krokiem jest hasło, drugim natomiast może być przepisanie kodu wysłanego SMS-em czy skorzystanie z klucza, takiego jak YubiKey.
Szkoleniami zwiększa się świadomość pracowników
Opracowując politykę organizacji, należy także pamiętać o uwzględnieniu w niej regularnie przeprowadzanych szkoleń. Ich tematyką powinno być szeroko rozumiane bezpieczeństwo informatyczne. Kwestie, które na pewno powinny zostać poruszone podczas takich spotkań, to:
- zagrożenia związane z korzystaniem z prywatnych urządzeń w pracy,
- dobre praktyki związane z tworzeniem silnych haseł,
- zagrożenia związane z korzystaniem z nielegalnego oprogramowania lub aplikacji pochodzących z podejrzanych źródeł,
- zagrożenia czyhające w poczcie e-mail (ze szczególnym uwzględnieniem phishingu),
- dobre praktyki związane ze współpracą z firmowym zespołem IT,
- zagrożenia związane z brakiem regularnie wykonywanych kopii zapasowych (w kontekście utraty danych).
Niewłaściwa jest (reprezentowana przez niektórych dyrektorów) postawa, zakładająca, że czas spędzany przez pracowników na szkoleniach (zamiast na pracy) jest czasem straconym. W rzeczywistości dzięki takim szkoleniom – a co za tym idzie: świadomym użytkownikom – firma może zdecydowanie więcej zyskać niż potencjalnie stracić.