Cyberbezpieczeństwo a praca zdalna, czyli 3 sposoby na zabezpieczenie służbowych danych
cyberbezpieczeństwo a praca zdalna

Cyberbezpieczeństwo a praca zdalna, czyli 3 sposoby na zabezpieczenie służbowych danych

Gdy mowa o cyberbezpieczeństwie w pracy, wystarczy regularnie zmieniać hasło dostępu na nowe, by ochronić dane przed kradzieżą. Były czasy, gdy myślała tak zdecydowana większość osób. Dziś, gdy cyberprzestępstwa są równie powszechne co to realne, warto zerwać z tym fałszywym przekonaniem. Zwłaszcza podczas pracy zdalnej. W końcu nie jedna umowa z Waszym zakładem pracy mówi o ochronie danych spółki, w której pracujecie. 

Bezpieczny komputer to bezpieczna firma

Dlaczego ignorujemy bezpieczeństwo komputerów służbowych? To proste – z tego samego powodu zapominamy na przykład o aktualizacji baz danych w programach antywirusowych. Myślimy, że… „nas to nie spotka”. W końcu cyberataki i wycieki danych to sprawy, które dotykają tylko ogromne spółki. Zagrożeni tym są jedynie światowi giganci.

Nic bardziej mylnego. 

Ofiarą ataku cyfrowego może stać się absolutnie każda firma. A dla małych czy nawet średnich przedsiębiorców takie wydarzenie może być… początkiem smutnego końca. Dlatego każdy pracodawca i każdy pracownik powinien dbać o cyberbezpieczeństwo. Zwłaszcza teraz, gdy pracujemy zdalnie, podłączeni do różnych, często nieodpowiednio zabezpieczonych sieci. 

Mamy wszyscy świadomość, że temat cyberbezpieczeństwa jest szczególnie ważny, materia z nim związana jest skomplikowana i dynamicznie się zmienia, co powoduje niedobór wykwalifikowanych specjalistów. Dlatego chciałbym przypomnieć, że zwłaszcza mniejsze firmy, które nie są w stanie utrzymywać wysoko wykwalifikowanych ekspertów od bezpieczeństwa i inwestować w odpowiednie rozwiązania, mogą zdecydować się na taką usługę w formie płatnej subskrypcji, takiej jak np. Dell Managed Detection & Response. Co daje taka usługa? Monitorowanie 24/7 przez grupy ekspertów z całego świata z wykorzystaniem najbardziej zaawansowanych systemów SecureWorks®, komputerów, laptopów a nawet serwerów i natychmiastową reakcję (do 15 minut) w przypadku wykrycia ataku. Jak wiemy z badań, te 15 min w porównaniu z ok. trzema miesiącami to niezwykła różnica w jakości, jeśli chodzi o zdolność wykrywania ataków. Dodatkowo regularne konsultacje i przygotowywanie rekomendacji co do wykrytych zagrożeń i podatności w firmie pozwalają na wypracowanie i wprowadzenie najlepszych wzorców dostosowanych do specyfiki danej organizacji. Ta usługa jest prosta do wdrożenia i elastyczna od strony finansowej – informuje nas Dariusz Jóźwiak, Product Specialist w Dell Technologies.

Z czego wynika podatność komputerów oraz danych na cyberataki?

Według raportu przygotowanego przez Związek Firm Ochrony Danych osobowych aż 89% wszystkich zarejestrowanych przypadków naruszenia bezpieczeństwa informacji wynika z winy człowieka. Nie brzmi to dobrze. Zwłaszcza gdy pomyślimy, że komputery, telefony czy tablety to nasza codzienność. A – jak pokazują dane – zupełnie nie umiemy się z nimi obchodzić i zabezpieczyć danych. Ani własnych, ani służbowych.

Wniosek?

Człowiek jest tu słabym ogniwem. Każdy pracownik od początku pracy w przedsiębiorstwie powinien więc nie tylko otrzymać dobrze skonfigurowany oraz zabezpieczony komputer, ale i zostać przeszkolony z zasad bezpieczeństwa cyfrowego. 

Jeśli chodzi ogólnie o pracowników, to po pierwsze IT powinno założyć, że nie znają się oni na cyberbezpieczeństwie (tzw. podejście zero trust) i nie można im ufać. Niemniej bardzo istotne jest inwestowanie w wiedzę i budowanie świadomości pracowników dzięki regularnym szkoleniom dotyczącym zagrożeń cyberatakami, informowanie o najpopularniejszych rodzajach takich ataków. Przydatne okazują się również okresowe testy, np. w postaci wysłania maila z załącznikiem lub linkiem i sprawdzeniu „czujności” użytkowników i przypominaniu podstawowych zasad bezpiecznego użytkowania komputera i sieci – rekomenduje nasz ekspert. 

Najprostsze zabezpieczenia komputera służbowego

Temat związany z bezpieczeństwem cyfrowym w miejscu pracy jest bardzo rozległy i podlega dynamicznym zmianom. Trudno więc zamknąć go w kilku stałych punktach, które sprawdzą się w każdej sytuacji. Niezmiennie ważne jest jednak rozsądne posługiwanie się możliwościami, które dają nam internet oraz sprzęt komputerowy – mówi Dariusz Jóźwiak. 

Na stronie wsparcia Windowsa można znaleźć szereg porad związanych z bezpieczeństwem komputera. Poniżej przytaczamy te, które wydają się bardzo ważne w przypadku służbowego sprzętu:

  1. Instaluj ostrożnie – na komputerze służbowym korzystajcie jedynie z tych programów, które są zatwierdzone przez Waszą firmę. W przeciwnym razie narażacie całą sieć na powstanie luk w zabezpieczeniach.
  2. Ustaw bezpieczny system uwierzytelniania – uruchomcie np. dostępną w Windowsie funkcję Windows Hello, która wykorzystuje dane biometryczne, np. system rozpoznawania twarzy czy linii papilarnych. To nie tylko wygodniejsze (koniec z zapamiętywaniem kolejnego hasła!), ale i bezpieczniejsze. 
  3. Używaj silnych i zróżnicowanych haseł – nie ma się co oszukiwać, że hasła w stylu „qwerty”, „1234567” czy „987654” są w stanie cokolwiek zabezpieczyć. Pomijamy tu fakt, że obecnie w wielu miejscach są wymagane hasła łączące wielkie litery z małymi, z liczbami oraz znakami specjalnymi. Po prostu – hasła tego typu są też po prostu banalnie proste i jeszcze bardziej powszechne. Na szczęście na rynku z łatwością znajdziecie generatory haseł spełniające aktualne wymagania. I naprawdę warto z tego skorzystać. 
  4. Przyglądaj się linkom, które otwierasz – czasem różnią się jedną literą albo rozszerzeniem. Takie różnice trudno zauważyć, zwłaszcza w codziennym pędzie, ale chwila nieuwagi może kosztować Was więcej niż chwila poświęcona przyjrzeniu się adresowi, w który wchodzisz. 

Dodatkowo warto czytać branżowe media, w których pojawiają się informację np. o zhakowanych, więc niebezpiecznych portalach.

Dariusz Jóźwiak dodaje także, że aby osiągnąć maksymalną odporność na cyberataki, niezbędne są działania specjalistów od cyberbezpieczeństwa dotyczące odpowiedniego zabezpieczenia systemów oraz urządzeń w połączeniu ze świadomością i wiedzą użytkowników. 

Komputer przygotowany do pracy i zabezpieczony przez dział IT to potencjalnie bezpieczne środowisko pracy. Już to może wyeliminować proste błędy nieświadomego użytkownika sprzętu i w wielu przypadkach uchronić nasze dane. Cyberbezpieczeństwo to wiele obszarów potencjalnych wektorów ataku, które możemy sobie wyobrazić jako zbiór puzzli. Im więcej puzzli zabezpieczeń mamy, tym bezpieczniejszy jest ekosystem, w którym pracujemy. Właśnie dlatego poza klasycznym antywirusem i firewallem niezbędne jest szyfrowanie danych na dysku z wykorzystaniem układu TPM wbudowanego w płytę główną komputera. Dla lepszego zabezpieczenia użytkowników przed wyłudzeniami haseł poprzez phishing warto wprowadzić reguły dwuetapowej weryfikacji (2-step verification) i logowania (2FA, MFA). W tym przypadku do zalogowania oprócz hasła niezbędny będzie np. skan twarzy, odcisk palca lub kod generowany w aplikacji np. smartfona lub wysyłany SMS-em. Oczywiście nie bez znaczenia jest tutaj również polityka dotycząca samych haseł, a więc wymuszenia odpowiedniej ich długości i stopnia skomplikowania oraz częstotliwości jego zmiany. Niesłychanie istotne jest używanie różnych haseł w różnych miejscach, do których się logujemy, w szczególności portale, sklepy internetowe czy media społecznościowe. Uchroni to użytkowników przed wieloma kłopotami w przypadku, kiedy lista maili i haseł wypłynie do internetu.

Obowiązki pracodawcy w kontekście cyberbezpieczeństwa

Tu zdecydowanie oddajemy głos Dariuszowi Jóźwiakowi z Dell Technologies, ponieważ lepiej tego w słowa po prostu nie ubierzemy.

Tak naprawdę udostępnienie zabezpieczonych już komputerów pracownikom jest obowiązkiem pracodawcy. Jeśli tego nie zrobi, to on ponosi odpowiedzialność za wszelkie problemy. Warto tu pamiętać, że niezabezpieczony sprzęt to sygnał, że firma niewystarczająco starannie podchodzi do ochrony danych osobowych.

Każdy pracodawca może i zdecydowanie powinien:

  • zatrudnić wykwalifikowanych specjalistów, którzy są w stanie wdrożyć w organizacji zasady cyberbezpieczeństwa i odpowiednie rozwiązania do jego zapewnienia,

  • zdecydować się na zakup odpowiedniego sprzętu klasy biznesowej (ma on pewne cechy hardware’u, które są przystosowane do budowania polis bezpieczeństwa, m.in. polityka haseł i zdalnego zarządzania BIOS-ami, wbudowana ochrona przed atakami hackerskimi w BIOS oraz w procesorze, dodatkowe poziomy bezpieczeństwa i zarządzania (zdalny KVM) w platformach z vPro),
  • regularnie zmieniać firmowe komputery, aby nie były starsze niż 5 lat (w ten sposób mamy pewność, że sprzęt jest wyposażony we wszystkie nowoczesne systemy ochronne, oraz że jest wspierany przez producentów, dzięki czemu możemy na bieżąco dokonywać łatania wykrytych luk w bezpieczeństwie),
  • zapewnić wsparcie helpdeskowe każdemu pracownikowi, co pozwoli na szybsze rozwiązanie wszelkich problemów technicznych i wpłynie na jakość i komfort pracy pracownika. 

Przy zachowaniu odpowiedniego poziomu ochrony systemów oraz danych bardzo ważne są regularne aktualizacje systemu operacyjnego, oprogramowania, firmware’u oraz BIOS-ów. Przed pandemią, w czasach regularnej pracy stacjonarnej, było to znacznie prostsze. Wystarczyło, że pracownik przychodził i podłączał komputer do firmowej sieci, by aktualizacje się instalowały. Teraz, gdy większość z nas podłączonych jest do Internetu z własnej sieci domowej, działy IT bez wdrożonych odpowiednich rozwiązań nie są w stanie efektywnie zarządzać takimi aktualizacjami, a więc wystawiają na potencjalne ryzyko dane firmy i dane użytkowników. Warto więc inwestować w nowoczesne systemy zarządzania (modern management), bo straty wynikające np. z kradzieży danych lub utraty zaufania mogą organizację kosztować znacznie więcej. 

4 zasady bezpiecznego komputera w pracy

Teoretycznie wszyscy wiemy, że trzeba zabezpieczyć komputer. W praktyce jednak – przypomnijcie tu sobie przytoczone wcześniej dane – umie to naprawdę mało osób. Albo niewiele z nich wykorzystuje wiedzę w praktyce (co w naszym odczuciu jest jeszcze gorsze). 

Dlatego dodajemy tu 4 rzeczy, które stanowią absolutny must have każdego pracownika, który poważnie myśli o zabezpieczeniu danych przed potencjalnym wyciekiem. 

  • Program antywirusowy

Najlepiej taki na oficjalnej licencji i regularnie aktualizowany. Inaczej zabezpieczenie szybko się zdezaktualizuje, czyli przestanie spełniać swoją podstawową funkcję. 

  • Backup danych

Podobno backupów nie robi tylko ta osoba, której jeszcze nie zdarzyło się chociażby zalać i w ten sposób zniszczyć komputera. Warto jednak pamiętać, że niektóre cyberataki nie tylko wyciągają dane z dysków, ale także je usuwają. Tak powstaje podwójny problem. Właśnie dlatego – jeśli jeszcze tego nie zrobiliście – poproście szefa np. o własny dysk zewnętrzny, na którym regularnie zrobicie kopię danych zebranych na swoim dysku. To pomoże także np. w przypadku kradzieży czy zgubienia komputera.

  • Zaszyfrowany dysk

Nie jest to blokada nie do przejścia, ale jednak w jakimś stopniu utrudni dostęp do danych. W końcu złodziej będzie musiał nie tylko dostać się do komputera czy dysku, ale także złamać szyfr. 

  • Karta chipowa

Kojarzy się głównie z wejściem czy wyjściem z biurowca, ale w wielu dużych korporacjach taka karta służy także do uruchamiania komputera. Jak w hotelach – bez karty nie będziecie mieć w pokoju prądu.

To oczywiście nie wszystko. Zostaje do omówienia także perspektywa pracodawcy. Według Dariusza Jóźwiaka każda firma podchodząc do tematu cyberbezpieczeństwa powinna opierać się na zasadach opisanych przez organizację NIST jako Cybersecurity Framework, gdzie całościowe podejście do tego tematu opiera się na następujących elementach:

  • identyfikacji zagrożeń (identify): analiza potencjalnych zagrożeń (sprzęt, użytkownicy, obieg dokumentów, itd.),
  • zabezpieczeniu (protect) zidentyfikowanych obszarów: zabezpieczenie sprzętu, polisy bezpieczeństwa, procedury, szkolenia, itd.,
  • detekcja cyberataków (detect): wykrywanie ataków, które przełamały nasze zabezpieczenia,
  • odpowiedź (response): skuteczna i szybka odpowiedź na wykryte cyberataki ograniczająca lub niwelująca jego skutki.

Wylogowanie się z komputera a ochrona danych

Niech pierwszy rzuci kamień ten, kto, odchodząc od biurka, np. po kawę, nie zostawia włączonego komputera. Cóż, zdarza się najlepszym. Jednak czy wylogowanie się z komputera przed odejściem od stanowiska pracy jest wystarczającą ochroną?

Właśnie o to zapytaliśmy naszego dzisiejszego rozmówcę:

Odpowiedź brzmi: i tak, i nie. Wszystko zależy od okoliczności i od tego, o ochronie jakiego typu mówimy, na jak długo opuszczamy stanowisko pracy i przede wszystkim, czy komputer jest odpowiednio zabezpieczony (włączone szyfrowanie dysku, hasło na BIOS, zablokowane porty USB, itd.). Warto wiedzieć, że wyłączony komputer oznacza większe bezpieczeństwo dla naszych danych niż komputer z wylogowaną sesją lub zablokowanym pulpitem, ponieważ w tym przypadku wszystkie dane na dysku są zaszyfrowane. Pamiętajmy także o fizycznej ochronie komputera. Zwłaszcza dotyczy to laptopów, z którymi tracimy kontakt wzrokowy, opuszczając miejsce pracy. Powinny być one zdecydowanie przypięte do stanowiska linką zabezpieczającą lub schowane w zamykanym bezpiecznym miejscu. Jest wiele przykładów kradzieży urządzeń w firmach, również z pomieszczeń z kontrolowanym dostępem. Przytoczę ciekawe badania, potwierdzające, że pracownicy byli skłonni wpuszczać do budynku lub pomieszczeń, bez zapewnienia dozoru, osoby z zewnątrz. Przy czym najmniej czujni byli w stosunku do dostawcy pizzy. Jak można sobie wyobrazić, taka postronna osoba jest w stanie ukraść laptopa lub zainfekować złośliwym oprogramowaniem urządzenie czy drukarkę, jeśli nie są one odpowiednio zabezpieczone, np. za pomocą spreparowanego urządzenia przypominającego pendrive’a USB. 

Wylogowanie lub blokowanie sesji należy jednak traktować jako absolutne minimum, jeśli chodzi o zabezpieczenie naszego urządzenia i danych. Wobec tego niezbędna jest jedna z podstawowych polis bezpieczeństwa wdrażana przez IT, dzięki której każdy komputer automatycznie blokuje się po np. minucie nieużywania go.

Jak widać, cyberbezpieczeństwo wymaga od pracownika naprawdę dużo uwagi, a od pracodawcy – przygotowania i edukacji zespołu. 

Praca zdalna w miejscach publicznych

Czasem praca zdalna przenosi się z domu do co-worku czy kawiarni. Wiadomo – zmiana miejsca pomaga zmienić perspektywę. Co wtedy? Jak wtedy możecie zadbać o bezpieczeństwo danych swojego komputera służbowego? 

Podczas pracy w miejscach publicznych należy:

  • Nosić własną ładowarkę (zarówno do telefonu, jak i komputera), by nie korzystać z obcych portów USB.
  • W przypadku łączenia się z bezpłatną siecią WiFi (np. w pociągach) nawiązywać połączenie za pomocą VPN-u. W ten sposób zaszyfrujcie połączenie i zapewnicie sobie prywatność. 
  • Siadać z komputerem tak, by uniemożliwić innym podglądanie tego, co wyświetla się na Waszym komputerze (czyli np. przy stoliku pod ścianą). 

Niby nic, ale jednak poziom bezpieczeństwa wzrasta z każdą małą zmianą. 

Komputer służbowy vs. komputer prywatny

Czy możecie korzystać z komputera służbowego do załatwiania spraw prywatnych? Albo odwrotnie – czy możesz służbowe interesy ogarniać na domowym komputerze?

Odpowiedź brzmi: nie. 

– Zdecydowanie rekomenduję również oddzielenie sprzętu (komputer czy telefon) służbowego od prywatnego, zwłaszcza jeśli współdzielimy go z dziećmi. Ich świadomość zagrożeń jest dużo mniejsza, co zwiększa ryzyko ataku hackerskiego. Jeśli jednak jest taka konieczność, to warto stosować oddzielne konta dla każdego z użytkowników/domowników na każdym urządzeniu. W ten sposób mamy większą kontrolę nad hasłami, aktywnością użytkownika, instalowanymi aplikacjami i samymi danymi, które mogą być w miarę bezpiecznie odseparowane od siebie – uprzedza Dariusz Jóźwiak.

Używanie komputera służbowego jako prywatnego grozi:

  • zaimportowaniem na urządzenie złośliwego oprogramowania, które może zainfekować całą sieć, 
  • ułatwieniem kradzieży wrażliwych danych z dysków przedsiębiorstwa, 
  • ujawnieniem osobom trzecim dokumentacji firmowej, 
  • utworzeniem luk w systemach zabezpieczeń. 

Jak budować świadomość cyberprzestępczości oraz cyberbezpieczeństwa?

Zamknijcie na chwilę oczy (pod warunkiem, że jesteście bezpieczni i nikt nie ukradnie Wam wtedy komputera) i wyobraźcie sobie, że wszyscy użytkownicy internetu są świadomi zagrożeń związanych z cyberprzestępczością. 

Jak wygląda ten świat?

Cóż, na pewno wydaje się być bezpieczniejszy dla naszych danych. 

– Budowanie świadomości związanej z cyberbezpieczeństwem wśród organizacji oraz ich pracowników jest bardzo ważne. Wyraźnie pokazuje to obecna sytuacja na świecie. Dodatkowo dziś hackowanie systemów jest dużo prostsze niż kiedyś i nie wymaga tak zaawansowanej wiedzy informatycznej. Są nawet specjalne aplikacje i płatne usługi, które pozwalają stać się hackerem niemal z godziny na godzinę i umożliwiają skanowanie np. wybranych komputerów z okolicy w poszukiwaniu luk w systemach, aplikacjach i hardwarze, ich infekowanie i kradzież danych. 

Oznacza to, że celem ataku może być absolutnie każdy komputer. A ten niezabezpieczony w odpowiedni sposób jest wyjątkowo łatwym celem dla hackera.

Właśnie dlatego tak ważne jest zatrudnianie specjalistów i pozwolenie im działać. Zwłaszcza że według raportów w większości przypadku o ataku dowiadujemy się dopiero po ok. 100 dniach. Ten czas koniecznie trzeba skrócić, ponieważ po ponad 3 miesiącach np. po wycieku danych tak naprawdę niewiele można już zrobić. 

________________________________________________________________________________________________

Źródło zdjęcia głównego: [email protected]Roman Synkevych 🇺🇦

//