Nakon prošlogodišnjeg novouspostavljenog načina rada – rada od kuće, uslovljenog epidemiološkom situacijom, svet je delimično počelo da se vraća u svoje stare koloseke. Jedan od prvih koraka u uspostavljanju nove ravnoteže jeste hibridni rad.
Nov način rada i novi izazovi za IT bezbednost
Zaposleni deo vremena provode u kancelarijama, a deo van nje – u radu od kuće, čime se povećava mogućnost da uređaji i podaci kompanija dođu u pogrešne ruke. ESETovci su se, između ostalog, u poslednje vreme bavili istraživanjem potencijalnih bezbednosnih rizika a u kontekstu hibridnog rada. Kao najslabije karike pokazali su se upravo zaposleni i njihovo korišćenje cloud tehnologije i cloud servisa.
Spoj kancelarijskog rada i rada sa udaljene tačke deluje motivišuće na radnike, jer im daje mogućnost rada sa različitih lokacija. To je benefit za poslodavce! No, istovremeno izazov za sigurnost podataka kompanije. U kontekstu cyber bezbednosti promena predstavlja problem, pre svega, jer su ljudi bića rutine. Što će reći da im trebe neko vreme da se priviknu na novonastalu situaciju. Jedna od najboljih praksi, a u procesu privikavanja, jeste razvijanje novih navika, što neće biti lako s obzirom da postoji više obrazaca rada.
Šta je posredi?
Prenosni uređaji poput laptop računara, pametnih telefona, tableta i fleševa oduvek su predstavljali veliki rizik za korporativnu IT bezbednost. Tokom pandemije i njome uzrokovanog rada od kuće, inače prenosni uređaji bili su stacionirani na jedno mesto, pa su u tom smislu bili manji rizik po IT bezbednost. No, kako se kancelarije polako otvaraju, a hibridni rad postaje novonastala stvarnost, novi obrazac rada koji podrazumeva neprestano premeštanje kancelarije s jedne tačke na drugu, pred poslodavce postavlja poznat niz rizika. Jednostavnije rečeno izazovi postaju veći zbog, pod jedan konstantne promene i pod dva prenosa uređaja i dokumenata s jednog na drugo mesto. Osim podele vremena na rad u kancelariji i rad od kuće, otvora se mogućnost rada u zajedničkim prostorijama, ali i poseta klijentima i sastanaka sa partnerima.
Hibridni rad i bezbednost uređaja
Istovremeno prenošenje mobilnih uređaja, povezivanje na internet “negde usput“ ili čak prevoženje osetljivih dokumenata odštampanih na papir nešto je što će postati deo poslovne svakodnevice. U tom kontekstu, upozoravaju ESETovci, glavni sajber rizici mogu se definisati kao:
- Izgubljeni ili ukradeni mobilni uređaji – ako nisu zaštićeni lozinkom, jakom enkripcijom ili funkcijom daljinskog brisanja, prenosni računari, pametni telefoni i tableti mogli bi otkriti korporativne podatke i resurse. Primera radi, u Britaniji je jedan finansijski nadzornik zabeležio stotine izgubljenih ili ukradenih uređaja zaposlenih u protekle tri godine;
- Izgubljeni ili ukradeni papirni dokumenti – Uprkos tome što je većina dokumenata digitalizovana i što su digitalne tehnologije sve popularnije, tradicionalni (papirni) dokumenti još uvek nisu iskorenjeni, pa ostaju bezbednosni rizik;
- Špijuniranje “preko ramena“ i prisluškivanje – Većom cirkulacijom između kancelarija i drugih tačaka sa kojih zaposleni rade povećava se rizik od prisluškivanja video razgovora, “skidanja“ lozinke i drugih sličnih osetljivih podataka. Takvi podaci, čak i ako su samo delimično prikupljeni, mogu da se zloupotrebe;
- Nesigurne Wi-Fi mreže – Rad sa udaljene tačke znači i potencijalno veću izloženost rizičnim Wi-Fi žarišnim tačkama na javnim mestima poput železničke stanice, aerodroma i kafića. Čak i ako te mreže zahtevaju lozinke, zaposleni mogu biti u opasnosti od digitalnog prisluškivanja, zlonamernog softvera, otmice sesije, itd.
Kako umanjiti rizik?
Dobra vest je da ova pretnja postoji već godinama i da postoje isprobane politike koje efikasno mogu da izađu na kraj sa njima. Hitnost u preduzimanju bezbednosnih koraka leži u činjenici da će sve veći broj zaposlenih biti izložen rizicima. Evo šta možete preduzeti:
- Obuka i svest zaposlenih – Efikasna obuka radnika može da pomogne u smanjenu rizika od “fishing-a“. Takve obuke mogle bi da se prilagode i gore pomenutim rizicima, te da se na taj način zaposlenim uveća svest o potencijalnim pretnjama. U ovu vrstu obuka trebalo bi uključiti i teme kao što su: upravljanje lozinkama, društveni inženjering i bezbedna upotreba web-a. Tehnike obučavanja kroz igru su sve popularnije jer dokazano ubrzavaju proces učenja, poboljšavaju zadržavanje znanja i utiču na trajne promene ponašanja;
- Smernice za kontrolu pristupa – Autentifikacija korisnika ključni je deo svake korporativne bezbednosne strategije, posebno pri upravljanju velikim brojem krajnjih korisnika. Politike treba prilagoditi riziku organizacije, ali najbolje prakse obično uključuju jake, jedinstvene lozinke, uskladištene u menadžeru lozinki i višefaktorsku autentifikaciju (MFA). Ovo poslednje znači da će nalog ostati siguran, čak i ako digitalni prisluškivač ili špijun koji viri preko ramena uhvati vašu lozinku ili jednokratne akreditive;
- Sigurnost uređaja – Podrazumeva se da same uređaje treba zaštiti i da njihovom bezbednošću upravlja IT služba. Jaka enkripcija diska, biometrijska autentifikacija, daljinsko zaključavanje i brisanje podataka, zaštita lozinkom sa automatskim zaključavanjem, zaštita krajnjih tačaka, redovno automatsko ažuriranje i pravljenje rezervnih kopija u oblaku su važni elementi. NSA (National Security Agency) ovde ima korisnu kontrolnu listu za mobilne telefone;
- Zero Trust – Ovaj sve popularniji model bezbednosti dizajniran je za svet u kome korisnici mogu sigurno da pristupe korporativnim resursima sa bilo kog mesta, na bilo kom uređaju. Ključ je kontinuirana autentifikacija korisnika i uređaja, segmentacija mreža i druge bezbednosne kontrole. Organizacije bi trebale da se postavljaju skeptično, te da neprestano polaze od pretpostavke o kršenju pravila i da primene politiku najmanje privilegije – da sve mreže tretiraju kao nepouzdane.
Zaključak
Hibridni način rada, sa aspekta bezbednosti, nije lak. U prvo vreme može da se desi da ima mnogo korporativnih žrtava. No, sa solidnim setom bezbednosnih politika koje primenjuju pouzdane tehnologije i provajdere, poslodavci će imati benefite od “oslobađanja svoje radne snage“ i davanja mogućnosti za rad sa različitih lokacija.
Preuzeto sa: https://www.welivesecurity.com/2021/08/12/examining-threats-device-security-hybrid-workplace/