Po dwóch latach pandemii do łask wracają wyjazdy służbowe. Pracownicy chętnie wybierają się w delegacje, a jednocześnie coraz większą popularność zdobywa łączenie pracy z wypoczynkiem. Jednak praca zdalna, szczególnie za granicą, wiąże się ze sporym ryzykiem cyberataku i wycieku poufnych informacji.
Ryzykowne wyjazdy
Praca zdalna zdobyła popularność w czasie pandemii. W efekcie bardzo wzrosło ryzyko cyberataków.
– Jak pokazuje ESET Threat Report T3 2021, minione dwa lata stały pod znakiem intensywnego wzrostu liczby ataków na usługę tzw. pulpitu zdalnego. W ubiegłym roku ich liczba oscylowała wokół 288 miliardów. To wzrost rzędu 900 proc. wobec 2020 r. Przy tym piąte miejsce wśród krajów w zestawieniu częstotliwości ataków tego typu zajęła Polska – mówi Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa w firmie ESET.
Praca zdalna spowszedniała, ale cyberprzestępcy nie rezygnują z działań wycelowanych w osoby wykonujące obowiązki służbowe poza firmą. Pracownicy coraz odważniej zabierają też pracę w delegacje albo na wakacje. Tymczasem podczas podróży zagrożenia związane z cyberbezpieczeństwem są wyjątkowo wysokie – pracownicy znajdują się w nieznanym miejscu i bez wsparcia infrastruktury firmy.
– Są oni najsłabszym ogniwem. Jeżeli nie będą przestrzegali zasad bezpieczeństwa, poufne dane firmy mogą wyciec – przestrzega Paweł Niemyt, menedżer w firmie Altkom Akademia.
– Dlatego trzeba stale uświadamiać pracowników poprzez regularne szkolenia przybliżające zagrożenia cybernetyczne, w tym te wynikające ze specyfiki pracy w trybie zdalnym – wtóruje mu Kamil Sadkowski.
Każda firma powinna zainteresować się cyberhigieną, czyli znajomością najważniejszych zasad bezpiecznego poruszania się w cyberprzestrzeni.
– Jest bardzo duża szansa, że odpowiednio wyedukowany pracownik nie da się nabrać na sztuczki socjotechniczne i w efekcie nie sprowadzi na firmę na przykład zagrożenia ze strony złośliwych narzędzi typu ransomware – mówi Maciej Iwanicki, kierownik do spraw rozwoju biznesu w firmie Fortinet.
Ostrożność przede wszystkim
Przestępcy wykorzystują wiele metod ataków.
– Ukierunkowany na pracowników phishing, fałszywe aplikacje na smartfony udające znane narzędzia do telekonferencji czy też ataki wykorzystujące błędy w oprogramowaniu typu VPN to tylko kilka przykładów – mówi Kamil Sadkowski.
Najlepszym sposobem, aby uniknąć ryzyka wycieku danych, jest ostrożność.
– Trzeba ją zachować zwłaszcza wobec wszelkich wiadomości od nieznajomych nadawców, w których zawarte zostały linki czy podejrzanie wyglądające pliki. W żadnym wypadku nie wolno ich klikać ani otwierać – przestrzega Maciej Iwanicki.
Pracownicy są szczególnie narażeni na ataki cybernetyczne w sytuacjach, gdy korzystają z hotspotów Wi-Fi w miejscach publicznych. Niebezpieczne jest także korzystanie z publicznych ładowarek USB, które mogą pobierać i uruchamiać złośliwe oprogramowanie oraz podsłuch. Hakerzy następnie szpiegują i tym sposobem uzyskują dostęp do poufnych informacji. Dlatego pracodawca powinien zaangażować działy IT, które mogą pomóc i przeszkolić osoby podróżujące służbowo na temat skutecznej ochrony poufnych danych firmy.
Weź udział w konferencji online “Umowy wdrożeniowe na systemy IT”, 7-8 czerwca 2022 >>
– Aby zminimalizować niebezpieczeństwo utraty cennych informacji, istotne jest także zaopatrzenie pracowników w odpowiedni sprzęt wyposażony w oprogramowanie ochronne. Szczególnie ważne jest zapewnienie rozwiązań takich jak m.in. firewall, antyphishing i skanowanie pod kątem złośliwego oprogramowania wymiennych nośników danych – mówi Kamil Sadkowski.
Jednym z najskuteczniejszych sposobów ograniczenia zagrożenia wycieku danych jest korzystanie z wirtualnej sieci prywatnej (VPN) w czasie pracy zdalnej.
– Trzeba jednak pamiętać, że używanie VPN-u powinno być częścią precyzyjnej polityki cyberbezpieczeństwa – podkreśla Paweł Niemyt.
Podstawy bezpieczeństwa
Aby firmowe dane były bezpieczne, pracownicy powinni pamiętać przede wszystkim o uważnym korzystaniu z urządzeń osobistych (na przykład stosowaniu ochraniaczy na ekran uniemożliwiających odczytanie danych czy haseł osobie siedzącej z boku). Trzeba upewnić się, że urządzenia są zablokowane i chronione hasłem, pamiętać o szyfrowaniu plików, przechowywaniu danych w chmurze, regularnej aktualizacji oprogramowania oraz obowiązkowym niszczeniu wszystkich poufnych dokumentów.
– Pracownik w czasie wyjazdu służbowego jest również bardziej narażony na kradzież lub zagubienie sprzętu. Uczulmy wyjeżdżających, żeby nigdy nie pozostawiali komputera czy komórki bez opieki – podkreśla Paweł Niemyt.
– Kluczowym aspektem jest ustawianie unikalnych i odpowiednio silnych haseł, najlepiej z wykorzystaniem managera haseł. Dodatkowo warto korzystać z uwierzytelniania wieloskładnikowego. Dobrym sposobem na podniesienie bezpieczeństwa jest także wyłączenie wszystkich funkcji związanych z udostępnianiem danych. Jeśli korzystamy z prywatnego routera, zadbajmy o to, żeby połączenie Wi-Fi było w odpowiedni sposób zaszyfrowane i zabezpieczone silnym hasłem – radzi Kamil Sadkowski.
Warto też wprowadzić procedury postępowania na wypadek utraty urządzeń lub dokumentów zawierających poufne informacje.
– Jasna procedura gwarantuje szybszy czas reakcji i możliwość ograniczenia szkód wywołanych potencjalnym włamaniem do firmowej sieci – mówi Paweł Niemyt.
Kamil Sadkowski zaleca także włączenie funkcji automatycznej aktualizacji, dzięki czemu na bieżąco instalowane będą wszystkie łatki bezpieczeństwa. Pracownicy często wykorzystują do pracy również prywatny sprzęt. W takiej sytuacji powinni pamiętać o odpowiednim sposobie przechowywania służbowych plików i dokumentów, najlepiej w specjalnym, zaszyfrowanym katalogu, do którego dostęp mają jedynie upoważnione osoby.
– Warto wdrożyć politykę, w ramach której wszystkie zmodyfikowane dokumenty muszą być zapisywane na serwerach przedsiębiorstwa lub organizacji jako backup – mówi Kamil Sadkowski.
– Można też rozważyć dostarczenie pracownikom licencji stosowanego w firmie oprogramowania ochronnego, aby mogli zainstalować je na prywatnym sprzęcie. Konieczne jest dobre zabezpieczenie urządzeń końcowych w domach pracowników, a także dostępu do usług w środowisku chmurowym oraz aplikacji, zwłaszcza tych o znaczeniu krytycznym – mówi Maciej Iwanicki.