Atostogų sezonas: ką daryti, kad darbostogos nevirstų kibernetinio saugumo incidentu?
Prasidedant vasarai ir atostogų sezonui, darbuotojai tampa vis labiau mobilesni ir, jei gali, renkasi darbostogas Lietuvoje ar užsienyje. Dažnu atveju net ir atostogų metu į kelionę nevengiama pasiimti darbinio kompiuterio ar telefono – jei reiktų trumpam prisijungti dėl svarbios užduoties ar dokumentų persiuntimo. Deja, piktavaliai neatostogauja. Priešingai – jiems atostogų sezonas yra pats darbymetis. Statistiniais įvairių šaltinių duomenimis, būtent savaitgalių, šventinių dienų ir atostogų metu stebimas išaugęs kibernetinių saugumo incidentų skaičius.
Informacijos saugos spragos organizacijai gali kainuoti milijonus. „Fortinet“ mokymo instituto š. m. tyrimo duomenimis, pernai net 48% patirtų informacijos saugos pažeidimų įmonėms kainavo daugiau nei 1 mln. USD. Be to, įmonės gali patirti reputacinę žalą, teisines pasekmes ir prarasti klientų pasitikėjimą.
Tad ką daryti, kad darbostogų ar atostogų džiaugsmo nepavogtų kibernetiniai nusikaltėliai?
Saugaus elgesio internete taisyklės galioja visada
„Saugaus elgesio internete abėcėlė nesikeičia net ir atostogų ar darbostogų metu. Niekada nespauskite įtartinų nuorodų, neatsidarykite el. paštu atsiųstų dokumentų, jei siuntėjas jums nežinomas, nesilankykite įtartinose svetainėse ir naudokite sudėtingus slaptažodžius“, – saugumo taisykles primena Arina Dobryden, „Atea“ Informacijos saugos vadovė.
Itin svarbu, kad darbuotojai, jungdamiesi prie įmonės sistemų, naudotų dviejų faktorių autentifikaciją, t.y, vartotojo tapatybė turi būti patvirtinta dviem būdais, pavyzdžiui, el. pašto adresu ir PIN kodu, gautu SMS.
„Atostogų ar darbostogų metu dėl neįprastos aplinkos, naujų įspūdžių ir atsipalaidavimo galime prarasti budrumą. Tad jei kibernetiniams nusikaltėliams pavyktų išvilioti mūsų prisijungimo prie darbe naudojamų sistemų duomenis, dviejų faktorių autentifikacija neleistų piktavaliams įsibrauti į įmonės naudojamas sistemas“, – akcentuoja A. Dobryden.
Pasak „Atea“ Informacijos saugos vadovės, įmonėms taip pat labai svarbu reguliariai atnaujinti įrenginių, kurie naudojami nuotoliniam darbui, programinę įrangą. Tuo tarpu darbuotojams, net ir darbostogų ar atostogų metu, pamačius atnaujinimo diegimus savo įrenginiuose, reiktų nenumoti į juos ranka ir leisti diegimams įvykti.
Viešieji WiFi prieigos taškai – pavojus jūsų duomenims
Tam, kad nuotolinis darbas būtų saugesnis, darbuotojai prisijungimui prie įmonės sistemų turėti naudoti virtualų privatų tinklą, vadinamąjį VPN, kuris užtikrina saugų ryšį. „Geriausia, kad prisijungimas prie VPN būtų automatinis, t.y. jungiantis prie WiFi, automatiškai įsijungtų VPN. Pastebime, kad darbuotojai dažnai pamiršta įsijungti VPN ir tuomet jungiasi prie WiFi, kuris gali kelti tam tikrų pavojų“, – sako A. Dobryden. Paprasčiausias būdas – naudotis mobiliuoju įrenginiu kaip interneto dalinimosi tašku.
Kodėl nerekomenduojama jungtis prie viešųjų WiFi tinklų? A. Dobryden pabrėžia, kad praktikoje egzistuoja net keli atakų būdai, kai pasitelkiami viešieji interneto prieigos taškai. Vienas iš jų – vadinamoji „man in the middle“ ataka. Jos metu piktavaliai perima dviejų dalyvių komunikaciją ir jų tarpusavyje siunčiamus duomenis. Be to, pats WiFi prieigos taškas gali būti suklastotas. Pavyzdžiui, darbuotojas apsistoja viešbutyje ir prisijungia ne prie tikrojo viešbučio WiFi tinklo, o prie kito, panašiu pavadinimu, bet valdomo kibernetinių nusikaltėlių. Tad vėlgi kyla pavojus įvairiems jautriems duomenimis, slaptažodžiams ir pan.
Ypatingai budriems reikėtų būti dirbant trečiosiose – ne Europos Sąjungos – šalyse. „ES turime panašų kibernetinio saugumo reguliavimą, teisinę bazę, asmens duomenų apsaugos reglamentus. Tuo tarpu trečiosiose šalyse, kilus kibernetinio saugumo incidentui, gali būti keblu jį spręsti vien dėl skirtingo reguliavimo“, – atkreipia dėmesį „Atea“ Informacijos saugos vadovė.
Neignoruokite fizinės įrenginių saugos
„Nors daug kalbame apie duomenų saugumą kibernetinėje erdvėje, nereiktų pamiršti ir apie fizinę kompiuterinių ar mobiliųjų įrenginių saugą. Lietuvoje gyvename pakankamai saugiai ir gal jau baigiame pamiršti apie vagysčių ar užpuolimo galimybes, tačiau tokių atvejų, ypač svečiose šalyse, kuriose nusikalstamumo lygis aukštesnis, deja, dar pasitaiko“, – apgailestauja A. Dobryden.
Pavyzdžiui, jei išvykstama darbostogų į Azijos šalis, patariama dirbant kavinėse nesėdėti prie durų, geriau rinktis tolimesnį kampelį. Mat pasitaiko atvejų, kai vagis įlekia į kavinę, išplėšia kompiuterį iš arčiausiai durų sėdinčio turisto rankų ir sėdęs ant motorolerio pabėga. Tai pat nederėtų įrenginių palikti bagažinėse, viešbučių kambariuose (nebent tai rakinamas seifas).
Žalą, kuri atsiranda pavogus arba praradus kompiuterį ar kitą įrenginį, galima minimizuoti iš anksto – tinkamai užrakinus prietaisą (dviejų faktorių autentifikacija), užšifravus jautrius duomenis kietajame diske, kuriant atsargines kopijas ir kt. Yra ir specialių programėlių, kurias valdant iš kito turimo įrenginio, galima nustatyti, kad visi duomenys, likę prarastame įrenginyje, būtų ištrinti.
Atsargiai su informacija socialiniuose tinkluose
Kad ir kaip įmonėms socialiniuose tinkluose norėtųsi pasiskelbti apie planuojamas ar vykstančias komandos darbostogas, visgi informacinės saugos specialistai pataria to nedaryti. „Socialiniai tinklai ir visa juose skelbiama informacija yra puikus masalas ir informacijos šaltinis planuojant socialinės inžinerijos atakas prieš įmones ar atskirus jos darbuotojus. Sukčiai įvertins, kad darbostogų metu jūsų budrumas bus sumažėjęs, ir gali tuo pasinaudoti“, – perspėja A. Dobryden.
Jei vis dėlto norite viešinti faktą apie įmonės darbostogas ir pasidalinti įspūdžiais, patariama tą daryti sugrįžus po jų.
Geroji praktika – nuotolinio darbo politika, darbuotojų edukacija
Tam, kad nuotolinis darbas, įskaitant darbostogų metu, vyktų sklandžiai ir keltų kuo mažesnę riziką kibernetiniam saugumui, įmonės turėtų būti pasirengusios nuotolinio darbo politiką. Į ją reiktų įtraukti kibernetinio saugumo užtikrinimo priemones ir gerąją praktiką.
Be to, nuotolinio darbo politikoje būtų galima numatyti, kad darbuotojas prieš išvykdamas į užsienio šalį turi informuoti darbdavį, į kokią šalį, kuriam laikui vykstama, kokiu adresu bus dirbama. „Tokia politika galėtų būti taikome ne tik darbostogų, bet ir atostogų metu, jei darbuotojas planuoja vežtis darbinį kompiuterį ar telefoną ir juo jungtis prie darbovietės informacinių sistemų“, – pabrėžia A. Dobryden.
Svarbiausia, kad ši politika negulėtų stalčiuose, o su ja darbuotojai būtų aktyviai supažindinami ir edukuojami. Pavyzdžiui, prieš darbuotojams išvykstant darbostogų verta parengti trumpą atmintinę ir išplatinti ją darbuotojams.
Itin svarbu, kad darbuotojai atostogų ar darbostogų metų žinotų, į ką operatyviai kreiptis, jei visgi kibernetinės saugos incidentas įvyktų. Šią svarbią informaciją taip pat būtų galima įtraukti į atmintinę.
„Kibernetinio saugumo užtikrinimas ilgalaikis ir nesustojantis procesas, tad įmonėms reiktų stebėti situaciją, įsivertinti pažeidžiamiausias vietas ir nuolat tobulinti procesus ir naudojamas priemones“, – reziumuoja „Atea“ Informacijos saugos vadovė.