Εργασία εξ αποστάσεως (από το σπίτι): Κίνδυνοι και πώς να τους αποφύγετε

Aπό τον Παντελή Ταμπακόπουλο,

Η τηλεργασία, δηλαδή η εργασία από απόσταση, δεν είναι φαινόμενο των καιρών. Καθώς είναι πολύ δημοφιλής ανάμεσα στις επιχειρήσεις, αποτελεί κοινή πρακτική για πολλές  από αυτές,  ανά τον κόσμο. Η έκθεση της Διεθνούς Ομάδας Εργασίας (IWG) για to 2019, έδειξε ότι το 50% των υπαλλήλων παγκοσμίως εργάζεται πλέον εκτός γραφείου, τουλάχιστον για 2,5 ημέρες την εβδομάδα. Το 80% των ερωτηθέντων για την ίδια έρευνα, ανέφερε ότι από δύο παρόμοιες προσφορές εργασίας, θα απέρριπταν αυτήν που δεν θα είχε την περίπτωση να εργάζονται και από απόσταση.

 

Το ξέσπασμα του κοροναϊού Covid-19, παγκοσμίως, έχει σημαντικό αντίκτυπο στις επιχειρήσεις και αναμένεται να αποτελέσει μείζονα πρόκληση για κάθε επιχείρηση τουλάχιστον το 1ο εξάμηνο του έτους. Οι Κυβερνήσεις των πληττόμενων χωρών εφαρμόζουν «μέτρα κοινωνικής απομάκρυνσης» και ενθαρρύνουν τις επιχειρήσεις να εφαρμόζουν την τηλεργασία όπου είναι δυνατόν. Οι επιχειρήσεις από την πλευρά τους πρέπει να έχουν την απαραίτητη τεχνολογία πληροφορικής και την υποδομή που απαιτείται για να υποστηρίξουν πολλούς υπαλλήλους που εργάζονται από το σπίτι. Πολλές επιχειρήσεις στην χώρα μας, αλλά και παγκοσμίως, έχουν ήδη προχωρήσει ένα βήμα παραπέρα και έδωσαν προληπτικά εντολή σε όλους τους υπαλλήλους τους να εργάζονται από απόσταση όπου είναι δυνατόν.

 

Κατά την διάρκεια της εφαρμογής αλλά και της υποστήριξης της τηλεργασίας, πολλές φορές σε μεγάλη κλίμακα, οι επιχειρήσεις και οι οργανισμοί πρέπει να προετοιμάσουν τους εαυτούς τους και τους υπαλλήλους τους για τους αυξημένους κινδύνους, οι οποίοι επιβουλεύονται την ασφάλεια στον κυβερνοχώρο, που μπορεί να επιφέρει μια τέτοια αλλαγή. Παρακάτω περιγράφονται μερικές από τις προκλήσεις αλλά και κάποιες βέλτιστες πρακτικές που αφορούν τη μετάβαση από την εργασία με βάση το γραφείο στην εργασία από απόσταση.

 

Φυσική ασφάλεια των συσκευών

Πρώτα απ ‘όλα, είναι σημαντικό να σημειωθεί ότι μόνο και μόνο επειδή δεν θα εργάζεστε από το ασφαλές περιβάλλον του γραφείου, εκθέτετε τον εαυτό σας σε μεγαλύτερο κίνδυνο να «χάσετε» τους φορητούς υπολογιστές σας και μαζί με αυτούς όλα τα δεδομένα σε τοπικό επίπεδο. Στην περίπτωση αυτή, χρήσιμη είναι η χρήση  κρυπτογράφησης των μέσων αποθήκευσης (σκληρός δίσκος, USB stick), ώστε σε περίπτωση απώλειας ή κλοπής, τα δεδομένα να μην είναι προσβάσιμα. Καλό είναι να αποφεύγεται η χρήση του συγκεκριμένου υπολογιστή από τα υπόλοιπα μέλη της οικογένειας, ιδίως στην περίπτωση προσωπικών συσκευών (Bring Your Own Device – BYOD), διαφορετικά όλοι οι λογαριασμοί στη συσκευή θα πρέπει να απαιτούν μοναδικά και πολύπλοκα διαπιστευτήρια σύνδεσης (κωδικούς) και οι υπόλοιποι λογαριασμοί χρηστών θα πρέπει να περιορίζονται σε δικαιώματα μη διαχειριστή. Μην ξεχνάτε ότι «ασθενείς» ή «κλεμμένοι» κωδικοί είναι η αιτία του 95% των επιτυχημένων επιθέσεων στο διαδίκτυο. Να αποσυνδέεστε κάθε φορά που το σύστημα δεν χρησιμοποιείται ακόμα και στο σπίτι. Η προφύλαξη οθόνης πρέπει να είναι ενεργή και με κωδικό πρόσβασης και να χρησιμοποιείτε εύχρηστες συντομεύσεις πληκτρολογίου όπως Win-L (Windows) και Ctl-Cmd-Q (Mac) για να κλειδώνετε γρήγορα την οθόνη κάθε φορά που απομακρύνεστε  από τον υπολογιστή. Δεν αφήνουμε ΠΟΤΕ τον υπολογιστή χωρίς επιτήρηση, ιδίως στους δημόσιους χώρους.

 

Πρόσβαση στο εταιρικό δίκτυο

Όταν αποκτάτε πρόσβαση στο εταιρικό δίκτυο εξ αποστάσεως, υπάρχει μεγαλύτερος κίνδυνος μη εξουσιοδοτημένης πρόσβασης και διαρροής δεδομένων. Όταν βρίσκεστε  στο σπίτι, να μην κάνετε ενέργειες που δεν θα κάνατε ποτέ στο γραφείο, όπως η κοινή χρήση του υπολογιστή με άλλα μέλη της οικογένειας ή η χρήση του ίδιου υπολογιστή τόσο για προσωπικές όσο και για επαγγελματικές δραστηριότητες. Επιπλέον, η χρήση των οικιακών παρόχων (ISPs) και των δημόσιων υπηρεσιών Wifi δημιουργεί προϋποθέσεις κυβερνοεπίθεσης που είναι εκτός ελέγχου του τμήματος ασφάλειας πληροφορικής της επιχείρησης σας. Η χρήση VPN για απομακρυσμένη σύνδεση  σε δίκτυα και διακομιστές επιχειρήσεων είναι η ενδεικνυόμενη. Ένα εικονικό ιδιωτικό δίκτυο παρέχει άμεση σύνδεση σαν να ήταν συνδεδεμένη η απομακρυσμένη συσκευή στο τοπικό δίκτυο της επιχείρησης. Οι κρυπτογραφημένες συνδέσεις δεν μπορούν να «διαβαστούν» από τον ISP του χρήστη και μπορούν να αποτρέψουν μια κοινή παραβίαση ασφάλειας, όπως η επίθεση τύπου «man-in-the-middle». Μηχανισμοί 2FA (twofactor authentication) ή MFA (multi-factor authentication) για τη σύνδεση στο δίκτυο της εταιρείας, μπορούν να χρησιμοποιηθούν. Οι γεννήτριες κώδικα (code generators) και ο Microsoft Authenticator, θα πρέπει να χρησιμοποιούνται όσο το δυνατόν, ώστε να ελαχιστοποιείται ο κίνδυνος κλοπής ή phishing. Πρέπει να γνωρίζετε ότι ένας υπολογιστής που χρησιμοποιείται από το σπίτι, ακόμη και προσωπικός, πρέπει να θεωρείται ότι είναι εταιρικός και θα πρέπει να χρησιμοποιείται μόνο από εξουσιοδοτημένο προσωπικό. Κάθε δραστηριότητα που δεν σχετίζεται με την εργασία θα πρέπει να διεξάγεται από άλλες συσκευές.

Εξουσιοδότηση Χρηματοοικονομικών Συναλλαγών

Οι μεγαλύτερες οικονομικές απώλειες που οφείλονται στο κυβερνοέγκλημα συμβαίνουν μέσω του επιχειρησιακού ηλεκτρονικού ταχυδρομείου (BEC/EAC), όπου οι επιτιθέμενοι μέσω του λογαριασμού ενός εκ των υψηλόβαθμων ή εξουσιοδοτημένων γι αυτό στελεχών ή ακόμη και του ίδιου του προέδρου/ιδιοκτήτη της επιχείρησης, χρησιμοποιούν το λογαριασμό αυτό και δίνουν εντολή σε άλλο μέλος του προσωπικού,  μέσω ηλεκτρονικού ταχυδρομείου να μεταφέρει χρηματικά ποσά σε λογαριασμό (κυρίως στο εξωτερικό), συνήθως με το πρόσχημα της πληρωμής ενός ψευδούς τιμολογίου. Ένας μεγάλος αριθμός υπαλλήλων που εργάζονται από απόσταση αποτελεί ευκαιρία για απάτη BEC, καθώς αυτή βασίζεται σε επικοινωνίες που δεν επιβεβαιώνονται σχεδόν ποτέ προσωπικά. Περιορίστε τον αριθμό των ατόμων που είναι εξουσιοδοτημένα να διεξάγουν μεταφορές εμβασμάτων και βεβαιωθείτε ότι όλες οι νέες αιτήσεις υπόκεινται σε δευτερεύουσα επιβεβαίωση.  Χρησιμοποιήστε τηλεφωνική επικοινωνία ή τεχνολογία τηλεδιάσκεψης για να διασφαλίσετε ότι η εντολή της οικονομικής συναλλαγής προέρχεται από εξουσιοδοτημένο στέλεχος της επιχείρησης.

 

Προσοχή στις κακόβουλες ενέργειες ηλεκτρονικού “ψαρέματος” (phishing)

Οι διάφορες κακόβουλες ενέργειες ηλεκτρονικού “ψαρέματος” (phishing) αποτελούν απειλή για όλους τους εργαζόμενους, είτε εργάζονται από το γραφείο είτε από απόσταση. Οι εργαζόμενοι που δεν είναι συνηθισμένοι να εργάζονται από το σπίτι, καλούνται να διαχειριστούν την αυξημένη κίνηση των μηνυμάτων ηλεκτρονικού ταχυδρομείου καθώς και άλλων επικοινωνιών με βάση το κείμενο και ενδέχεται να μην είναι σε θέση να ξεχωρίσουν εύκολα τι είναι αυθεντικό και τι είναι απάτη. Ειδικότερα, με την άνοδο του mailspam το οποίο εκμεταλλεύεται τους φόβους του κοροναϊού, οι εργαζόμενοι από απόσταση πρέπει να είναι ιδιαίτερα προσεκτικοί. Πρόσφατα παρατηρήθηκε προσπάθεια εξαπάτησης χρηστών του διαδικτύου από  κυβερνοεγκληματίες, οι οποίοι χρησιμοποιούν πλαστούς χάρτες (fake COVID-19 tracker maps) οι οποίοι απεικονίζουν σε πραγματικό χρόνο την εξάπλωση των κορονοϊού, για να διασπείρουν κακόβουλο λογισμικό (malware).

Ελέγχετε πάντοτε τους συνδέσμους πριν κάνετε κλικ, τοποθετώντας το δείκτη του ποντικιού πάνω από το σύνδεσμο, για να δείτε τον πραγματικό προορισμό της διεύθυνσης URL. Απορρίψτε αιτήματα για ενεργοποίηση μακροεντολών κατά το άνοιγμα συνημμένων ηλεκτρονικού ταχυδρομείου. Απορρίψτε μηνύματα με ακαταλαβίστικο συντακτικό. Στην ιδανική περίπτωση, χρησιμοποιήστε μια προηγμένη λύση ασφαλείας EPP/EDR που μπορεί να επιβάλει μια πολιτική για την αποτροπή εκτέλεσης μακροεντολών ή το κλείδωμα κακόβουλου περιεχομένου εάν εκτελείται από το χρήστη. Το λογισμικό CDR μπορεί επίσης να βοηθήσει στην προστασία από μηνύματα ηλεκτρονικού ταχυδρομείου και άλλες εξωτερικές πηγές.

 

Προστασία συσκευών από κακόβουλο λογισμικό

Σε αντίθεση με τους υπολογιστές στο γραφείο, οι οποίοι πιθανότατα δεν συνδέονται με κανένα άλλο δίκτυο εκτός από το εσωτερικό (intranet) της εταιρείας, οι οικιακοί, οι φορητοί υπολογιστές και τα smartphones που χρησιμοποιούν οι εργαζόμενοι από απόσταση, μπορούν να συνδέονται σε πολλά και διαφορετικά δίκτυα. Αν δεν ξέρετε πού βρίσκονται, με τι έχουν συνδεθεί, ποιες περιφερειακές συσκευές έχουν συνδεθεί σε αυτά ή ποιες διαδικασίες εκτελούν και είναι απροστάτευτα, όχι μόνο δεν θα εμποδίσουν αλλά και θα διευκολύνουν την παραβίαση του δικτύου εάν ένας χρήστης με μολυσμένη συσκευή συνδεθεί στο εταιρικό δίκτυο. Προστατεύστε όλες τις συσκευές  σας με μια αξιόπιστη λύση ασφάλειας (internet security) τελευταίας γενιάς, που λειτουργεί τοπικά στην ίδια τη συσκευή και δεν απαιτεί συνδεσιμότητα νέφους (cloud). Εξυπακούεται ότι «σπασμένα» και τύπου «free» λογισμικά, είναι σαν να μην υπάρχουν.  Προστατέψτε τις συσκευές σας ενεργοποιώντας στο λογισμικό ασφάλειας τον αυτόματο έλεγχο της συσκευής, των εξωτερικών συσκευών αποθήκευσης (USB, HDD) και άλλων περιφερειακών συσκευών κατά την σύνδεσή τους, σε όλα τα τελικά σημεία.  Βεβαιωθείτε ότι έχετε ορατότητα σε ολόκληρο το δίκτυό σας, ώστε να εντοπίζετε μη προστατευμένες συσκευές και να λαμβάνετε ειδοποιήσεις για πιθανή ανώμαλη ή ύποπτη συμπεριφορά. Ελέγχεται συχνά τα οικιακά δίκτυα wifi με είσοδο στην διεπαφή του δρομολογητή (router interface) σας για τυχόν «ξένες» συσκευές συνδεδεμένες σε αυτό.

Έχετε πάντοτε ενημερωμένο το λογισμικό (windows, Android, linux, OS) των συσκευών σας με την εγκατάσταση των τελευταίων εκδόσεων ασφαλείας (software patches). Ρυθμίστε τις συσκευές σας να κάνουν αυτόματη ενημέρωση, όποτε αυτή είναι διαθέσιμη. Ενεργοποιήστε το τείχος ασφάλειας (Firewall) των συσκευών σας. Το τείχος προστασίας θα αποτρέψει τη μη εξουσιοδοτημένη πρόσβαση από και προς το δίκτυο, ενισχύοντας περαιτέρω την ασφάλεια των συσκευών σας, με την συνεχή παρακολούθηση της κίνησης του δικτύου και την ταυτόχρονη εύρεση και παρεμπόδιση οποιασδήποτε ανεπιθύμητης κίνησης.

 

Συμπέρασμα

Η τηλεργασία δεν πρέπει να επηρεάζει την παραγωγικότητα ή την ασφάλεια των εργαζομένων και πολλοί οργανισμοί, κυρίως οι μεγαλύτεροι, έχουν αρκετή εμπειρία υποστήριξης της απομακρυσμένης εργασίας σε μεγάλη κλίμακα. Η πρόκληση που παρουσιάζει η συνεχιζόμενη έξαρση του Covid-19 είναι ότι οι επιχειρήσεις θα πρέπει να μπορούν να υποστηρίξουν μια γρήγορη και ευρείας κλίμακας μετάβαση του προσωπικού τους σε τηλεργασία, ιδιαίτερα όταν το προσωπικό αυτό είναι συνηθισμένο να εργάζεται μόνο στο γραφείο και δεν είναι εξοικειωμένο με τις διαφορετικές απαιτήσεις που μπορεί να έχει η εργασία από το σπίτι . Η διαταραχή της εργασιακής ρουτίνας μπορεί να αποτελέσει πρόβλημα για την ασφάλεια. Όλοι πρέπει να κατανοήσουν τις πρόσθετες προκλήσεις ασφάλειας της τηλεργασίας και να εφαρμόσουν τους κανόνες για την ασφαλή λειτουργία αυτής, όπου, όταν και όσο διάστημα αυτή απαιτηθεί, κατά τη διάρκεια της παρούσας έκτακτης ανάγκης για την υγεία.

2020-03-16T09:26:34+00:00