Καθώς ο Οκτώβρης είναι ο μήνας της κυβερνοασφάλειας, και καθώς βιώσαμε μία κρίσιμη περίοδο η οποία άλλαξε τα δεδομένα της εργασίας καλό είναι να γίνει αναφορά στους τρόπους ασφαλής τηλεργασίας. Η εποχή του covid-19 μας έφερε αντιμέτωπους με νέες προκλήσεις. Μία από αυτές είναι η τηλεργασία, η εργασία δηλαδή από το σπίτι. Η τηλεργασία λοιπόν, συζητιέται πως ήρθε για να μείνει στις ζωές μας ακόμα και όταν ξεπεράσουμε την πανδημία. Για αυτό καλό θα ήταν να μάθουμε πως μπορούμε να δουλέψουμε με ασφάλεια στον κυβερνοχώρο από το σπίτι μας, χωρίς δηλαδή να πέσουμε θύματα κυβερνοεγκλήματος (π.χ. να μας υποκλέψουν πληροφορίες δικές μας ή της εταιρείας της οποίας εργαζόμαστε, να κολλήσει κάποιον ιό ο υπολογιστής μας κλπ.).
Η τηλεργασία συνδέεται με την επεξεργασία προσωπικών δεδομένων, καθώς η παροχή της περιλαμβάνει στοιχεία πελατών προμηθευτών, συνεργατών αλλά και τηλεργαζομένων. Άρα δημιουργούνται κίνδυνοι για την προστασία των προσωπικών δεδομένων λόγω της χρήσης τηλεπικοινωνιών, ηλεκτρονικών συσκευών αλλά και προσωπικών συσκευών του εργαζομένου. Ωστόσο οι συμβουλές που θα δοθούν παρακάτω δεν αφορούν μόνο τους εργαζομένους, αλλά αφορούν και τους εργοδότες, οι οποίοι πρέπει να διασφαλίσουν ένα ασφαλές περιβάλλον για τους εργαζομένους τους, την εταιρεία τους αλλά και τον κάθε εμπλεκόμενο με την εταιρεία τους (π.χ. προμηθευτές, πελάτες κλπ.).
Ας ξεκινήσουμε με τις συμβουλές για τους εργοδότες οι οποίες έχουν δοθεί από την Εθνική Αρχή Διαφάνειας (ΕΑΔ) και την Ελληνική Αστυνομία/ Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος (ΕΛ.ΑΣ/ ΔΙ.Δ.Η.Ε). Ως εργοδότες λοιπόν θα πρέπει να:
- Διασφαλίσετε πολιτικές και διαδικασίες για την αντιμετώπιση περιστατικών ασφαλείας και παραβιάσεων προσωπικών δεδομένων. Επίσης καλό είναι να γίνονται και δοκιμές πριν ξεκινήσει η τηλεργασία για κάθε εργαζόμενο.
- Ενημερώστε και εκπαιδεύστε τους εργαζομένους σας για την πολιτική τηλεργασίας αλλά και για τους κινδύνους του κυβερνοεγκλήματος. Ειδικά για το “phishing” δεδομένων και κωδικών αλλά και για την μέθοδο κοινωνικής μηχανικής, μέσω της οποίας οι κυβερνοεγκληματίες χειραγωγούν τους χρήστες για να παρακάμψουν πρωτόκολλα ασφάλειας ή άλλες διαδικασίες.
- Να έχετε πάντα το λειτουργικό σύστημα και τις εφαρμογές των συσκευών πλήρως ενημερωμένες. Έτσι ώστε να μην υπάρχουν αδυναμίες και να μην μπορέσουν να το εκμεταλλευτούν κακόβουλοι χρήστες.
- Καλό είναι να ληφθούν περισσότερα μέτρα ασφάλειας (π.χ. ισχυρή αυθεντικοποίηση, κρυπτογράφηση σκληρών δίσκων, αποσύνδεση ανενεργών χρηστών κτλ.). Ακόμα καλό είναι να γίνεται εξ αποστάσεως απενεργοποίηση συσκευών οι οποίες χάθηκαν ή κλάπηκαν.
- Δημιουργήστε ασφαλείς επικοινωνίες με τους υπαλλήλους σας, με εξωτερικούς συνεργάτες ή με προμηθευτές.
- Τα κανάλια της επικοινωνίας σας θα πρέπει να είναι ασφαλισμένα με έλεγχο παραγόντων 2 σημείων για την είσοδο στο ηλεκτρονικό ταχυδρομείο των εργαζομένων.
- Είναι σημαντικό να παρέχετε στους υπαλλήλους σας σύνδεση μέσω εταιρικού VPN, με έλεγχο πολλαπλών παραγόντων, για απομακρυσμένη πρόσβαση σε εταιρικά δίκτυα και δεδομένα. Οι συνδέσεις στο εσωτερικό δίκτυο θα πρέπει μετά από κάποιο χρονικό διάστημα που ο χρήστης θα είναι ανενεργός να λήγουν από μόνες τους, και για την εκ νέου σύνδεση να υπάρχει πάλι αυθεντικοποίηση των στοιχείων. Επίσης το VPN θα πρέπει να είναι σε θέση να διατηρεί μεγάλο αριθμό ταυτόχρονων συνδέσεων.
- Τέλος, θα πρέπει να ελέγχετε συχνά το VPN για περίεργη δραστηριότητα.
Τώρα όσον αφορά τις συμβουλές για τους εργαζομένους από την ΕΑΔ, ΕΛ.ΑΣ/ ΔΙ.Δ.Η.Ε αλλά και από το Υπουργείο Ψηφιακής Διακυβέρνησης, έχουν δοθεί οι εξής:
- Καταρχάς θα πρέπει να εξοικειωθείτε με τις πολιτικές τηλεργασίας της εταιρείας που εργάζεστε.
- Θα πρέπει να χρησιμοποιείτε ισχυρούς κωδικούς πρόσβασης αλλά και λογισμικό προστασίας του εξοπλισμού τους.
- Να προσέχετε ποιες συσκευές συνδέονται στο οικιακό δίκτυο σας. Να μην γίνεται σύνδεση με ανοικτά ασύρματα δίκτυα καθώς είναι ευάλωτα σε εξωτερικές παρεμβάσεις και σε υποκλοπές δεδομένων.
- Όταν αποστέλλετε πληροφορίες να χρησιμοποιείτε εφαρμογές οι οποίες παρέχουν κρυπτογράφηση δεδομένων. Και όταν είναι να συνδεθείτε σε λογαριασμούς, καλό είναι να χρησιμοποιείτε την ταυτοποίηση 2 παραγόντων, όπου μετά σας έρχεται μήνυμα στο κινητό με κωδικό για να τον εισάγεται και μετά να σας βάλει μέσα στον λογαριασμό.
- Όταν χρησιμοποιείτε συσκευές (είτε τις προσωπικές σας είτε αυτές που παρέχονται από την εταιρεία) σιγουρευτείτε πως είναι ενημερωμένες και εγκαταστήστε τα κατάλληλα antivirus/ antimalware προγράμματα. Σε περίπτωση που η εταιρεία σας έχει παραχωρήσει εξοπλισμό, μην τον χρησιμοποιείτε για προσωπική χρήση, και μην αφήνετε τα υπόλοιπα μέλη της οικογένειας να έχουν κάθε είδους πρόσβαση σε αυτόν.
- Όταν πρέπει να συνδεθείτε σε εταιρικό δίκτυο ή σε εσωτερικό δίκτυο του φορέα σας, καλό είναι να χρησιμοποιείτε VPN, σύμφωνα με τις οδηγίες που θα σας δώσει η εταιρεία που εργάζεστε.
- Σε περίπτωση που παρατηρήσετε ύποπτη δραστηριότητα, ενημερώστε την εταιρεία.
- Μην ανοίγετε συνδέσμους ή επισυναπτόμενα αρχεία στο email από αποστολείς που δεν γνωρίζετε. Όταν λαμβάνετε μηνύματα τα οποία σας ζητάνε να πατήσετε σε links ή να δώσετε κωδικούς, επαληθεύστε πρώτα την γνησιότητα των email. Προσοχή ακόμα σε μηνύματα τα οποία μιλάνε για επείγον καταστάσεις ή για συνέπειες εάν δεν κάνετε κάτι, είναι μηνύματα ηλεκτρονικής απάτης. Να δίνετε προσοχή σε ύποπτες δραστηριότητες, ειδικά όταν αφορούν οικονομικές συναλλαγές καθώς αυτό μπορεί να είναι μία κυβερνοαπάτη.
- Μην δίνετε προσωπικές πληροφορίες ή κωδικούς πρόσβασης ακόμα και αν η εταιρεία φαίνεται νόμιμη. Κανένας δημόσιος ή ιδιωτικός φορέας δεν θα σας ζητήσει προσωπικούς κωδικούς πρόσβασης.
- Μην μοιράζεστε στα social media τους συνδέσμους των τηλεδιασκέψεων σας.
Τέλος, γενικά καλό είναι να υπάρχουν εφεδρικά αντίγραφα, έτσι ώστε σε περίπτωση κυβερνοεπίθεσης απώλειας ή κλοπής συσκευής να υπάρχουν εναλλακτικοί τρόποι πρόσβασης σε χαμένα δεδομένα.
Αυτές λοιπόν είναι οι συμβουλές για ασφαλέστερη τηλεργασία. Έτσι θα αποφευχθούν κυβερνοεπιθέσεις με στόχο είτε την εταιρεία είτε τις δικές σας προσωπικές πληροφορίες και θα συνεχιστεί, όσο το δυνατόν γίνεται, η ασφαλής επαγγελματική μας δραστηριότητα.
Πηγή: lawspot.gr
#CyberSecurityMonth #CyberSecMonth
Ονομάζομαι Ελένη Καρανάνου και είμαι φοιτήτρια στο τμήμα Κοινωνιολογίας του Παντείου πανεπιστημίου. Εθελοντικά είμαι μέλος στην προσβάσιμη πολυτροπική ηλεκτρονική βιβλιοθήκη για έντυπό- ανάπηρους αναγνώστες (AMELib) και είμαι μέλος του εργαστηρίου αστεακής εγκληματολογίας. Αυτόν τον καιρό πραγματοποιώ την πρακτική μου στο CSIi.