Pro někoho noční můra, pro jiné milovaný benefit. I když už je to nějakou dobu, co pandemie zamávala se způsobem, jakým pracujeme nebo trávíme volný čas, homeoffice už s námi nejspíš zůstane. A klade firmám větší nároky na kybernetickou bezpečnost.

Při práci na dálku se zaměstnanci do firemního IT prostředí připojují vzdáleně, přitom o totéž se vlastně snaží zástupy hackerů. Dalším bodem, který firmy musí řešit, jsou pak samotná zařízení, která zaměstnanci ke své práci využívají a pomocí kterých jsou ve spojení s kolegy a mají skrze ně přístup k citlivým firemním datům. Tato zařízení se tak automaticky stávají dalším potenciálním cílem útoku, a tudíž bezpečnostním rizikem.

Firmy tedy potřebují řešit kvůli homeoffice otázku kyberbezpečnosti ve dvou oblastech. Tou jednou je zabezpečení vlastní firemní infrastruktury a zajištění bezpečného přístupu zaměstnanců k potřebným datům i na dálku. Tou druhou je zabezpečení samotných zařízení, která zaměstnanci využívají. A je přitom úplně jedno, jak rozsáhlá IT infrastruktura firmy je a jaká zařízení zaměstnanci používají. Zabezpečení je nutné, ať už malá firma využívá běžné cloudové úložiště třeba pro sdílení faktur s účetní, nebo má větší firma pro tyto účely vlastní řešení. A důležité je, že vždy cesta k dobrému zabezpečení existuje.

Lidský faktor je zásadní

Jednou ze základních součástí samotného zabezpečení citlivých dat by mělo být samotné zvyšování povědomí zaměstnanců o kybernetických bezpečnostních rizikách práce na dálku. Jedním z nejčastějších způsobů útoků na firemní data skrze zaměstnance a jejich zařízení je totiž phishing, což je snaha útočníka vylákat z uživatele jeho přihlašovací údaje: uživatelské jméno a heslo.

Klíčové v tomto případě je, že se útočník vydává za důvěryhodnou osobu nebo společnost, třeba i za společnost samotného zaměstnance. Útok většinou probíhá e-mailem, ale může mít i další podoby, výzva k určité akci, která vede k zadání uživatelského jména a hesla do podvrženého formuláře, může přijít třeba i přes různé chatovací aplikace, sociální sítě nebo telefon.

I když jsou phisnigové útoky stále sofistikovanější, dovede pozorný a rizik znalý uživatel většinu útoků odhalit. A to třeba i v případě dnes čím dál „oblíbenějšího“ spear-phishingu, kdy podvodná zpráva přichází od někoho, koho uživatel dobře zná. Tyto zprávy totiž mívají typické znaky, které je mohou prozradit. Text emailu často obsahuje zprávu, která jí přidává na důvěryhodnosti, ale s jejím odesílatelem uživatel dlouho nekomunikoval, nebo komunikoval v jiném kontextu.

Řešení v případě, že zaměstnanci dorazí phishingová zpráva je poměrně jednoduché: takovou zprávu ignorovat, smazat a případně nahlásit tomu, kdo ve firmě za IT bezpečnost zodpovídá. Pomoci ale v tomto případě mohou i jednoduché bezpečnostní nástroje jako antispam a firewall.

Budovat dobré návyky

Firmy by také měly vést své zaměstnance k budování základních návyků v oblasti kyberbezpečnosti: například k pravidelné aktualizaci veškerého softwaru, který na svých zařízeních využívají, nebo k používání silných hesel. U hesel je přitom důležité, aby uživatelé pro každou ze služeb a aplikací, do kterých se přihlašují, využívali jedinečné heslo. Hesla se prostě opakovat nesmí.

Skvělým návykem je také využívání takzvaného dvoufaktorového ověření. To je způsob, kdy uživatel kromě svých přihlašovacích údajů (tedy uživatelského jména a hesla) musí pro autorizaci zadat i jednorázové heslo, které mu může dorazit třeba do e-mailu, SMS zprávy, nebo ho může vygenerovat aplikace pro generování jednorázových hesel.

Firmy si samozřejmě mohou vyvinout i svůj vlastní způsob dvoufaktorové autorizace třeba pomocí biometrických údajů, jako to dnes běžně dělají banky, kde uživatelé své platby schvalují v chytrém telefonu třeba otiskem prstu. To je ale poměrně náročná záležitost, která se hodí jen pro větší podniky. Standardem pro připojování do firemního prostředí by měly také být takzvané virtuální privátní sítě (VPN).

Vlastní či firemní?

Na zvážení firem je také to, jaká zařízení nechají zaměstnance pro práci z domova využívat. Služební notebook nebo počítač a k tomu služební telefon dávají samozřejmě zaměstnavateli nad daným zařízením daleko větší kontrolu. Nebo jinak: jen málokterý uživatel chce, aby měl zaměstnavatel nad jeho soukromým zařízením, které také využívá k práci, stoprocentní kontrolu. Tato kontrola je ale důležitou součástí toho, jak zejména u středních a větších firem zajistit bezpečnost celé IT infrastruktury.

Nezáleží na tom, jak je firma velká, ale s jak citlivými daty nakládá. Většinou nebývá jiná cesta než třeba aktualizace softwaru prostě na zařízeních zaměstnanců vynutit. K tomu je ale potřeba, aby nad nimi mělo IT oddělení plnou kontrolu. U počítačů existuje celá řada řešení pro jejich vzdálenou správu a nastavení pravidel již dlouho a firmy je mnohdy znají, na poli smartphonů ale zatím taková řešení úplnou samozřejmostí nejsou.

Základní pravidla:

• Práce na homeoffice tu s námi nejspíš zůstane. Zkontrolujte, že máte správně nastavenou ochranu dat, peněz i know how, když lidé pracují vzdáleně.
• Je důležité chránit IT prostředí, do kterého se zaměstnanci vzdáleně připojují i samotná zařízení.
• Vedle toho je potřeba, aby zaměstnanci útok rozpoznali a dovedli na něj včas reagovat – investovat do vzdělání jako prevence se vyplatí.
• Pomůže také budování dobrých návyků – silná hesla i dvoufaktorové ověřování jsou základ.

Zdroj: O2 blog, www.kybez.cz, AN