Regjeringen ønsker at flere jobber hjemme. Slik sikrer du hjemmekontoret
Kriminelle utnytter sårbarhetene som følger med Covid-19. Nå er det ekstra viktig å huske på den digitale hygienen, mener sikkerhetsekspert.
Koronaviruset øker i omfang, og etter myndighetenes anbefalinger er det stadig flere som benytter seg av hjemmekontor.
Uheldigvis er det organisasjoner som mangler erfaring med å støtte at så mange ansatte jobber hjemme på en gang. I tillegg kan de ansatte være ute av trening når det gjelder å benytte beste praksis på hjemmekontoret.
Digital hygiene
– Alt begynner med en risikovurdering.
Det sier Nils-Ove Gamlem, teknologisjef i sikkerhetsløsningsselskapet Check Point Software. Akkurat nå jobber han hjemmefra, som så mange andre. Ettersom stadig flere nordmenn benytter seg av hjemmekontor i disse dager, mener Gamlem at det er viktig å ta noen forhåndsregler.
Å jobbe hjemme er et godt tiltak mot spredning av virus, men Gamlem forteller at dette også kan gjøre oss mer utsatt for nettbaserte angrep og skadevare.
I tillegg har forskningsteamet i Check Point avdekket at domener relatert til Koronavirus har 50 prosent større sannsynlighet for å være skadelige, og at man derfor bør være ekstra nøye med alt uventet som dukker opp i postboksen i disse dager.
– Den digitale hygienen er nesten like viktig som håndhygienen, sier Gamlem, som er redd for at de som jobber i sikkerhetsbransjen kan oppfattes som paranoide:
– Det virker kanskje som at vi ser trusler på høylys dag, men fakta er at dette ikke blir tatt alvorlig nok. Vi ser ofte hendelser som enkelt kunne vært unngått dersom det hadde blitt gjort en risikovurdering på forhånd.
Viktigheten av forholdsregler
Gamlem ramser opp forholdsvis enkle ting; for eksempel å være obs på at noen kan titte deg over skulderen om du jobber offentlig på en kafé, eller at det kan være uheldig å bruke barnas spill pc når man jobber hjemme. Det lønner seg å tenke gjennom hvilke data du har tilgjengelig til hvilken tid.
– Er vi generelt for dårlige når det kommer til å ta slike forholdsregler?
– Svaret er JA!, med caps lock og utropstegn, svarer Gamlem kontant.
Ifølge Gamlem er tiden inne for å gjennomgå og fremheve sikkerheten rundt det å ha tilgang til bedriftsdata på begge sider av linjen.
Tilsynelatende er det enkelt å jobbe hjemmefra – de aller fleste har tilgang til internett, og lagring og programvare i skyen gjør overgangen fra å jobbe på kontoret til stua sømløs.
Passord og phishing
Selskapet har laget en liste med tips for beste praksis; en for de ansatte og en for arbeidsgiver.
Dette er rådene for ansatte i hjemmekontor:
- Passord er viktig
Check Point mener det er en god idé å gjennomgå og styrke passordene du bruker for innlogging hjemmefra på epost og jobbapplikasjoner.
- Vær oppmerksom på phising
Ikke klikk på lenker som på en eller annen måte ser mistenksomme ut. Last bare ned innhold fra verifiserbare kilder.
Husk at phising er en form for sosial tilnærming, slik at hvis du mottar en epost med en uvant anmodning, kontroller avsenders opplysninger nøye slik at du er sikker på at du kommuniserer med kolleger og ikke kriminelle.
- Vær nøye med valg av enhet
Mange ansatte benytter en jobb-pc til personlig bruk som kan skape en sikkerhetsrisiko. Risikoen er ennå større hvis du bruker en personlig datamaskin til jobbformål.
Hvis du MÅ bruke din personlige datamaskin til jobb, snakk med it-teamet på jobben om hvordan it-sikkerheten kan styrkes – for eksempel ved å installere en kraftig anti-virus og sikkerhetspakke.
- Vær obs på hvem som kan lytte på linjen
Har hjemme-nettverket et sterkt passord, eller er det åpent? Vær sikker på at det er beskyttet mot alle i nærheten så de ikke kan logge seg på. Det samme gjelder dersom du jobber fra en kafé eller hotell – vær varsom når du kobler deg opp mot trådløse offentlige nettverk.
Tips til arbeidsgiver
Disse retningslinjene skal være et utgangspunkt for organisasjoner om deres data er lagret i datasenter, offentlige tilgjengelige skytjenester eller i SaaS applikasjoner.
- Ikke stol på noen
Hele din hjemmekontorplan må bli bygget på null-tillit hvor alt må verifiseres og ingenting basert på antakelser. Vær sikker på at du forstår hvem som har aksess til hvilken informasjon – segmenter brukerne dine og vær sikker på at de autentiseres med fler-faktor autentisering. I tillegg, nå er tiden inne til å repetere for dine ansatte slik at de forstår hvorfor og hvordan man skal aksessere informasjon sikkert hjemmefra.
- Hvert endepunkt må få oppmerksomhet
I et typisk scenario har du ansatte som jobber ved stasjonære PCer på kontoret. Vi antar at disse enhetene ikke skal tas med dem hjem, du har nå en mengde ukjente enheter som har behov for aksess til dine bedriftsdata. Du må tenke fremover hvordan du håndterer truslene fra datalekkasjer, angrep som forplanter fra enheter i nettverket, og du er nødt til å være sikker på at sikkerhetsstatusen til disse enhetene er tilstrekkelig.
- Stress-test infrastrukturen din
For å bygge inn sikre verktøy for fjernaksess i din arbeidsflyt, er det viktig å ha VPN eller en SDP. Denne infrastrukturen må være robust, og bør stresstestes for å forsikre at den kan håndtere et stort trafikkvolum, når dine ansatte flytter til hjemmekontor.
- Definer dataene dine
Ta deg tid til å identifisere, spesifisere og merk dine sensitive data, for å forberede policyer som vil at bare de rette personene skal ha tilgang til de. Ikke gjør noen antakelser om tidligere datastyring og ta en granulær fremgangsmåte som vil fungere når fjernaksess er i full drift. Ingen ønsker ved en feiltakelse å gi hele organisasjonen tilgang til HR.
- Segmenter arbeidsstyrken
Foreta en revisjon av dine nåværende policyer knyttet til aksess og deling av visse typer data. Revurder både virksomhetspolicy og din segmentering av teamene innen din organisasjon, slik at du kan slå deg til ro med at du har forskjellige aksessnivåer som samsvarer med de forskjellige nivåene av data sensitivitet.