Z badań rynku wynika, że od początku pandemii pracownicy zdalni spowodowali incydenty związane z cyberbezpieczeństwem w co piątej organizacji. Receptą na takie sytuacje są regulaminy, szkolenia i przede wszystkim duża świadomość zagrożenia wśród pracowników.
Z badań wynika, że od początku pandemii pracownicy zdalni spowodowali naruszenie zasad cyberbezpieczeństwa w 20 proc. organizacji. Jak wskazało 24 proc. ankietowanych, firmy w związku z tym musiały ponieść nieoczekiwane koszty, aby zająć się przypadkiem lub usunięcia złośliwego oprogramowania.
O tym, że koronawirus atakuje nas intensywnie nie tylko w realu, mówi się od marca. Praca z rozproszonym zespołem jest nie tylko dużym wyzwaniem organizacyjnym. Wymaga stworzenia szeregu regulaminów i wzorców postępowania, by sytuacji, w których narażane jest cyberbezpieczeństwo firm, było jak najmniej.
Jak podkreśla Jarosław Góra, adwokat z kancelarii Ślązak, Zapiór i Wspólnicy, wiosną priorytetowym zadaniem w wielu firmach było stworzenie warunków odpowiadających wyzwaniom świata ery koronawirusa.
- Dla wielu organizacji pandemia spowodowała konieczność zmierzenia się z zupełnie nowymi wyzwaniami, na które wiele nich nie było przygotowanych. O ile np. w branży IT praca zdalna - pomimo braku regulacji prawnych w tym zakresie - była czymś całkowicie normalnym już przed pandemią, to w przypadku wielu firm trzeba było tę formę świadczenia pracy organizować od zera. Z jednej strony pracodawcy stanęli przed wyzwaniem wyposażenia pracowników w odpowiednie narzędzia - komputery, telefony, programy komputerowe, dostęp do internetu - z drugiej pojawiła się konieczność uregulowania pracy zdalnej w wewnętrznych regulaminach/politykach - wyjaśnia Góra.
Jednocześnie podkreśla, że kwestie cyberbezpieczeństwa w wielu przypadkach spadły na dalszy plan.
- Natomiast kwestie związane z bezpieczeństwem i przygotowaniem pracowników do tej sytuacji, niestety zostały pominięte lub odłożone w czasie. Z tego względu rzeczywiście pracownicy w wielu organizacjach nie zostali w odpowiedni sposób przygotowani pod względem świadomości cyberzagrożeń związanych z pracą zdalną i bezpieczeństwem - dodaje.
Przeczytaj: Cyberbezpieczeństwo do poprawki, ale innej niż chce rząd
Zasady samoobrony
- 715 proc. – o tyle wg raportu Bitdefender „Mid-Year Threat Landscape” wzrosła liczba ataków hakerskich z użyciem złośliwego oprogramowania ransomware w pierwszym półroczu 2020, w porównaniu do analogicznego okresu ub. roku. Cyberprzestępcy wykorzystują kryzys związany z koronawirusem, a lockdown i praca zdalna im sprzyjają - zauważa Łukasz Wójcik, Head of Cyber Security w React Risk Advisory.
Po wiosennym lockdownie i przejściu na pracę zdalną (w działach, które zdalnie mogły pracować) wiele firm powróciło do pracy stacjonarnej w mniejszym lub większym zakresie. Aktualnie wiele wskazuje na wprowadzenie "narodowej kwarantanny", a sam rząd apeluje, by w miejscach i na stanowiskach, gdzie jest to możliwe, wprowadzić pracę zdalną. Tym istotniejsze wydaje się być wprowadzenie rozwiązań, które duży nacisk będą kłaść właśnie na kwestie świadomości zagrożeń.
- Moim zdaniem przed rozpoczęciem pracy zdalnej warto zorganizować w firmie szkolenie, które poświęcone będzie tematyce cyberbezpieczeństwa. Kluczowe jest to, aby każdy z pracowników znał podstawowe metody ataku oraz to, w jaki sposób może się przed nimi bronić. Należy przypomnieć na pozór prozaiczne działania, które uchronią nas przed zdecydowaną większością niebezpieczeństw. Warto tu wspomnieć o zasadzie ograniczonego zaufania (w szczególności, gdy dostajemy e-maile, których nie oczekiwaliśmy lub takie, które zawierają niepożądaną treść) - wyjaśnia Marcin Śpiewak, Co-Founder CrustLab.
Jak dodaje, o ile wiedza na temat cyberzagrożeń jest duża w branży IT, tak świadomość zagrożeń w pozostałych branżach jest na zdecydowanie niższym poziomie.
- W moim odczuciu całościowo, jako społeczeństwo, nie wypadamy na tym tle gorzej niż obywatele innych państw Europy. Z roku na rok jest pod tym względem coraz lepiej. Przyczyną jest z pewnością wszechobecna digitalizacja, która występuje praktycznie w każdej branży, a także dostęp do urządzeń komputerowych od najmłodszych lat - dodaje Śpiewak.
Szkolenie i zasady
- To po stronie pracodawcy leży obowiązek zapewnienia pracownikom odpowiednich narzędzi do pracy, jak i takich, które pozwolą na odpowiednie zabezpieczenie danych firmowych. Nie wystarczy zatem wyposażyć pracownika w służbowego laptopa, ale również w odpowiednie oprogramowanie zabezpieczające sprzęt, komunikację, dostęp do danych itd. Należy przy tym zobowiązać pracownika do przestrzegania ustalonych zasad związanych ze świadczeniem pracy zdalnej, tj. wdrożyć odpowiednie polityki, regulaminy i zapoznać z nimi pracowników - wyjaśnia Jarosław Góra.
Zdaniem Łukasza Wójcika, najnowsze rozwiązania w zakresie cyberbezpieczeństwa pozwalają zabezpieczyć zasoby cyfrowe przedsiębiorstwa w sposób optymalny i nie wymagają przy tym inwestycji w budowę sieci teleinformatycznej ani zatrudniania sztabu ekspertów.
- Zarządzane usługi bezpieczeństwa wykorzystują inwestycje w badanie zagrożeń i zaawansowaną analitykę, sztuczną inteligencję i najnowsze rozwiązania korporacyjne, pozwalają odpowiednio zaadaptować usługę do wielkości i rodzaju biznesu. W walce z cyberprzestępcami może skutecznie w ten sposób obronić się średnia czy nawet mała firma, rodzinny interes lub korporacja - wyjaśnia.
Zobacz: Tych specjalistów brakuje. Firmy mogą mieć poważne problemy
Praca z innych niż biuro miejsc nie jest niczym zaskakującym. W zdecydowanej większości firm procedury postępowania ze służbowym komputerem były wdrożone. Pracownicy zgodnie z tymi zasadami nie mogą korzystać z komputera w celach prywatnych, nie powinni dopuszczać do niego osób trzecich, powinni za każdym razem wylogowywać się z systemu.
- Oczywiście praca z domu wiąże się z tym, że do naszego komputera firmowego w teorii mogą mieć dostęp inni domownicy, niekoniecznie do tego uprawnieni, ale czy ta sytuacja różni się wiele od tego, jak pracujemy stacjonarnie? Wbrew pozorom zarówno w pracy zdalnej, jak i tej wykonywanej z naszego biura jesteśmy narażeni na zagrożenia płynące z internetu w bardzo zbliżony sposób. Myślę, że po pierwszej fali koronawirusa i tzw. "wiosennym lockdownie" wielu pracodawców wdrożyło procedury, które mają za zadanie określić warunki pracy zdalnej - zaznacza Marcin Śpiewak.
Podkreśla, że i tak kluczowy jest pracownik, który ze sprzętu korzysta.
- Dlatego zanim zdecydujemy się na przejście w tryb zdalny, musimy być pewni, że nasza firma ma wypracowane procedury, które są jasne, zrozumiałe, ale przede wszystkim wykorzystywane przez pracowników. Na pewno dobrym pomysłem wydaje się zorganizowanie szkolenia, które pozwoliłoby nawet osobom "mniej technicznym" rozwiać wszelkie wątpliwości. Dopiero, gdy jesteśmy pewni, że nasi pracownicy mają wystarczającą wiedzę i umiejętności, aby pracować zdalnie, powinniśmy postawić na narzędzia, które to bezpieczeństwo będą wspomagać - np. program antywirusowy, manager haseł czy odpowiednią infrastrukturę sieciową, sieć prywatną (ang. VPN) - dodaje Śpiewak.
Musimy pamiętać jednak o istotnej kwestii. Eksperci ds. cyberbezpieczeństwa podkreślają, że kluczowe szkolenia pracowników powinny być okresowo powtarzane i przede wszystkim dostosowane do ich cyfrowych kompetencji.
52 proc. respondentów ankiety przeprowadzonej przez firmę Tessian przyznało, że incydenty z ich udziałem, zagrażające cyberbezpieczeństwu firmy, były wynikiem stresu. W takich warunkach wiedza szybko się ulatnia, a pracownicy często zapominają o zachowaniu odpowiednich zasad cyberhigieny.
Praca na prywatnym
Zdecydowana większość firm wyposaża swoich pracowników w służbowe komputery. Znika wówczas zagrożenie słabym zabezpieczeniem takiego sprzętu. Co w momencie, w którym pracownik musi jednak wykorzystywać prywatny komputer? Po pierwsze - prawo.
- W przypadku świadczenia pracy przez pracowników na własnym sprzęcie (BYOD), co oczywiście powinno nastąpić na skutek porozumienia z pracodawcą, również po stronie pracodawcy leży obowiązek zapewnienia bezpieczeństwa, np. poprzez zapewnienie pracownikom odpowiedniego oprogramowania do pracy (odpowiednie licencje, bowiem niekoniecznie te prywatne posiadane przez pracowników będą się nadawały do komercyjnego użytku), pozwalając np. na tworzenie bezpiecznych kontenerów danych na prywatnym sprzęcie pracownika, szyfrowaną komunikację itd. - wyjaśnia Jarosław Góra.
Dużą rolę odgrywają tu także charakter danych, jakie pracownik przetwarza. Jeśli pracę zdalną wykonywać mają osoby pracujące na newralgicznych danych, to oni jako pierwsi powinni zostać wyposażeni w służbowe komputery.
- Wszystko zależy od tego, jak bardzo wrażliwe informacje przetwarza dany pracownik. Zdaję sobie sprawę, że w zdecydowanej większości sytuacji praca z użyciem prywatnego sprzętu jest niedopuszczalna, ale jestem w stanie wyobrazić sobie przypadki, w których jest ona akceptowalna i nie powinna przynieść większych szkód firmie. Jeżeli dana firma/organizacja posiada ograniczoną ilość zasobów sprzętowych, to kluczowe jest to, aby trafiły one w pierwszej kolejności do tych pracowników, którzy przetwarzają najbardziej wrażliwe dane z punktu widzenia przedsiębiorstwa - wyjaśnia Marcin Śpiewak.
KOMENTARZE (0)