Efterhånden som begrænsningerne for lukning af virksomheder i hele Storbritannien bliver mindre og mindre, begynder virksomhederne at overveje at vende tilbage til arbejdet - i det mindste på deltid. Men dette vil skabe en helt ny situation for mange virksomheder: Et hybridarbejdsmiljø, der eksisterer mellem arbejde og hjem, hvilket medfører betydelige cybersikkerhedsrisici.
Da COVID-19 lockdown først ramte Storbritannien i marts, var virksomhederne nødt til hurtigt at tilpasse sig i stor skala. Men de cyberkriminelle tilpassede sig også til dette nye miljø og sendte målrettede phishing-e-mails og sms-svindel i massevis.
I april oplyste Google, at der i løbet af en uge blev set mere end 18 millioner daglige malware- og phishing-e-mails med relation til COVID-19. I maj var over 800.000 pund blevet tabt på grund af svindel med coronavirus ifølge rapporter til National Fraud Intelligence Bureau.
Phishing er ofte en vej til at distribuere ransomware - en form for malware, der krypterer virksomhedsdata, indtil der betales en løsesum. I april sagde Interpols Cybercrime Threat Response, at den havde opdaget en "betydelig stigning" i antallet af forsøg på ransomware-angreb mod vigtige organisationer rundt om i verden.
Og for nylig har det påståede ransomware-angreb, der ramte teknologivirksomheden Garmin, vist, hvor let et cyberangreb kan stoppe forretningsaktiviteterne og påvirke kundernes opfattelse og i sidste ende en virksomheds omdømme.
Under COVID-19 kan den skade på omdømme, som et brud forårsager, være endnu værre. Tænk på det kriseramte flyselskab EasyJet, som i maj indrømmede, at det var blevet hacket ved et "meget sofistikeret cyberangreb" tidligere på året.
Så hvordan undgår sikkerhedsledere de risici, der i sidste ende kan skade deres virksomhed, når arbejdsstyrken befinder sig mellem arbejde og hjem?
Anerkendelse af risici
Det er først og fremmest vigtigt at erkende de udfordringer, der allerede er opstået i forbindelse med arbejde fra hjemmet. Da hele befolkningen har været under pres i de sidste par måneder på grund af COVID-19-pandemien, har virksomhederne ikke ønsket at belaste medarbejderne yderligere.
Det betyder, at uddannelse i cybersikkerhed i mange tilfælde er blevet glemt - et stort problem i betragtning af de phishing-angreb, der er alt for almindelige under COVID-19.
I mellemtiden har mange virksomheder undladt at revidere deres politikker i overensstemmelse med dette pludseligt ændrede arbejdsmiljø, hvilket øger risikoen yderligere.
Uden de strømlinede kommunikationssystemer, som de er vant til, kan medarbejderne falde for phishing-forsøg og i nogle tilfælde ubevidst give værdifulde forretningsoplysninger væk - eller endda bane vejen for ransomware-angreb.
Tre scenarier for cybersikkerhed
Det hybride COVID-19-arbejdsmiljø giver udfordringer, der spænder over tre scenarier: Bring Your Own Device (BYOD), arbejde hjemmefra og arbejde fra kontoret.
BYOD-trenden har været i gang i årevis, og virksomheder er ved at lære at håndtere den via politikker og værktøjer som f.eks. styring af mobile enheder. Men cybersikkerhed under pandemien åbner endnu flere muligheder for risiko.
Medarbejderne tager bærbare computere med hjem fra arbejdet, eller de bruger måske deres egen hardware til at oprette forbindelse til virksomhedsnetværket. De bruger måske, måske ikke, et virtuelt privat netværk (VPN).
Samtidig vil virksomhederne tilskynde til brug af samarbejdssoftware for at holde kontakten, når medarbejderne befinder sig mellem hjemmet og kontoret. Det kan betyde, at medarbejderne downloader apps som Microsoft Teams på deres telefoner eller bruger ikke-godkendte apps for at gøre sig selv mere effektive - alt sammen uden IT's viden.
Dertil kommer andre risici ved at arbejde hjemmefra og sociologiske og administrative ændringer, der skal tages i betragtning. Der vil ofte være mere end én person, der arbejder hjemmefra. Folk vil naturligvis vise værdifulde forretningsdata på deres skærme, så alle, der kommer ind i hjemmet, kan se dem.
Det er alt for almindeligt, at folk går uden at låse deres computer, men hvad nu hvis de ved et uheld viser følsomme forretningsoplysninger, som kan blive afsløret af en anden person, der bor på ejendommen eller besøger den?
Hjemme-routere er en anden udfordring. De er sårbare over for flere typer cyberangreb, som kan bringe virksomhedsdata i fare, f.eks. man-in-the-middle-angreb, hvor modstandere kan snage i netværkstrafikken.
Scenariet med at arbejde fra kontoret gør det endnu mere kompliceret. Har medarbejderen f.eks. en bærbar computer med sig mellem arbejde og hjem, sender han/hun følsomme filer til en anden enhed, som han/hun kan arbejde på hjemmefra?
I dette nye og hybride miljø er de traditionelle sikkerhedskontroller simpelthen ikke egnet til formålet. Den nye "normale" arbejdsform kræver en revideret tilgang, herunder cybersikkerhedskontrol og -værktøjer, politikker og uddannelse.
WFH er et digitalt transformationsprojekt, ikke et it-projekt
Det er allerede klart, at cybersikkerhed i COVID-æraen kræver en mentalitetsændring. For 20 år siden ville dette nye arbejdsmiljø slet ikke have været muligt, fordi teknologien ikke var på plads, og medarbejderne var fast forbundet til interne systemer. Nu kan møderne foregå via videokonference, mens cloud og apps gør det nemmere end nogensinde før at downloade filer, samarbejde og kommunikere.
Men da disse innovationer også medfører nye cybersikkerhedsrisici, er det fornuftigt at betragte hjemmearbejde som et digitalt transformationsprojekt snarere end et it-projekt.
Virksomhederne skal først se på deres politikker og give deres medarbejdere klar besked om, hvad de skal gøre og ikke gøre. Som en del af dette er det en god idé at gennemspille situationer: For eksempel: "Denne printer er en Wi-Fi-forbundet enhed, her er de risici, den udgør", samtidig med at der opfordres til grundlæggende bedste praksis, f.eks. patching.
Det britiske National Cyber Security Centre (NCSC) giver nogle gode råd til medarbejdere, der arbejder hjemmefra. I en BYOD-situation anbefaler NCSC f.eks. virksomheder at være opmærksomme på risikoen for, at enheder kan blive tabt eller stjålet. For at mindske truslen bør man ifølge NCSC sikre, at enhederne krypterer data, mens de er i hvile, og kontrollere, at krypteringen er aktiveret og konfigureret.
I mellemtiden bør medarbejderne bruge en VPN hjemme, og den bør være fuldt patchet. Virksomheder kan have brug for at tilføje flere licenser, kapacitet eller båndbredde, hvis virksomheden har udvidet antallet af fjernbrugere kraftigt.
Det er også vigtigt at skitsere, hvordan uddannelse kan hjælpe med at forhindre, at medarbejdere f.eks. falder for phishing-angreb. Medarbejderne bør også vide, hvordan de kan rapportere problemer, herunder phishingforsøg eller mistede enheder, og hvordan de kan holde deres software og hardware hjemme og på arbejdet opdateret.
Enhver sikkerhedsrevision kræver naturligvis, at bestyrelsen er med på den. Sikkerhedsansvarlige kan bruge eksempler som EasyJet og Garmin til at demonstrere, hvorfor et cyberangreb kan være en fare for virksomhedens økonomi og omdømme, især i forbindelse med en pandemi.
Overordnet set kræver det en holistisk tilgang, der involverer alle i virksomheden og omfatter både arbejds- og hjemmemiljøer. Da landskabet ændrer sig hele tiden i takt med, at nye trusler dukker op, skal cybersikkerhed være et konstant projekt og ikke en afkrydsningsøvelse.
Gratis cyberbevidsthedsaktiv for at hjælpe organisationer med at vende tilbage til arbejdet
Cyber Security Awareness for Dummies er en uundværlig ressource til at gennemføre adfærdsændringer og skabe en kultur med cyber-awareness.
I denne guide lærer du:
- hvad cybersikkerhed betyder for din organisation
- Hvordan man gennemfører en awareness-kampagne om cyberrisici.
- Politikkernes afgørende rolle i forbindelse med fastlæggelse af sikre baselines
- Hvordan man opretholder momentum og medarbejdernes engagement
- De 10 bedste måder at øge opmærksomheden omkring cybersikkerhed
