I de senere år har udbredelsen af fjernarbejde forandret det traditionelle kontorlandskab og givet en hidtil uset fleksibilitet og bekvemmelighed. Men dette skift til fjernarbejde kommer med sit eget sæt af udfordringer, især inden for cybersikkerhed. Når organisationer tilpasser sig den virtuelle arbejdsplads, skal de være opmærksomme på at identificere og håndtere de forskellige cybersikkerhedsrisici, der kan kompromittere følsomme oplysninger og underminere integriteten af deres aktiviteter.
Her undersøger MetaCompliance nogle af de problemer, som hjemmearbejde medfører for cybersikkerheden, og hvad man kan gøre for at lukke døren for sikkerhedsudfordringer ved fjernarbejde.
Problemet med fjernarbejde og sikkerhed
- En rundspørge blandt 1.000 britiske virksomheder foretaget af British Chambers of Commerce (BCC ) og Cisco viste, at mere end halvdelen af virksomhederne føler sig udsat for cybersikkerhedsrisici ved at arbejde hjemme.
- Ifølge en rapport mener 20 % af organisationerne, at et brud på datasikkerheden er sket på grund af en fjernarbejder.
- Rapporten Verizon Mobile Security Index viste, at 79 % af de adspurgte er bekymrede for, at ændringer i arbejdsmetoderne kan skade organisationens cybersikkerhedssituation. Rapporten fremhæver også spørgsmålet om sikkerhed for mobile enheder og fjernarbejde, idet 52 % af respondenterne indrømmer, at de har ofret sikkerheden for mobile enheder (og IoT-enheder) for at "få arbejdet gjort".
- Cybersikkerhedspolitikker bliver også påvirket for at give fjernarbejdere mulighed for at udføre deres arbejde uhindret. En undersøgelse viste, at 26 % af de adspurgte britiske virksomheder havde lempet deres cybersikkerhedspolitik for at gøre det lettere for medarbejderne at arbejde eksternt.
Hvor er sikkerhedsrisikoen, når man arbejder hjemmefra?
Medarbejdere, der arbejder hjemmefra eller på afstand, bringer nye risici i spil, og det er typisk ikke ukendte risici. Områder, hvor cyberrisici sniger sig ind, omfatter bl.a:
Personlige enheder
Enundersøgelsefra den britiske regering DCMS "Cyber Security Breaches Survey 2022" viser, at 45 % af virksomhederne tillader ansatte at bruge personlige enheder som f.eks. bærbare computere til at udføre arbejdsrelaterede opgaver. Problemet med dette opstår, når der ikke er noget tilsyn eller kontrol med enheden.
Hvis en enhed f.eks. bruges til at sende og modtage forretningsmails, er du så sikker på, at de modtagne e-mails ikke er phishing-angreb eller svindel?
Hvis dit it-team på samme måde ikke er i stand til at sikre, at mobile enheder er opdateret og patchet. I så fald kan sikkerhedsrisici snige sig ind, data kan lækkes, og malware kan trænge ind på virksomhedens netværk.
Usikrede enheder og netværk i hjemmet
Usikre hjemmenetværk kan blive en adgangsvej for cyberkriminelle og føre til eksponering af følsomme data. Cyberkriminelle scanner internettet for usikre netværk, og alle sikkerhedshuller vil blive udnyttet, herunder standardadgangskoder på IoT-enheder og Wi-Fi eller routere, der ikke er patchet.
På samme måde bør man ikke glemme Wi-Fi-printere. En usikker forbindelse til en Wi-Fi-printer åbner også døren for en cyberkriminel. Igen kan sårbarheder i printeren føre til et udsat hjemmenetværk. En Quocirca Print Security Landscape 2022-undersøgelse viste, at 68 % af virksomhederne har lidt datatab på grund af printrelaterede usikkerheder.
Brug af internettet og adfærd, der ikke overholder reglerne
Ordsproget "ude af øje, ude af sind" opsummerer, hvordan ændringer i adfærd og internetbrug, når en medarbejder er hjemme, fører til usikkerhed. En Avanti-rapport viste, at 66 % af de it-professionelle rapporterede om øgede sikkerhedsproblemer som følge af online fjernarbejde. Sikkerhedsproblemerne omfattede ondsindede e-mails, medarbejderadfærd, der ikke overholder reglerne, og softwaresårbarheder.
En anden undersøgelse af sikkerhedsadfærd hos fjernarbejdstagere viste, at risikabel adfærd var mere udbredt i hjemmearbejdsmiljøer, f.eks. at lade en computer stå ulåst, når den er uovervåget. Undersøgelsen blev gennemført under Covid-19-pandemien og konkluderede, at der er behov for "trivsels- og uddannelsesforanstaltninger for at hjælpe dem, der er i risiko for PIU (problematisk internetbrug), med at blive mere bevidste om, hvordan de kan opdage de typer cyberkriminalitet, der er forbundet med COVID-19".
Delte rum
Risikabel adfærd, som f.eks. at lade følsomme e-mails og dokumenter være åbne på en computer uden opsyn, kan skabe sikkerhedsrisici i fælles hjem. Fælles rum kan blive til fælles enheder, og hvis disse enheder er logget ind på en virksomhedsapp eller et virksomhedsnetværk, kan det gøre en organisation sårbar over for manglende overholdelse af lovgivningen eller sårbar over for cyberangreb. Sikkerhedsproblemer i forbindelse med fjernarbejde bør også omfatte co-working spaces - en undersøgelse viste, at 23 % af de ansatte i coworking spaces havde sikkerhedsproblemer.
Hvilke sikkerhedsforanstaltninger kan hjælpe med at sikre hjemmearbejderne og fjernarbejderne?
Der er flere ting, som en organisation kan gøre for at forbedre sikkerheden for sine medarbejdere i forbindelse med hjemmearbejde:
Tilvejebringe en VPN
Et virtuelt privat netværk eller VPN er et værdifuldt værktøj, der giver en sikker forbindelse mellem en bruger og et netværk/internet. F.eks. kan en medarbejder med en korrekt konfigureret VPN sende og modtage e-mails og andre data sikkert. En VPN beskytter enhver datatrafik, selv om hjemmenetværket er usikkert. Du kan få mere at vide om fordelene ved at bruge en VPN i vores blogindlæg "3 grunde til, at du har brug for en sikker VPN".
Uddannelse i sikkerhedsbevidsthed, der dækker hjemmearbejdere
I oktober 2022 konkluderer en POST-meddelelse fra det britiske parlament om "The impact of remote and hybrid working on workers and organizations" (virkningen af fjernarbejde og hybridarbejde på arbejdstagere og organisationer):
"Undersøgelser viser, at cybersikkerhedsudfordringer kan opstå som følge af utilstrækkelig uddannelse og lavere grad af medarbejdernes overholdelse af informationssikkerhedspolitikken på grund af manglende organisatorisk støtte."
Hjemmearbejdsmiljøet har unikke udfordringer, og det skal afspejles i uddannelsen i sikkerhedsbevidsthed. Sørg derfor for, at dit program for uddannelse i sikkerhedsbevidsthed fokuserer på hjemmearbejde og sikkerhedsbehov. Typiske områder, som uddannelse i sikkerhedsbevidsthed bør uddanne hjemmearbejderne om, omfatter bl.a:
- Vær opmærksom på at lade følsomme oplysninger være åbne på skærmen.
- Du må ikke forblive logget ind i apps, når du er væk fra et arbejdsområde.
- Politikker for passwordhygiejne og ren skrivebord.
- Hold arbejds- og personlige enheder adskilt, hvor det er muligt.
- Vigtigheden af at bruge en VPN.
- Deres rolle i beskyttelsen af data.
- Hold enheder og software opdateret.
- Overholdelse af sikkerhedspolitikker, også i hjemmet.
Anvend robuste adgangskontrolpolitikker
Adgang til virksomhedens apps og netværk for hjemme- og fjernarbejde skal styres ved hjælp af principper som f.eks. adgang med de mindste rettigheder. Robust adgangskontrol skal dog også blive en del af det generelle hjemmekontor.
Enhedsadgangen skal f.eks. beskyttes ved hjælp af en biometrisk eller stærk pinkode. På samme måde skal adgangen til en arbejdscomputer i hjemmet have en solid adgangskontrol med biometrisk kontrol eller stærk adgangskodekontrol. App-adgang bør håndhæves ved hjælp af to-faktor-autentifikation (2FA).
Sikker Wi-Fi
Selv med en VPN bør Wi-Fi gøres sikkert som en bedste praksis. For at sikre et Wi-Fi-netværk skal du oprette en undervisningspakke om sikker Wi-Fi for at sikre, at medarbejderne har de nødvendige oplysninger til at:
- Ændr standard-Wi-Fiadgangskoden, og opdater den regelmæssigt.
- Anonymiser Wi-Fi-netværksnavnet, og navngiv ikke netværket ved hjælp af personlige eller identificerende oplysninger
- Aktiver netværkskryptering på Wi-Fi-routere, f.eks. WPA og WPA2.
- Hold routere patchet og opdateret.
Efterhånden som flere af os vælger at arbejde på afstand eller hjemme, er det vigtigt at lukke døren for cyberkriminelle, der udnytter usikre metoder. Når du udarbejder sikkerhedspolitikker, skal du huske at fokusere på de unikke udfordringer, der er forbundet med hjemmearbejde og sikkerhed. Det er også vigtigt at give medarbejderne mulighed for at få undervisning i at beskytte deres arbejdsmiljø hjemme eller på kontoret.