Lukitusrajoitusten hellittäessä kaikkialla Yhdistyneessä kuningaskunnassa yritykset alkavat harkita paluuta töihin - ainakin osa-aikaisesti. Tämä luo kuitenkin monille yrityksille täysin uuden tilanteen: Hybridi työympäristö, joka on työn ja kodin välillä, mikä lisää merkittäviä kyberturvallisuusriskejä.
Kun COVID-19-lukitus iski ensimmäisen kerran Yhdistyneeseen kuningaskuntaan maaliskuussa, yritysten oli sopeuduttava nopeasti ja laajamittaisesti. Mutta myös verkkorikolliset sopeutuivat uuteen ympäristöön lähettämällä kohdennettuja phishing-sähköposteja ja tekstiviestihuijauksia.
Huhtikuussa Google kertoi nähneensä yli 18 miljoonaa COVID-19:ään liittyvää haittaohjelma- ja phishing-sähköpostia päivittäin vain yhden viikon aikana. Toukokuuhun mennessä yli 800 000 puntaa oli menetetty koronavirushuijausten vuoksi National Fraud Intelligence Bureaulle tehtyjen raporttien mukaan.
Phishing on usein reitti lunnasohjelmien levittämiseen - haittaohjelmien muoto, joka salaa yritystietoja, kunnes lunnaat maksetaan. Huhtikuussa Interpolin Cybercrime Threat Response -yksikkö ilmoitti, että se oli havainnut "merkittävää kasvua " lunnasohjelmahyökkäysyritysten määrässä keskeisiä organisaatioita vastaan ympäri maailmaa.
Hiljattain teknologiayritys Garminia kohdannut väitetty lunnasohjelmahyökkäys on osoittanut, miten helposti verkkohyökkäys voi pysäyttää liiketoiminnan, vaikuttaa asiakkaiden käsityksiin ja lopulta yrityksen maineeseen.
COVID-19:n aikana tietoturvaloukkauksen aiheuttama mainehaitta voi olla vielä pahempi. Ajattele vaikka ahdingossa olevaa lentoyhtiötä EasyJetiä, joka myönsi toukokuussa , että siihen oli murtauduttu "erittäin hienostuneessa verkkohyökkäyksessä" aiemmin tänä vuonna.
Miten turvallisuusjohtajat voivat siis välttää riskit, jotka voivat lopulta vahingoittaa heidän yritystään, kun työntekijät työskentelevät työn ja kodin välillä?
Riskien tunnistaminen
Ensinnäkin on tärkeää tunnistaa haasteet, joita kotoa käsin tehtävässä työssä on jo ilmennyt. Kun koko väestö on ollut viime kuukausien aikana COVID-19-pandemian aiheuttaman paineen alla, yritykset eivät ole halunneet rasittaa työntekijöitä entisestään.
Tämä tarkoittaa sitä, että monissa tapauksissa verkkoturvallisuuskoulutus on jäänyt taka-alalle - mikä on suuri ongelma, kun otetaan huomioon COVID-19-tapahtuman aikana aivan liian yleiset phishing-hyökkäykset.
Samaan aikaan monet yritykset eivät ole tarkistaneet toimintatapojaan tämän äkillisesti muuttuneen työympäristön mukaisesti, mikä lisää riskejä.
Ilman tuttuja virtaviivaistettuja viestintäjärjestelmiä työntekijät voivat sortua tietojenkalasteluhyökkäyksiin ja joissakin tapauksissa luovuttaa tietämättään arvokkaita yritystietoja - tai jopa tasoittaa tietä lunnasohjelmahyökkäyksille.
Kolme kyberturvallisuuden skenaariota
COVID-19:n hybridi-työympäristö tuo mukanaan haasteita, jotka kattavat kolme skenaariota: Bring Your Own Device (BYOD), työskentely kotoa käsin ja työskentely toimistosta käsin.
BYOD-trendi on jatkunut jo vuosia, ja yritykset ovat oppineet käsittelemään sitä käytäntöjen ja työkalujen, kuten mobiililaitteiden hallinnan, avulla. Pandemian aikainen kyberturvallisuus avaa kuitenkin entistäkin enemmän riskejä.
Työntekijät ottavat työkannettavat tietokoneet mukaansa kotiin, tai he saattavat käyttää omia laitteitaan liittyäkseen yrityksen verkkoon. He saattavat käyttää tai olla käyttämättä virtuaalista yksityisverkkoa (VPN).
Samaan aikaan yritykset kannustavat yhteistyöohjelmistojen käyttöön, jotta työntekijät voivat pitää yhteyttä kotinsa ja toimistonsa välillä. Tämä voi tarkoittaa sitä, että työntekijät lataavat puhelimiinsa Microsoft Teamsin kaltaisia sovelluksia tai käyttävät hyväksymättömiä sovelluksia tehostaakseen työtään - kaikki tämä ilman IT:n tietoa.
Lisäksi on otettava huomioon muut kotoa käsin työskentelyyn liittyvät riskit sekä sosiologiset ja hallinnolliset muutokset. Usein kotona työskentelee useampi kuin yksi henkilö. Ihmiset näyttävät luonnollisesti arvokkaita liiketoimintatietoja näytöillään kaikkien kotitalouteen tulevien nähtäväksi.
On aivan liian tavallista, että ihmiset kävelevät pois lukitsematta tietokonettaan, mutta entä jos tämä olisi vahingossa näyttänyt arkaluonteisia liiketoimintatietoja, jotka joku muu kiinteistössä asuva tai siellä vieraileva henkilö voisi paljastaa?
Kotireitittimet ovat toinen haaste. Ne ovat alttiita monenlaisille verkkohyökkäyksille, jotka voivat vaarantaa yritystietoja, kuten man-in-the-middle-hyökkäyksille, joiden avulla hyökkääjät pystyvät nuuskimaan verkkoliikennettä.
Toimistosta käsin työskentely lisää monimutkaisuutta. Onko työntekijällä esimerkiksi yksi kannettava tietokone mukanaan työn ja kodin välillä, ja lähettääkö hän arkaluonteisia tiedostoja toiselle laitteelle työskennelläkseen kotona?
Tässä uudessa ja hybridiympäristössä perinteiset tietoturvakontrollit eivät yksinkertaisesti sovellu tarkoitukseen. Uusi "normaali" työtapa edellyttää uudistettua lähestymistapaa, joka kattaa myös kyberturvallisuuden valvonnan ja työkalut, käytännöt ja koulutuksen.
WFH on digitaalisen transformaation projekti, ei IT-projekti
Jo nyt on selvää, että COVID-aikakauden kyberturvallisuus edellyttää ajattelutavan muutosta. 20 vuotta sitten tämä uusi työympäristö ei olisi ollut edes mahdollinen, koska teknologiaa ei ollut olemassa ja työntekijät olivat tiukasti kytketty sisäisiin järjestelmiin. Nyt kokoukset voidaan järjestää videokonferenssien välityksellä, ja pilvipalveluiden ja sovellusten avulla tiedostojen lataaminen, yhteistyö ja viestintä on helpompaa kuin koskaan.
Koska nämä innovaatiot lisäävät kuitenkin myös kyberturvallisuusriskejä, olisi järkevää tarkastella kotona työskentelyä pikemminkin digitaalisena muutosprojektina kuin tietotekniikkahankkeena.
Yritysten on ensin tarkasteltava toimintatapojaan ja annettava työntekijöille selkeää koulutusta siitä, mitä saa tehdä ja mitä ei saa tehdä. Osana tätä on hyvä leikkiä tilanteita: Esimerkiksi: "Tämä tulostin on Wi-Fi-yhteydellä varustettu laite, tässä ovat sen aiheuttamat riskit", ja samalla kannustetaan parhaiden peruskäytäntöjen noudattamiseen, kuten korjaamiseen.
Yhdistyneen kuningaskunnan kansallinen kyberturvallisuuskeskus (NCSC) antaa vankkoja neuvoja kotona työskenteleville työntekijöille. Esimerkiksi BYOD-tilanteessa NCSC neuvoo yrityksiä olemaan tietoisia laitteiden katoamisen tai varastamisen riskistä. Uhkan vähentämiseksi on varmistettava, että laitteet salaavat tiedot levossa ollessaan, ja tarkistettava, että salaus on käytössä ja määritetty.
Henkilökunnan pitäisi käyttää VPN:ää kotona, ja sen pitäisi olla täysin korjattu. Yritykset saattavat joutua lisäämään lisenssejä, kapasiteettia tai kaistanleveyttä, jos yrityksen etäkäyttäjien määrä on kasvanut huomattavasti.
On myös tärkeää hahmotella, miten koulutuksella voidaan estää esimerkiksi työntekijöitä lankeamasta phishing-hyökkäyksiin. Henkilöstön olisi myös tiedettävä, miten he voivat ilmoittaa ongelmista, kuten tietojenkalastelusta tai kadonneista laitteista, ja miten he voivat pitää koti- ja työohjelmistonsa ja -laitteistonsa ajan tasalla.
Tietenkin kaikki turvallisuusuudistukset edellyttävät hallituksen hyväksyntää. Tietoturvajohtajat voivat käyttää EasyJetin ja Garminin kaltaisia esimerkkejä osoittaakseen, miksi verkkohyökkäys voi olla vaaraksi yritykselle taloudellisesti ja maineen kannalta, erityisesti pandemian aikana.
Kaiken kaikkiaan se edellyttää kokonaisvaltaista lähestymistapaa, johon kaikki yrityksen työntekijät osallistuvat ja joka kattaa sekä työ- että kotiympäristön. Koska tilanne muuttuu koko ajan uusien uhkien ilmaantuessa, kyberturvallisuuden on oltava jatkuva hanke, ei pelkkä valintaruutuharjoitus.
Ilmainen kybertietoisuus auttaa organisaatioita palaamaan töihin.
Cyber Security Awareness for Dummies on korvaamaton apuväline käyttäytymismuutoksen toteuttamisessa ja tietoverkkotietoisuuden kulttuurin luomisessa.
Tässä oppaassa opit:
- Mitä kyberturvallisuustietoisuus tarkoittaa organisaatiollesi
- Miten toteutetaan tietoverkkoriskien tiedostamiskampanja
- Politiikkojen ratkaiseva rooli turvallisten perusarvojen luomisessa
- Miten ylläpitää vauhtia ja henkilöstön sitoutumista
- 10 Tietoverkkoturvallisuustietoisuuden parhaat käytännöt
