När restriktionerna för låsningar fortsätter att minska i Storbritannien börjar företagen överväga att återgå till arbetet - åtminstone på deltid. Men detta kommer att skapa en helt ny situation för många företag: En hybridarbetsmiljö som existerar mellan arbete och hem, vilket medför betydande cybersäkerhetsrisker.
När COVID-19-låsningen först drabbade Storbritannien i mars var företagen tvungna att snabbt anpassa sig i stor skala. Men även cyberbrottslingar anpassade sig till den nya miljön och skickade ut riktade nätfiskemejl och sms-bedrägerier i stor skala.
I april sa Google att man såg mer än 18 miljoner dagliga malware- och phishingmejl med anknytning till COVID-19 under bara en vecka. I maj hade över 800 000 pund gått förlorade på grund av bedrägerier med coronavirus, enligt rapporter till National Fraud Intelligence Bureau.
Fiske är ofta en väg för att sprida utpressningstrojaner - en form av skadlig kod som krypterar företagsdata tills en lösensumma betalas. I april meddelade Interpols Cybercrime Threat Response att man hade upptäckt en "betydande ökning" av antalet försök till attacker med utpressningstrojaner mot viktiga organisationer runt om i världen.
Nyligen visade den påstådda attacken med utpressningstrojaner som drabbade teknikföretaget Garmin hur lätt en cyberattack kan stoppa affärsverksamheten, påverka kundernas uppfattning och i slutändan ett företags rykte.
Under COVID-19 kan ryktesskadan som orsakas av ett intrång vara ännu värre. Tänk på det belägrade flygbolaget EasyJet, som i maj erkände att det hade hackats i en "mycket sofistikerad cyberattack" tidigare i år.
Så hur kan säkerhetsansvariga undvika de risker som i slutändan kan skada företaget när arbetskraften befinner sig mellan arbete och hem?
Att känna igen riskerna
Det är först och främst viktigt att erkänna de utmaningar som redan har uppstått när det gäller arbete hemifrån. Eftersom hela befolkningen har varit pressad under de senaste månaderna på grund av COVID-19-pandemin har företagen inte velat belasta de anställda ytterligare.
Detta innebär att utbildningen i cybersäkerhet i många fall har fallit i glömska - ett stort problem med tanke på de nätfiskeattacker som är alltför vanliga under COVID-19.
Samtidigt har många företag misslyckats med att se över sin politik i linje med denna plötsligt förändrade arbetsmiljö, vilket ökar risken ytterligare.
Utan de strömlinjeformade kommunikationssystem som de är vana vid kan de anställda falla för nätfiskeförsök och i vissa fall omedvetet lämna ut värdefulla företagsuppgifter - eller till och med bana väg för attacker med utpressningstrojaner.
Tre scenarier för cybersäkerhet
Den hybrida arbetsmiljön COVID-19 innebär utmaningar som sträcker sig över tre scenarier: Bring Your Own Device (BYOD), arbete hemifrån och arbete från kontoret.
BYOD-trenden har funnits i flera år och företag lär sig att hantera den med hjälp av policyer och verktyg som hantering av mobila enheter. Men cybersäkerhet under en pandemi öppnar ännu fler riskvägar.
Anställda tar med sig bärbara datorer hem eller använder sin egen maskinvara för att ansluta till företagsnätverket. De kanske använder ett virtuellt privat nätverk (VPN) eller inte.
Samtidigt kommer företagen att uppmuntra användningen av samarbetsprogram för att hålla kontakten när de anställda pendlar mellan hem och kontor. Detta kan innebära att anställda laddar ner appar som Microsoft Teams på sina telefoner eller använder icke-godkända appar för att göra sig själva mer effektiva - allt utan IT-avdelningens vetskap.
Dessutom finns det andra risker med att arbeta hemifrån och sociologiska och administrativa förändringar att ta hänsyn till. Ofta är det fler än en person som arbetar hemifrån. Det är naturligt att man visar värdefulla affärsdata på sina skärmar så att alla som kommer in i hushållet kan se dem.
Det är alltför vanligt att folk går iväg utan att låsa sin dator, men tänk om de råkar visa känslig företagsinformation som kan avslöjas av någon annan som bor eller besöker fastigheten?
Hemma-routrar är en annan utmaning. De är sårbara för flera olika typer av cyberattacker som kan äventyra företagsdata, t.ex. man-in-the-middle-attacker där fiender kan snoka i nätverkstrafiken.
Scenariot att arbeta från kontoret gör det hela ännu mer komplicerat. Har den anställde t.ex. en bärbar dator med sig mellan arbetet och hemmet och skickar han eller hon känsliga filer till en annan enhet för att arbeta hemma?
I denna nya och hybrida miljö är traditionella säkerhetskontroller helt enkelt inte lämpliga för ändamålet. Det nya "normala" arbetet kräver ett omarbetat tillvägagångssätt som omfattar kontroller och verktyg för cybersäkerhet, policyer och utbildning.
WFH är ett digitalt omvandlingsprojekt, inte ett IT-projekt
Det står redan klart att cybersäkerheten i COVID-eran kräver en förändring av tankesättet. För 20 år sedan skulle den här nya arbetsmiljön inte ens ha varit möjlig, eftersom tekniken inte fanns på plats och de anställda var fast förbundna med interna system. Nu kan möten ske via videokonferens, medan molnet och appar gör det enklare än någonsin att ladda ner filer, samarbeta och kommunicera.
Men med tanke på att dessa innovationer också medför risker för cybersäkerheten är det klokt att betrakta arbete hemifrån som ett digitalt omvandlingsprojekt snarare än ett IT-projekt.
Företagen måste först se över sina policyer och ge de anställda tydlig utbildning om vad de ska göra och inte göra. Som en del av detta är det en bra idé att spela upp situationer: Det kan till exempel handla om att spela upp situationer: "Den här skrivaren är en Wi-Fi-ansluten enhet, här är riskerna med den", samtidigt som man uppmuntrar till grundläggande bästa praxis, till exempel patching.
Storbritanniens National Cyber Security Centre (NCSC) ger några goda råd till anställda som arbetar hemifrån. I en BYOD-situation råder NCSC företag att vara medvetna om risken för att enheter förloras eller stjäls. För att minska hotet bör man se till att enheterna krypterar data när de är i vila och kontrollera att krypteringen är aktiverad och konfigurerad.
Samtidigt bör personalen använda en VPN hemma och den bör vara helt patchad. Företag kan behöva lägga till fler licenser, kapacitet eller bandbredd om företaget har utökat antalet fjärranvändare kraftigt.
Det är också viktigt att beskriva hur utbildning kan bidra till att förhindra att anställda faller för nätfiskeattacker. Personalen bör också veta hur de kan rapportera problem, t.ex. nätfiskeförsök eller förlorade enheter, och hur de ska hålla sina programvaror och sin hårdvara hemma och på jobbet uppdaterade.
Självklart kräver varje säkerhetsöversyn ett godkännande från styrelsen. Säkerhetsansvariga kan använda exempel som EasyJet och Garmin för att visa varför en cyberattack kan vara en fara för företagets ekonomi och rykte, särskilt under en pandemi.
Det kräver ett helhetsgrepp som omfattar alla i företaget och som omfattar både arbets- och hemmiljöer. Med ett landskap som förändras hela tiden när nya hot dyker upp måste cybersäkerhet vara ett ständigt pågående projekt, inte en rutin.
Gratis tillgång till cybermedvetenhet för att hjälpa organisationer att återgå till arbetet
Cyber Security Awareness for Dummies är en oumbärlig resurs för att genomföra beteendeförändringar och skapa en kultur av cybermedvetenhet.
I den här guiden får du lära dig:
- Vad medvetenhet om cybersäkerhet innebär för din organisation
- Hur man genomför en kampanj för medvetenhet om cyberrisker
- Politikens avgörande roll för att fastställa säkra baslinjer
- Hur man upprätthåller drivkraften och personalens engagemang
- 10 bästa praxis för medvetenhet om cybersäkerhet
