ΣΥΜΒΟΥΛΕΣ ΑΣΦΑΛΕΙΑΣ ΓΙΑ ΤΗΝ ΕΞ ΑΠΟΣΤΑΣΕΩΣ ΕΡΓΑΣΙΑ

Ο Παγκόσμιος Οργανισμός Υγείας (WHO)  έχει ορίσει ως πανδημία το νέο μυστηριώδη ιό COVID-19 (Coronavirus). Στην προσπάθεια τους οι εταιρείες και οι οργανισμοί να περιορίσουν τις επιπτώσεις που ακολουθούν την εξάπλωση του, λαμβάνουν ενεργά μέτρα, ζητώντας από το προσωπικό τους να εργαστεί εξ αποστάσεως και από την ασφάλεια των σπιτιών τους, για να αποφύγει τη μόλυνση, μη γνωρίζοντας ταυτόχρονα για πόσο διάστημα θα χρειαστεί να συνεχιστεί η εργασία τους με αυτόν τον τρόπο. Αναπόφευκτα, αυτές οι εξελίξεις προκαλούν κρίσεις στον τομέα του κυβερνοχώρου και των προσωπικών δεδομένων.

Παρ’ όλο που η εργασία εκ αποστάσεως προσφέρει ευελιξία στους εργαζόμενους, συνεπάγεται πραγματικούς κινδύνους για την ασφάλεια του κυβερνοχώρου, τους οποίους οι εταιρείες και οργανισμοί οφείλουν να λάβουν υπόψιν τους  όσο αυτό το μέτρο κατά της εξάπλωσης του COVID-19 συνεχίζεται.

Κατά την εφαρμογή του συστήματος απομακρυσμένης εργασίας, υπάρχει αυξημένος κίνδυνος πρόσβασης των εργαζομένων στα δεδομένα μέσω ασύρματων και μη ασφαλών δικτύων Wi-Fi. Οι κίνδυνοι αυξάνονται εφόσον οι εργαζόμενοι χρησιμοποιούν προσωπικές συσκευές για την εκτέλεση εργασιών και εφόσον δεν ακολουθούν  τα γενικά πρωτόκολλα ασφαλείας που έχει θεσπίσει η εταιρεία.

Παράλληλα, οι εργαζόμενοι που δουλεύουν εξ αποστάσεως, δυσκολεύονται πολλές φορές να εξισορροπήσουν την εργασία με τα παιδιά ή ακόμα και τα κατοικίδια ζώα που βρίσκονται στο σπίτι, ή ενδέχεται τις εργάσιμες ώρες να ασχολούνται με  καθημερινές δουλειές του σπιτιού με αποτέλεσμα να αποσπάται η προσοχή τους. Τα μικρά  παιδιά που μπορεί να έχουν πρόσβαση σε έναν ανοικτό υπολογιστή μπορεί εύκολα να προκαλέσουν περιστατικό ασφαλείας ή να πέσουν θύματα επιθέσεων phishing.

Για τους λόγους αυτούς,  το ανθρώπινο δυναμικό θα πρέπει να εκπαιδεύεται συχνά και να του παρέχονται σαφείς οδηγίες ανάλογα με την πολιτική απομακρυσμένης πρόσβασης που εφαρμόζει κάθε εταιρεία.

Επιπλέον, θα πρέπει να δοθεί ιδιαίτερη έμφαση στην συνεργασία των τμημάτων του ανθρώπινου δυναμικού (ΗR) με το τμήμα Πληροφορικής (ΙΤ),  έτσι ώστε να ακολουθείται ένα σταθερό και δυνατό επίπεδο ελέγχου σε όλη την εταιρεία ή τον οργανισμό.

Αναμφίβολα, η πολιτική απομακρυσμένης πρόσβασης που πρέπει να εφαρμόζεται,  θα διασφαλίζει ότι  οι συνδέσεις στο δίκτυο και η συνακόλουθη διαβίβαση δεδομένων θα πραγματοποιείται μέσω ενός εικονικού ιδιωτικού δικτύου (VPN), το οποίο δρομολογεί με ασφάλεια τις συνδέσεις μέσω του ιδιωτικού δικτύου της εταιρείας ή άλλου μηχανισμού κρυπτογραφημένης σύνδεσης.  Όπου οι υπάλληλοι μπορούν να έχουν πρόσβαση εξ αποστάσεως σε ευαίσθητες πληροφορίες στο δίκτυο, τα VPN θα πρέπει να διαμορφώνονται με έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) ως πρόσθετο μέτρο ασφαλείας. Με αυτόν τον τρόπο, θα είναι αδύνατο ένας μη εξουσιοδοτημένος χρήστης  να συνδεθεί μέσω του VPN χωρίς την ταυτοποίηση του από δεύτερο παράγοντα (π.χ  κωδικός που αποστέλλεται σε smartphone του εργαζόμενου, βιομετρική ταυτοποίηση, κλπ).

Το Τμήμα Πληροφορικής θα πρέπει να διασφαλίζει ότι έχουν εγκατασταθεί firewalls για να εντοπίζονται απόπειρες εισβολής από μη εξουσιοδοτημένες ή ύποπτες διευθύνσεις πρωτοκόλλου Internet (IP). Εάν υπάρχουν περιοχές της χώρας ή / και του κόσμου από τις οποίες οι εργαζόμενοι δεν έχουν λόγο να συνδέονται εξ αποστάσεως με το δίκτυο της εταιρείας, το Τμήμα Πληροφορικής μπορεί αποτρέψει τις συνδέσεις αυτές θέτοντας  σε “μαύρη λίστα” τις IP διευθύνσεις  για τις συγκεκριμένες γεωγραφικές περιοχές.  Σε μια πολυεθνική εταιρεία όπου οι εργαζόμενοι μπορεί να είναι διασκορπισμένοι σε όλο τον κόσμο ίσως το μέτρο αυτό να μην μπορεί να εφαρμοστεί, ωστόσο δεν ισχύει το ίδιο για μικρότερες εταιρείες αλλά και το δημόσιο τομέα.

Όπως προαναφέραμε, οι προσωπικές συσκευές που ενδέχεται να χρησιμοποιούν οι εργαζόμενοι, όταν εργάζονται εξ αποστάσεως παρουσιάζει πρόσθετους κινδύνους στον κυβερνοχώρο λόγω της έλλειψης εταιρικού ελέγχου των συσκευών. Όταν οι κινητές συσκευές (π.χ. κινητά τηλέφωνα, tablet, φορητοί υπολογιστές κλπ). επιτρέπεται να συνδεθούν στο εταιρικό δίκτυο, οι εταιρείες θα πρέπει να διασφαλίζουν ότι αυτές οι συσκευές είναι εξοπλισμένες με λογισμικό διαχείρισης συσκευών κινητής τηλεφωνίας (MDM). Το λογισμικό MDM επιτρέπει στο εταιρικό Τμήμα Πληροφορικής να διαχειρίζεται τέτοιες συσκευές διασφαλίζοντας ότι οι συσκευές είναι διαμορφωμένες σύμφωνα με ασφαλή πρότυπα, ενημερώσεις λογισμικού και ενημερώσεις κώδικα για τις συσκευές και τις εφαρμογές που περιέχονται σε αυτές, εντοπίζοντας την τοποθεσία των συσκευών και – ακόμη σε περιπτώσεις όπου αυτές οι συσκευές χάνονται ή που μπορεί να κλαπούν – επιτρέποντας τη διαγραφή των δεδομένων από απόσταση.

Αυτή η περίοδος είναι ιδανική για να παρασχεθεί μία ενημερωμένη εκπαίδευση στο προσωπικό σχετικά με τις αποδεκτές πολιτικές χρήσης, την υλικοτεχνική υποδομή σύνδεσης, την κατάλληλη χρήση του Wi-Fi και τα μέτρα που πρέπει να ληφθούν σε περίπτωση αντιμετώπισης περιστατικού ασφαλείας. Η εκπαίδευση αυτή θα ήταν ορθό να ενημερώσει το προσωπικό για τον αυξημένο κίνδυνο επιθέσεων ηλεκτρονικού “ψαρέματος” (phishing) που έχει προκαλέσει η πανδημία του COVID-19. Οι εγκληματίες του κυβερνοχώρου, αναγνωρίζουν και προσπαθούν να εκμεταλλευτούν το γεγονός ότι οι υπάλληλοι είναι λιγότερο προσεκτικοί σε συνθήκες απομακρυσμένης εργασίας. Έχουν ήδη αναφερθεί αναφορές από επιτιθέμενους που εκμεταλλεύονται τον COVID-19 στέλνοντας κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου σε επιχειρήσεις σε γεωγραφικές περιοχές που επηρεάζονται σημαντικά από τον ιό. Θα πρέπει να τονιστεί ότι  όλοι οι υπάλληλοι οφείλουν να προσέχουν κατά το άνοιγμα μηνυμάτων ηλεκτρονικού ταχυδρομείου, ιδιαίτερα εκείνων που περιέχουν συνδέσμους ή συνημμένα, και να αναφέρουν ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου στο τμήμα πληροφορικής. Ανεξάρτητα από τις προσπάθειες της εταιρείας και τα εξελιγμένα μέτρα ασφαλείας που έχουν τεθεί σε εφαρμογή για τη δημιουργία ασφαλούς περιβάλλοντος για τους απομακρυσμένους εργαζόμενους, ο κίνδυνος του ανθρώπινου λάθους είναι πάντα αυτός που υπερτερεί.

Βασικό μέτρο που είναι αναγκαίο να εφαρμοστεί είναι και η τήρηση μιας λίστας με τα στοιχεία επικοινωνίας για το βασικό προσωπικό της εταιρείας, συμπεριλαμβανομένου του προσωπικού πληροφορικής. Όλοι οι εργαζόμενοι θα πρέπει να την  έχουν στη διάθεση τους, σε έντυπη μορφή ενώ εργάζονται εξ αποστάσεως. Ομοίως, οι υπάλληλοι που συμμετέχουν στην ομάδα αντιμετώπισης περιστατικών της ασφαλείας της εταιρείας θα πρέπει να έχουν διαβάσει το σχέδιο αντιμετώπισης περιστατικών παραβίασης της εταιρείας και να τους είναι εύκολα προσβάσιμο αλλά και υλοποιήσιμο σε περίπτωση εμφάνισης συμβάντος στον κυβερνοχώρο, ενώ παραμένουν εκτός γραφείου.

Σε κάθε περίπτωση για την νομότυπη και ασφαλή διαχείριση των δεδομένων κρίνεται αναγκαία η συμβολή και καθοδήγηση του Υπεύθυνου Προστασίας Προσωπικών δεδομένων που έχει οριστεί από την εκάστοτε εταιρεία είτε στο δημόσιο ή στον ιδιωτικό τομέα.

Είναι άλλωστε σημαντικό να θυμόμαστε ότι όλες οι εταιρείες είναι διαφορετικές, με περισσότερο ή λιγότερο πολύπλοκες δομές, και ότι  ανάλογα με το μέγεθος και την σύνθεση της εταιρείας καθώς και την ευαισθησία των πληροφοριών που διατηρεί η κάθε μία, οι έλεγχοι και διαδικασίες μπορεί να διαφέρουν ουσιωδώς, με αποτέλεσμα να καθίσταται επιτακτική η ανάγκη μίας εξειδικευμένης καθοδήγησης.

Leave a Reply

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει τα ανεπιθύμητα σχόλια. Μάθετε πώς υφίστανται επεξεργασία τα δεδομένα των σχολίων σας.

Top