Ľahkovážny prístup k modelu BYOD (Bring Your Own Device) sa nemusí vyplatiť – využívanie osobných zariadení vo firemných sieťach totiž môže byť rozbuškou vedúcou k pohrome.
Práca na diaľku (ktorá sa neskôr pretransformovala aj na hybridnú prácu) pomohla firmám preklenúť obdobie pandémie a stala sa tak dôležitou hybnou silou. Čoraz viac sa stierajú hranice medzi pracovným a domácim prostredím a mnohí ľudia chcú alebo potrebujú mať prístup k pracovným zdrojom nielen z akéhokoľvek miesta a v akúkoľvek hodinu, ale aj z ktoréhokoľvek zariadenia. Tým sa dostávame k používaniu súkromných zariadení na pracovné účely a na prístup k firemným údajom.
Nástrahy používania vlastných zariadení
Pozrime sa však na druhú stranu mince – používanie osobných zariadení na prácu so sebou prináša vyššie kybernetické riziká. Nezáleží pritom, či zamestnanec pracuje výlučne na svojom vlastnom aparáte alebo od zamestnávateľa dostal aj nejaké firemné zariadenie. Ešte väčšie hrozby pramenia z toho, ak sa používanie osobných zariadení na pracovné účely nepodporí spoľahlivými bezpečnostnými postupmi a opatreniami.
Obavy späté s modelom BYOD nie sú žiadnou novinkou, no trend zvýšeného využívania osobných zariadení na pracovné účely so sebou prináša nové výzvy ohľadom zabezpečenia firemných údajov a vyvoláva potrebu prehodnotiť a upraviť existujúce politiky podľa vyvíjajúceho sa pracovného prostredia.
Ako teda môžu zamestnanci a firmy zmierniť kybernetické riziká spojené so súkromnými zariadeniami využívanými na prácu a ako sa dá zabrániť ohrozeniu firemných a zákazníckych údajov? Neexistuje síce univerzálne riešenie, ale s pomocou niektorých opatrení je možné úspešne ochrániť firmu pred škodami.
Zredukujte potenciálne miesta útokov na firmu
Používanie zariadení, ktoré IT oddelenie nemá vo svojej kompetencii ani pod žiadnou formou dohľadu, predstavuje veľkú hrozbu pre firemné údaje. Kybernetickí útočníci neustále hľadajú akékoľvek trhliny v obrannom systéme firiem, a preto by eliminovanie takýchto zraniteľných miest malo byť absolútne kľúčové. Firmy by mali zaznamenávať všetky zariadenia pristupujúce k ich sieťam a stanoviť bezpečnostné štandardy a konfigurácie, ktoré musia zariadenia zamestnancov spĺňať, aby sa zabezpečila základná úroveň ochrany.
Neschválené aplikácie a softvér na súkromných zariadeniach zamestnancov sú bežným zdrojom bezpečnostných rizík. Takéto informačné technológie neodsúhlasené IT oddelením, tzv. shadow IT, predstavujú hrozbu pre integritu, dostupnosť a dôvernosť firemných údajov a systémov. Ak chcú firmy zabrániť neregulovanému prístupu tretích strán k citlivým údajom, môžu na zariadeniach zamestnancov vynútiť akúsi bariéru medzi osobnými a pracovnými informáciami a uplatňovať na nich zoznamy zakázaných alebo povolených aplikácií (blacklist alebo whitelist). Existujú aj iné spôsoby, ako udržať osobné zariadenia zamestnancov pod dohľadom, napríklad pomocou špecializovaného softvéru na správu mobilných zariadení. To nás privádza k ďalšiemu bodu.
Aktualizujte softvér a operačné systémy
Je mimoriadne dôležité včas inštalovať všetky dostupné bezpečnostné aktualizácie na opravu známych zraniteľností. Sotva totiž prejde čo i len deň bez toho, aby sa v najrozšírenejších typoch softvéru neobjavila nejaká nová zraniteľnosť.
Zaistiť, aby zamestnanci pracovali vždy len na plne aktualizovaných zariadeniach, je určite jednoduchšie v tom prípade, ak používajú notebooky a smartfóny poskytnuté firmou. Vtedy sa navyše môžu spoľahnúť na podporu IT oddelenia, ktoré má prehľad o dostupných aktualizáciách softvéru a inštaluje ich do počítačov hneď po vydaní. Mnohé podniky v súčasnosti využívajú softvér na správu zariadení nielen pri inštalovaní aktualizácií na zariadenia zamestnancov, ale aj na celkové posilnenie ich zabezpečenia.
Ak úloha pravidelného aktualizovania softvéru v zariadení spočíva na pleciach samotného zamestnanca, firma by mala aspoň dôsledne informovať o dostupnosti záplat, pripomínať potrebu ich inštalácie, poskytovať návody na nasadenie aktualizácií a monitorovať ich priebeh.
Zaistite bezpečnosť pripojenia
Ak sa zamestnanec potrebuje na diaľku pripájať do firemnej siete, firma si toho musí byť vedomá. Zamestnanci pracujúci na diaľku totiž môžu používať nielen svoje domáce siete Wi‑Fi, ale aj verejné. V oboch prípadoch pomôže správne nakonfigurovaná virtuálna súkromná sieť (VPN), ktorá pracovníkom umožňuje vzdialený prístup k firemným zdrojom, ako keby sedeli osobne priamo v kancelárii. VPN ponúka jednoduchý spôsob, ako firmu čo najmenej vystaviť trhlinám v zabezpečení, ktoré by inak mohli zneužiť kybernetickí zločinci.
Ďalší spôsob, ako umožniť vzdialené pripojenie do IT prostredia firmy, ponúka protokol RDP (Remote Desktop Protocol). Keď veľká časť svetovej populácie prešla na prácu z domu, počet pripojení cez RDP prudko vzrástol – no a rovnakým tempom narástol aj počet útokov zneužívajúcich RDP. Mnohým útočníkom sa podarilo nájsť spôsob, ako zneužiť zle nakonfigurované nastavenia RDP alebo slabé heslá, a tak získať prístup do firemných sietí. Keď sa útočníkovi podarí vniknúť do siete, následne môže odcudziť duševné vlastníctvo, zašifrovať všetky firemné súbory s cieľom žiadať výkupné, poškodiť zálohy s firemnými údajmi alebo oklamať účtovné oddelenie, aby previedlo peniaze na falošný účet. Dobrou správou je, že existuje mnoho spôsobov, ako sa chrániť pred útokmi zneužívajúcimi RDP. Prístup k RDP musí byť správne nakonfigurovaný vrátane blokovania priamych pripojení z internetu a vyžadovania silných a zložitých hesiel pre všetky účty, do ktorých sa dá prihlásiť prostredníctvom RDP.
Chráňte to najcennejšie, čo firma má
Uchovávanie dôverných firemných údajov na osobnom zariadení predstavuje nesporné riziko, najmä ak dôjde k strate alebo krádeži a zariadenie nie je chránené heslom ani zabezpečené šifrovaním pevného disku. To isté platí aj v prípade, že sa zariadenie dostane do rúk kohokoľvek iného než samotného zamestnanca. Aj keď by išlo „iba“ o rodinného príslušníka, výsledkom môže byť ohrozenie toho najcennejšieho, čo firma vlastní. Nezáleží pritom, či sú firemné údaje uložené lokálne alebo v cloude, čo je v dnešnej ére práce na diaľku čoraz bežnejšie.
Aj niekoľko jednoduchých opatrení výrazne pomôže zabezpečiť údaje spoločnosti pred poškodením či zneužitím. Odporúča sa vyžadovať ochranu silným heslom a automatické zamknutie zariadenia. Zamestnancov je tiež vhodné poučiť o potrebe zabrániť komukoľvek inému v používaní zariadenia.
V záujme zamedzenia prístupu neoprávnených osôb k dôverným informáciám by mali firmy šifrovať citlivé údaje pri prenose aj po uložení, implementovať do procesov viacúrovňové overovanie a čo najlepšie zabezpečiť sieťové pripojenia.
Zabezpečte videokonferencie
Videokonferenčné služby zaznamenali vďaka pandémii skutočný rozmach, pretože všetky schôdze a porady, ktoré sa predtým konali osobne, sa museli náhle presunúť do virtuálnej sféry. Firmy by mali pre zamestnancov vypracovať usmernenia k videokonferenciám, napríklad aký softvér používať a ako zabezpečiť pripojenie.
Odporúča sa používať softvér vybavený účinnými bezpečnostnými funkciami, napríklad end‑to‑end šifrovaním hovorov a ochranou heslom, ktoré chránia dôverné údaje pred nepovolanými osobami. Azda ani netreba pripomínať, že videokonferenčný softvér treba udržiavať v aktuálnom stave včasnou inštaláciou najnovších aktualizácií, aby sa všetky zraniteľnosti a bezpečnostné diery čo najrýchlejšie zaplátali.
Softvér a ľudia
Zabúdať netreba ani na používanie viacvrstvového bezpečnostného softvéru od renomovaného dodávateľa. Ak sa opomenie ochrana zariadení, ktoré majú prístup k firemným systémom, môže to skončiť katastrofou. Takýto softvér dokáže ušetriť veľa starostí, času aj peňazí. Bezpečnostné riešenie okrem iného poskytuje ochranu pred najnovším malvérom, zabezpečí firemné údaje aj v prípade straty či krádeže zariadenia a pomáha správcom systému udržiavať zariadenia v súlade s bezpečnostnými politikami spoločnosti.
Zabezpečenie pravidelného zálohovania údajov zo zariadení (spolu s testovaním funkčnosti záloh) a zvyšovanie povedomia zamestnancov o IT bezpečnosti by mali byť ďalšími samozrejmými krokmi. Preventívne opatrenia zavedené na technickej úrovni by totiž nikdy neboli dostatočne účinné, ak by zamestnanci sami nevedeli o zvýšených rizikách, ktoré sa viažu s používaním osobných zariadení na pracovné účely.