Koronaviruset øker i omfang, og etter myndighetenes anbefalinger er det stadig flere som benytter seg av hjemmekontor. Ettersom stadig flere nordmenn benytter seg av hjemmekontor i disse dager er det viktig å ta noen forhåndsregler. Som en del av virksomhetens HMS-rutiner anbefales det at bedriften oppfordrer den ansatte med hjemmekontor til å foreta en risikovurdering for hindre uønskede hendelser.
For eksempel har et forskningsteam i i sikkerhetsløsningsselskapet Check Point Software avdekket at domener relatert til Koronavirus har 50 prosent større sannsynlighet for å være skadelige, og at man derfor bør være ekstra nøye med alt uventet som dukker opp i postboksen i disse dager.
– Den digitale hygienen er nesten like viktig som håndhygienen, sier teknologisjef Nils-Ove Gamlem i Check Point Software, som er redd for at de som jobber i sikkerhetsbransjen kan oppfattes som paranoide:
– Det virker kanskje som at vi ser trusler på høylys dag, men fakta er at dette ikke blir tatt alvorlig nok. Vi ser ofte hendelser som enkelt kunne vært unngått dersom det hadde blitt gjort en risikovurdering på forhånd.
Viktigheten av forholdsregler
Gamlem ramser opp forholdsvis enkle ting i en artikkel publisert i Computer World; for eksempel å være obs på at noen kan titte deg over skulderen om du jobber offentlig på en kafé, eller at det kan være uheldig å bruke barnas spill pc når man jobber hjemme. Det lønner seg å tenke gjennom hvilke data du har tilgjengelig til hvilken tid.
– Er vi generelt for dårlige når det kommer til å ta slike forholdsregler?
– Svaret er JA!, med caps lock og utropstegn, svarer Gamlem kontant.
Ifølge Gamlem er tiden inne for å gjennomgå og fremheve sikkerheten rundt det å ha tilgang til bedriftsdata på begge sider av linjen.
Tilsynelatende er det enkelt å jobbe hjemmefra – de aller fleste har tilgang til internett, og lagring og programvare i skyen gjør overgangen fra å jobbe på kontoret til stua sømløs.
Sjekkliste hjemmekontor for ansatte og arbeidsgiver
Check Point har laget en liste med tips for beste praksis; en for de ansatte og en for arbeidsgiver som gjengis her:
Råd til ansatte:
- Passord er viktig
Selskapet mener det er en god idé å gjennomgå og styrke passordene du bruker for innlogging hjemmefra på epost og jobbapplikasjoner.
- Vær oppmerksom på phising
Ikke klikk på lenker som på en eller annen måte ser mistenksomme ut. Last bare ned innhold fra verifiserbare kilder.
Husk at phising er en form for sosial tilnærming, slik at hvis du mottar en epost med en uvant anmodning, kontroller avsenders opplysninger nøye slik at du er sikker på at du kommuniserer med kolleger og ikke kriminelle.
- Vær nøye med valg av enhet
Mange ansatte benytter en jobb-pc til personlig bruk som kan skape en sikkerhetsrisiko. Risikoen er ennå større hvis du bruker en personlig datamaskin til jobbformål.
Hvis du MÅ bruke din personlige datamaskin til jobb, snakk med it-teamet på jobben om hvordan it-sikkerheten kan styrkes – for eksempel ved å installere en kraftig anti-virus og sikkerhetspakke.
- Vær obs på hvem som kan lytte på linjen
Har hjemme-nettverket et sterkt passord, eller er det åpent? Vær sikker på at det er beskyttet mot alle i nærheten så de ikke kan logge seg på. Det samme gjelder dersom du jobber fra en kafé eller hotell – vær varsom når du kobler deg opp mot trådløse offentlige nettverk.
Tips til arbeidsgiver:
Disse retningslinjene skal være et utgangspunkt for organisasjoner om deres data er lagret i datasenter, offentlige tilgjengelige skytjenester eller i SaaS applikasjoner.
- Ikke stol på noen
Hele din hjemmekontorplan må bli bygget på null-tillit hvor alt må verifiseres og ingenting basert på antakelser. Vær sikker på at du forstår hvem som har aksess til hvilken informasjon – segmenter brukerne dine og vær sikker på at de autentiseres med fler-faktor autentisering. I tillegg, nå er tiden inne til å repetere for dine ansatte slik at de forstår hvorfor og hvordan man skal aksessere informasjon sikkert hjemmefra.
- Hvert endepunkt må få oppmerksomhet
I et typisk scenario har du ansatte som jobber ved stasjonære PCer på kontoret. Vi antar at disse enhetene ikke skal tas med dem hjem, du har nå en mengde ukjente enheter som har behov for aksess til dine bedriftsdata. Du må tenke fremover hvordan du håndterer truslene fra datalekkasjer, angrep som forplanter fra enheter i nettverket, og du er nødt til å være sikker på at sikkerhetsstatusen til disse enhetene er tilstrekkelig.
- Stress-test infrastrukturen din
For å bygge inn sikre verktøy for fjernaksess i din arbeidsflyt, er det viktig å ha VPN eller en SDP. Denne infrastrukturen må være robust, og bør stresstestes for å forsikre at den kan håndtere et stort trafikkvolum, når dine ansatte flytter til hjemmekontor.
- Definer dataene dine
Ta deg tid til å identifisere, spesifisere og merk dine sensitive data, for å forberede policyer som vil at bare de rette personene skal ha tilgang til de. Ikke gjør noen antakelser om tidligere datastyring og ta en granulær fremgangsmåte som vil fungere når fjernaksess er i full drift. Ingen ønsker ved en feiltakelse å gi hele organisasjonen tilgang til HR.
- Segmenter arbeidsstyrken
Foreta en revisjon av dine nåværende policyer knyttet til aksess og deling av visse typer data. Revurder både virksomhetspolicy og din segmentering av teamene innen din organisasjon, slik at du kan slå deg til ro med at du har forskjellige aksessnivåer som samsvarer med de forskjellige nivåene av data sensitivitet.