Cyberbezpieczeństwo

Bezpieczna praca zdalna

5 minut czytania

Wykonywanie czynności zawodowych w domu wiąże się z wieloma korzyściami. Daje to większą elastyczność godzin pracy, oszczędność czasu – na przykład na dojazdach, czy mniejsze wydatki codzienne. Jednak praca zdalna wiąże się także z pewnymi niedogodnościami i zagrożeniami – przede wszystkim w zakresie cyberbezpieczeństwa.

Pracodawca powinien to załatwić?

Myśląc o bezpieczeństwie cybernetycznym w pracy, można przyjąć że powinien je zapewnić pracodawca. To prawda, ale tylko w pewnym wąskim zakresie sprzętu, usług sieciowych i obowiązujących procedur komunikacyjnych i przetwarzania danych. Przepisy zobowiązują Pracodawcę do tego, aby:

  • udostępnić sprzęt komputerowy do wykonywania pracy zdalnej
  • udostępnić możliwość łączenia poprzez VPN do sieci lokalnej firmy
  • zapewnić oprogramowanie antywirusowe na udostępnionym sprzęcie
  • zapewnić zdalne automatyczne aktualizacje bazy z definicjami wirusów oraz systemu operacyjnego
  • zapewnić odpowiednie polityki bezpieczeństwa oraz przetwarzania danych osobowych
  • zapewnić dostęp do łącza internetowego

Praktyka pokazuje jednak, że to nie takie proste. Firmy były i nadal są nieprzygotowane do umożliwienia bezpiecznej pracy zdalnej wszystkim swoim pracownikom. Nagłe zapotrzebowanie na sprzęt komputerowy sprawił, że część firm musiała długo czekać na dostawy komputerów przenośnych. Właściwie wszystkie te tańsze do pracy biurowej zostały wykupione dość szybko i na rynku dostępne zostały tylko te wyższej klasy, z górnej półki i tzw. gamingowe, na które wielokrotnie firm nie było stać w szczególności w obliczu zmniejszonych obrotów i bardzo dużej ilości pracowników chętnych do pracy zdalnej.

Pomimo braku możliwości zapewnienia sprzętu służbowego przez pracodawców wielu pracowników i tak chętnie szło na tzw. home office, decydując się na udostępnienie własnych zasobów sprzętowych do celów służbowych.

Infrastruktura domowa może być niebezpieczna

W wielu podmiotach akceptowano fakt i możliwość pracy przez pracowników na sprzęcie prywatnym. Pomijam już kwestie, że w takim przypadku powinni oni dostawać dodatkowe wynagrodzenie np. za amortyzację sprzętu, nie mniej jednak rozwiązanie takie stanowi ogromne zagrożenie dla bezpieczeństwa cybernetycznego firmy.

Każdy pracownik, który pracuje zdalnie powinien umożliwić pracodawcy ocenę czy jego środowisko pracy jest bezpieczne, a w szczególności:

  • czy sieć wi-fi do której łączy się komputer jest zabezpieczona odpowiednim hasłem i jest niewidoczna w otoczeniu
  • czy komputer prywatny posiada legalne oprogramowanie systemowe
  • czy na komputerze są zainstalowane wszystkie aktualizacje
  • czy na komputerze jest zainstalowany program antywirusowy z aktualną bazą definicji wirusów
  • czy na komputerze nie ma zainstalowanego oprogramowania szpiegowskiego, keylogerów lub innych niebezpiecznych aplikacji (np. wtyczek w przeglądarce)
  • czy oprogramowanie przeglądarek internetowych jest aktualne
  • itd.

Jeżeli polityka bezpieczeństwa IT w danej firmie nie obejmuje weryfikacji infrastruktury domowej pracownika zdalnego, stanowi to ogromne zagrożenie związane ze zwiększoną szansą na skuteczny atak hakera.

Domowe środowisko IT to nie jedyny problem

Nie od dziś wiadomo, że kluczowym elementem cyberbezpieczeństwa jest człowiek. Najlepsze systemy zabezpieczeń można wyrzucić do kosza, jeśli użytkownik nie będzie przestrzegał podstawowych zasad bezpieczeństwa. Niestety nowa rzesza niedoświadczonych użytkowników na pracy zdalnej, to coś na co właśnie czekali hakerzy i cyberprzestępcy. Właśnie teraz są oni bardziej aktywni niż zwykle.

Epidemia związana z wirusem SARS-CoV-2 sprawiła, że powstały nowe metody cyberprzestępczości związane właśnie ze strachem wywołanym COVID-19. W cyberprzestrzeni pojawiły się nowe sposoby oszustw związane z testami na obecność wirusa, kwarantannami i izolacjami domowymi, lekami zapobiegającymi zakażeniu, szczepionkami z czarnego rynku a nawet podszywającymi się pod rządowe aplikacjami mobilnymi.

Oszustwa te mają 2 główne cele:

  • wyciągnąć kasę od naiwnych użytkowników Internetu
  • wyciągnąć dane niezbędne do przejęcia kontroli nad urządzeniem

W szczególności to drugie może być bardzo dotkliwe dla przedsiębiorstw. Przejęcie kontroli nad skrzynką pocztową czy zaszyfrowanie komputera prowadzi do bardzo nieprzyjemnych skutków.

Dlatego najsłabszym ogniwem cyberbezpieczeństwa jest użytkownik końcowy. Firmy oprócz skupiania się na bezpieczeństwie infrastruktury IT powinny przywiązać ogromną wagę do szkolenia i uświadamiania użytkowników końcowych. Sam pracuję w dużej firmie zatrudniającej ponad 1000 pracowników i niestety z przykrością muszę stwierdzić, że część z nich można porównać do analfabetów informatycznych. Czasami wiąże się to z wiekiem ale często z ignorancją i lekkomyślnością. A więc szkolenia, szkolenia i jeszcze raz szkolenia z umiejętności korzystania z komputera oraz przede wszystkim bezpieczeństwa cybernetycznego – tego podstawowego, które wskaże potencjalne zagrożenia i najprostsze zasady bezpieczeństwa osobistego pracowników.

Najważniejsze zasady bezpiecznej pracy zdalnej

Aby firma miała zapewnione bezpieczeństwo cybernetyczne musi w pierwszej kolejności zapewnić bezpieczeństwo osobiste w cyberprzestrzeni swoich pracowników. Nie uczyni tego bez uświadamiania ich jakie są zagrożenia i jak mają postępować w sieci. Oto podstawowe zasady, na które powinniśmy zwracać uwagę:

  • Nigdy nie korzystaj z nieznanej sieci wi-fi – w restauracji, hotelu, sieci sąsiada. Jeżeli jesteś na wyjeździe korzystaj z internetu z Twojego telefonu komórkowego.
  • Pracuj na oryginalnym systemie operacyjnym z zainstalowanymi wszystkim aktualizacjami
  • Pracuj przy włączonej, aktualnej ochronie antywirusowej
  • Posiadaj różne, trudne hasła do swoich usług sieciowych. Tam gdzie to możliwe stosuj logowanie dwuskładnikowe.
  • Nigdy nie zapisuj haseł w swojej przeglądarce internetowej
  • Chroń swoje hasła – nie udostępniaj ich nikomu
  • Pamiętaj by po zakończonej pracy wylogować się z usług, z których korzystałeś(aś)
  • Do zadań służbowych korzystaj wyłącznie ze służbowej skrzynki e-mail
  • O ile to możliwe, obowiązki służbowe wykonuj będąc podłączonym poprzez VPN do sieci firmowej
  • Gdy korzystasz z poczty:
    • Zawsze weryfikuj nadawcę
    • Nigdy nie odpowiadać na SPAM
    • Nie klikaj w linki umieszczone w mailach
    • Uważaj na wiadomości zawierające załączniki
    • W przypadku plików PDF nie zezwalaj po ich otwarciu na wykonywanie się ewentualnych skryptów w nich zamieszczonych – najlepiej przeglądaj je w podglądzie przeglądarki internetowej
    • Nie wysyłaj danych wrażliwych bez stosowania szyfrowania wiadomości
  • Gdy korzystasz z bankowości internetowej
    • Otwieraj strony banku wpisując adres samodzielnie (nie klikaj w linki do banku)
    • Nie korzystaj z bankowości z urządzeń, które nie są Twoje
    • Weryfikuj bankowe kody SMS
    • Sprawdzaj swoją aktywność na koncie bankowym i szukaj logowań, których sam nie dokonałeś
    • Gdy zgubisz jakiś środek autoryzacji natychmiast zablokuj możliwość realizacji zleceń na jego podstawie
  • Uważaj na zainstalowane wtyczki w przeglądarkach internetowych
  • Nie instaluj oprogramowania niepochodzącego ze stron uznanych producentów
  • Nie korzystaj z kradzionych wersji oprogramowania komercyjnego – najczęściej mają one trojany, backdory i inne wirusy, na których działanie przyzwolisz instalując taki program świadomie
  • Korzystając z usług w przeglądarce internetowej zawsze sprawdzaj czy Twoje połączenie jest szyfrowane certyfikatem SSL (kłódka przy adresie serwisu)
  • Uważaj na wszelkie pop-up’y pojawiające się na stronach, które odwiedzasz, akceptacja niektórych z nich może utrudniać Ci przyszłą pracę ze względu np. na polecenia push, które będą serwować Ci niechciane reklamy lub umożliwią zainstalowanie niechcianego programu
  • W razie wątpliwości lub wykrytego potencjalnego zagrożenia skontaktuj się ze swoim działem IT

Pamiętaj! Pracodawca powinien zapewnić Ci bezpieczeństwo cybernetyczne w zakresie rozwiązań teleinformatycznych i sprzętu. Zabezpieczenia te nie zadziałają jeżeli nie będziesz stosował się do ogólnie przyjętych zasad bezpieczeństwa w cyberprzestrzeni. Zabezpieczenia są tak silne jak jego najsłabsze ogniwo. Ogniwem tym jesteś TY.

101 posty

O autorze
Kierownik projektów IT oraz koordynator ds. cyberbezpieczeństwa. Hobbystycznie prowadzę kilka serwisów internetowych oraz blogi. Moje główne zainteresowania to: zarabianie przez internet, sposoby monetyzacji serwisów internetowych, dochód pasywny, bezpieczeństwo w cyberprzestrzeni, prywatność i ochrona danych osobowych, polityki publiczne w szczególności polityki zdrowia publicznego.
Artykuły
Powiązane wspisy
Artykuły partnerskiePoradniki

Czy można w Play przejść na abonament bez telefonu? Poznaj wszystkie możliwości

4 minut czytania
W świecie, w którym roi się od technologicznych nowości i usług, klienci wybierają najczęściej te łatwe, intuicyjne i ekonomiczne. Czołowe firmy na…
Cyberbezpieczeństwo

Ogólne zasady zachowania i bezpieczeństwa w sieci Internet

17 minut czytania
Internet, często nazywany siecią globalną, to ogromna sieć komputerowa, która łączy miliardy urządzeń na całym świecie. Jest to infrastruktura, która umożliwia przesyłanie…
Artykuły partnerskieTechnologie

Czy zdalne drukowanie jest bezpieczne?

3 minut czytania
Czy zastanawiałeś się nad wykorzystaniem zdalnego drukowania? Jeżeli interesuje Cię drukowanie dokumentów przez Wi-Fi, ale masz obawy co do jego bezpieczeństwa, oto…
Zapisz się do naszego Newslettera

Otrzymuj powiadomienia o nowych i aktualizowanych skryptach, narzędziach oraz wpisach.