Az otthoni munkavégzésről mindenkinek a funkcionális alapkövetelmények jutnak eszébe, hogy hordozható legyen a gépe, ne asztali gép legyen, hanem laptop és haza lehessen vinni. Az egyéb munkaeszközökre is igaz ez: legyen megfelelő internetelérés, céges mobiltelefon-tarifacsomag és hasonlók. Ezek a funkcionális követelmények, de érdemes meggondolni azt is, hogy biztonsági szempontból mire kell ügyelni - hívta fel a figyelmet Gyimesi Csaba, a PwC Magyarország igazgatója, a kiberbiztonsági szolgáltatások terület vezetője.
"Néha még látjuk, és előfordul, de nagyon nem jó megoldás, ha azt kérjük a munkavállalótól, hogy dolgozzon a saját eszközeivel, saját gépén, emailcíméről otthon, vagy akár máshol" - hangsúlyozza Gyimesi Csaba. Főleg azért, mert
ilyenkor semmi kontrollja nincs a cégnek ezeken az eszközökön: nem tudja, milyen védelme van, hogy szivárog belőle az adat, potenciális támadási és adatvesztési pontot jelent.
Ugyanez igaz, ha privát e-mailekkel továbbítjuk a céges dokumentumokat, mondván, hogy otthonról nem érjük el a cégeset, mert nagy a biztonság, hát kiküldjük majd a saját privát emailcímünkre és akkor majd otthon eldolgozgatunk vele. Ez szintén problémát jelent - hangsúlyozta a szakértő.
Két oldalról lehet ezt jól megközelíteni: az egyik, hogy az eszközt hogyan kell védeni, a másik pedig az, hogy fel kell készíteni a munkavállalókat is arra, hogy más körülmények között, kicsit más szabályokkal dolgozzon, így a biztonsági tudatosságát is növeljük - mondta Gyimesi Csaba. Ha egy vállalat kibervédelmét nézzük, akkor annak jelentős része azon múlik, hogy a hálózatra kapcsolat eszközöket mi és hogyan védi. Gondoljunk csak arra, hogy az emailt, a webes forgalmat bizonyos eszközök szűrik, tartalmakat szűrnek, nem engednek hozzáférést mondjuk olyan oldalakhoz, amelyeket a cég valamilyen szempontból károsnak ítél. Ez lehet akár a közösségi média, de leginkább a fájlmegosztó oldalak, privát emailszolgáltatások, olyan helyek, ahol adatot tud véletlenül kiszivárogtatni a dolgozó.
Ha a cég ki tudja vinni a munkát, a gépet, az eszközöket ebből a környezetből, akkor ott is biztosítani kell ugyanilyen szintű védelmet
- hangsúlyozta Gyimesi Csaba.
A legalapvetőbb megoldás erre a virtuális magánhálózati (VPN) szolgáltatások igénybe vétele. Akinek céges gépe van és hazaviszi, az találkozott már ezzel a kifejezéssel, és azt oldja meg, hogy hálózati szempontból olyan, mintha a dolgozó valóban bent ülne az irodában. Persze ehhez az is kell, hogy úgy legyen beállítva, hogy a számítógép nem tud kommunikálni más hálózaton, mindenképp meg kell várnia, míg sikerül becsatlakozni a céges hálózatba - hívta fel a figyelmet a szakértő. Itt az is nagyon fontos, hogy ezeket a céges belépéseket különösen védjük - adott esetben kiemelt felhasználóknál kétfaktoros hitelesítéssel is.
Gondolni kell az eszközök fokozott fizikai védelmére is. Egy irodában nem biztos, hogy titkosítottak a merevlemezek, hiszen fizikailag is védve van az eszköz. De ha kikerül onnan, akkor ez elengedhetetlen, mivel ellophatják, elveszthetik, valamilyen védelem kell rá, hogy hozzáférhetetlenné váljanak az érzékeny adatok - hangsúlyozta Gyimesi Csaba. Mivel kikerül a hálózatból, ezért a végponti védelem és naplózás erősebb beállítása is fontos.
Szervezeti szempontból fontos, hogy
fel kell készíteni az IT-s dolgozókat arra, hogy távolról kell segíteni a munkatársakat az informatikai problémák elhárításában.
A távmunkára IT biztonság szempontjából is fel kell készíteni a munkatársakat, és elsősorban a tudatosság értékelődik fel ilyenkor - mondta Gyimesi Csaba. Amikor az otthoni, vagy távoli munkavégzés működik, akkor azt lényegében bárhonnan lehet csinálni, akár egy plázában vagy gyorsétteremben, de a vonaton is lehet dolgozni. Ezért fontos, hogy a dolgozó tudja, ez milyen veszélyekkel jár: például más is láthatja a monitorját, más is hallhatja, amit egy konferenciahívásnál beszél, és így bizalmas információkhoz juthat. De akár el is vihetik a gépét, vagy a dokumentumait, amíg egy pillanatra felügyelet nélkül hagyja azt. Ez mintapéldája az adatvesztésnek. Elég triviálisan hangzik, de tényleg gyakori hiba - tette hozzá a szakértő.
Szavai szerint az is fontos, hogy
otthon is tartsák az irodában nagyon elhíresült clean desk, vagy tiszta asztal szabályt, és a képernyőlezárást,
mert bár a dolgozó otthonáról van szó, de mások is járnak arra, akik a cég szempontjából idegennek számítanak.
Emellett ilyenkor jobban fel kell készülni és számítani a célzott adathalász levelekre, mint egyébként, különösen ha hirtelen több vállalat is elkezd otthonról dolgozni - hívta fel a figyelmet Gyimesi Csaba. Ez ugyanis ad egy ürügyet. Mindenki egy kicsit kényelmetlenül érzi magát, ha kap egy ilyen levelet, hogy " én vagyok az IT, és most gyorsan add meg a jelszavadat, mert holnap már nem tudsz dolgozni", akkor sokkal könnyebb áldozatává válni egy ilyen célzott támadásnak - véli a szakértő.
Szerinte vannak olyan pontok, kritikus lépések egy folyamatban, ahol külön ellenőrzési pontot érdemes beépíteni. Mivel itt nem személyes kapcsolaton, jelenléten múlik egy-egy informatikát érintő probléma gyors, akár soron kívüli orvoslása, hanem e-mailekben kommunikálnak, akkor fel kell merüljön a gyanú, hogy esetleg nem attól kapta a levelet, akitől gondolja. Ezért az ilyen esetekre érdemes külön ellenőrzési pontot bevezetni ideiglenesen legalábbis, és különösen ott, ahol eddig nem volt bevett megoldás a távmunka - tette hozzá Gyimesi Csaba.