Práce z domova

Ve spojitosti s pandemii COVID-19 jsou více než kdy jindy používány nástroje pro vzdálenou komunikaci a spolupráci. Uživatelé se přesouvají do domácích kanceláří a nejsou tak často kryti ochrannými prostředky organizací.

Uživatelé využívají prostředků sdílení dat a práce, které nejsou určeny pro organizace a které tudíž mají nezanedbatelné slabiny. To neuniklo pozornosti kyberzločinců a tak se soustředí na útoky v režimu HomeOffice!

Ve velkém míře a rozsahu jsou pro předávání dat a souborů využívány služby veřejných cloud úložišť. Je celkem jedno, jestli se jedná o Uloz.to nebo DropBox. Tyto úložiště nejsou určeny pro využití organizacemi a zejména nejsou určeny pro sdílení klasifikovaných dat. Bohužel uživatele na HomeOffice je využívají ve velkém rozsahu, protože si neuvědomují jejich rizika a pracují pouze s jejich klady – dostupnost, snadnost použití, žádná omezení (nemám podloženo „tvrdými daty“, ale „pozorováním, co se tak kolem děje“, tedy zkušeností :-)).

Zranitelnost dat

Tento problém není snadné eliminovat, jednak nad domácími uživateli nemá IT kontrolu a také jsou uživatelé navyklí je využívat (jsou dostupné, snadno použitelné, nemají téměř žádná omezení atd.). Bohužel toto počínání je spojeno se zranitelnostmi:

  • Data jsou fyzicky uložena mimo organizaci na úložištích třetí strany bez jakéhokoliv smluvního zajištění záruk.
  • Data jsou chráněna hesly, které určují uživatelé – je možné pochybovat o jejich kvalitě.
  • Data jsou chráněna hesly, která jsou předávána nekontrolovaným a neřízeným způsobem.

Samozřejmě data, která jsou takto předávána, mohou obsahovat doslova cokoliv. Soubory mohou obsahovat plány, návrhy, technická řešení, zápisy, koncepty, které nejsou v daném okamžiku určeny pro publikaci, nebo mohou soubory obsahovat osobní údaje. Tzn. že se dostáváme na hranu bezpečnostních politik, ale občas i zákona. Nelze předpokládat, že uživatelé sami a správně dokáží klasifikovat data a data, která jsou citlivá na diskreditaci, sami vyloučí z uložení v takových úložištích.  Nelze předpokládat, že uživatelé dokáží sami vyhodnotit rizikovost využití těchto úložišť pro sdílení dat a kooperaci.

Lidský článek

Lidský článek je vždy ten nejslabší, proto školte své uživatele v bezpečnosti a upozorněte je na nebezpečí, kterým jsou vystaveni a které mohou být dále projektovány do vašeho IS. Samozřejmě v popsaném případě asi školené a administrativní opatření nepomohou (školení je běh na dlouhou trať a směrnice ještě nikomu kopírovat soubory nezabránily), a tak je vhodné uvažovat i o nějakém technickém řešení.

Víme jak

Pokud nevíte, kde je největší nebezpečí, co byste měli udělat hned a co počká, jaký bezpečnostní systém je vhodný pro vás s ohledem na váš business a velikost, klidně se obraťte na AUTOCONT. Rádi Vám poradíme a jak se říká za zeptání, nic nedáte  :-) AUTOCONT ví jak.

Zájem ?