W czasie pandemii standardem stała się praca zdalna. W okresie wakacyjnym pozwala ona pracownikom na łączenie wypoczynku i obowiązków służbowych. Coraz popularniejsze stają się wyjazdy typu bleisure (delegacja, najczęściej zagraniczna, przedłużona o kilka dni urlopu) oraz workation (praca w atrakcyjnym turystycznie miejscu przez dłuższy czas). Tego typu podróże, choć zdaniem ekspertów dobrze wpływają na efektywność oraz morale pracowników, stwarzają dodatkowe zagrożenie cyberatakiem i utratą poufnych danych.
Ryzyka pracy na wyjeździe
Pracownicy podczas podróży stają w obliczu wyjątkowego zestawu zagrożeń związanych z cyberbezpieczeństwem – znajdują się w nieznanym miejscu bez wsparcia infrastruktury firmy.
Według IBM Security cyberataki w samym USA spowodowały straty w wysokości 6 bilionów dolarów. W Polsce podczas pandemii aż 55 proc. firm oceniało, że wzrosło ryzyko wystąpienia cyberataków. Co więcej, aż 64 proc. firm odnotowało przynajmniej jeden taki incydent w 2020 r. Tymczasem w trakcie wyjazdów służbowych zagrożenie atakiem i utratą poufnych danych jest wyższe.
Najsłabszym ogniwem są niestety sami pracownicy. Jeżeli nie będą przestrzegać zasad bezpieczeństwa, to poufne dane firmy dalej mogą wyciec. – odpowiada Paweł Niemyt, Product and Business Manager w Altkom Akademia.
Pracownicy szczególnie narażeni są na ataki cybernetyczne w sytuacjach, gdy korzystają z hotspotów Wi-Fi w miejscach publicznych lub z publicznych ładowarek USB, które mogą pobierać i uruchamiać złośliwe oprogramowanie oraz podsłuchiwanie. Hakerzy mogą następnie szpiegować i uzyskiwać dostęp do poufnych informacji.
Dlatego ważne jest, aby pracodawca zaangażował działy IT, które mogą pomóc i przeszkolić osoby podróżujące służbowo, jak skutecznie chronić poufne dane firmy.
Dobre praktyki
Jednym z najskuteczniejszych sposobów ograniczenia zagrożenia wycieku danych jest korzystanie z wirtualnej sieci prywatnej (VPN) w czasie pracy zdalnej. – Trzeba jednak pamiętać, że używanie VPN-u powinno być częścią precyzyjnej polityki cyberbezpieczeństwa – podkreśla Paweł Niemyt.
Tymczasem badania pokazują, że pracownicy w delegacji popełniają kardynalne błędy. Spiesząc się, loguję się do firmowych narzędzi z publicznie dostępnego komputera lub nie używają VPN-u, kiedy mają problem z połączeniem internetowym.
Żeby dane firmowe były bezpieczne, pracownicy powinni pamiętać o:
• uważnym korzystaniu z urządzeń osobistych – na przykład stosowaniu ochraniaczy na ekran uniemożliwiających odczytanie danych czy haseł osobie siedzącej z boku;
• upewnieniu się, że urządzenia są zablokowane i chronione hasłem, nawet w przypadku prostych urządzeń pamięci masowej, takich jak pendrive’y;
• szyfrowaniu plików;
• przechowywaniu danych w chmurze;
• regularnej aktualizacji oprogramowania na wszystkich urządzeniach mobilnych;
• aktualizowaniu urządzeń po podróży zagranicznej;
• obowiązkowym niszczeniu wszystkich poufnych dokumentów.
Trzeba pamiętać, że pracownik w czasie wyjazdu służbowego jest również bardziej narażony na kradzież lub zagubienie sprzętu. Trzeba uczulić wyjeżdżających, by nigdy nie pozostawiali komputera czy komórki bez opieki. Firma powinna wprowadzić procedury postępowania na wypadek utraty urządzeń lub dokumentów zawierającego poufne informacje. – Jasna procedura to szybszy czas reakcji i możliwość ograniczenia szkód wywołanych potencjalnym włamaniem do firmowej sieci. – podkreśla Paweł Niemyt.
Biuro czy wyjazd?
Z badania Grant Thornton wynika, że pracodawcy niechętnie godzą się na łączenie pracy z wakacyjnymi wyjazdami – tak odpowiedziało aż 54 proc. polskich pracodawców. Z drugiej strony, ten sam sondaż wykazał, że równo 3/4 polskich pracowników chętnie połączy pracę z wakacjami. Jest to dowód na to, jak bardzo pracownikom brakuje wyjazdów i odpoczynku. Skąd ten sceptycyzm u pracodawców?
Jest to bardziej wynik zakorzenionej w nas idei pracy, która musi odbywać się od 8 do 16 w biurze. Wiele zawodów można rozliczać zadaniowo i pokazuje nam to, że pracownicy, którzy mają więcej swobody, pracują wydajniej. Aby móc skutecznie zarządzić pracą na wakacjach, potrzebne są zarówno odpowiednie procedury, jak i właściwe narzędzia kontrolne umożliwiające mierzenie i raportowanie postępów prac, takie jak Zoom, Timely, Slack, czy Arkusze Google. Praca zdalna podczas wyjazdów typu bleisure czy workation może być korzystna dla firmy. Może również być bezpieczna. Ale firmy muszą się do tego przygotować i odpowiednio przeszkolić pracowników – mówi Paweł Niemyt.
W firmach ruszają cyberzbrojenia
Agresja rosyjska na Ukrainę zwiększyła zagrożenie atakami hakerskimi na kraje NATO, w tym Polskę. Prezydent Joe Biden ostrzegł, że „jednym z najczęściej używanych narzędzi Putina są cyberataki. Rosjanie mają bardzo wyrafinowane możliwości cybernetyczne”. – Polskie firmy są coraz bardziej świadome zagrożenia – informuje firma szkoleniowa Altkom Akademia, która zanotowała 170 proc. wzrost zainteresowania szkoleniami z zakresu cyberbezpieczeństwa.
Firma badawcza Check Point Research zaobserwowała na całym świecie wzrost aktywności APT (Advanced Persistent Threats). Grupy hakerskie wykorzystują temat wojny jako zachętę, gdzie wabikiem są e-maile typu spear-phishing. Maile wysyłane są w postaci artykułów prasowych, ofert pracy, podrobionych dokumentów, których otwarcie powoduje atak złośliwego oprogramowania. Ataki spear-phishingowe mają za zadanie wykradnięcie poufnych informacji, takich jak haseł dostępu lub tajemnic handlowych. Raport Check Point Research pokazuje, że miesiąc po wybuchu wojny 24 lutego 2022 r. zarówno Rosja, jak i Ukraina odnotowały wzrost liczby cyberataków o odpowiednio 10% i 17%. Zaobserwowano również 16-procentowy wzrost cyberataków na całym świecie w całym bieżącym konflikcie.
Dotychczasowe statystyki wyglądają kiepsko – tylko 25 proc. firm na polskim rynku zwiększyło w ostatnich dwóch latach wydatki na cyberbezpieczeństwo, mimo że ponad połowa polskich firm padło ofiarą mniej lub bardziej poważnego ataku.
Najbardziej zagrożone atakami są małe i średnie firmy, które mają olbrzymie braki w zabezpieczeniach. Mimo że większe przedsiębiorstwa są zazwyczaj w pełni świadome zagrożenia ze strony hakerów, to również tam zdarzają się niedociągnięcia i błędy. – mówi Dominik Węglarz, ekspert z Altkom Akademii.
Firmy zaczynają jednak coraz poważniej podchodzić do bezpieczeństwa swoich informacji. – W ostatnich tygodniach zanotowaliśmy 170 proc. wzrost zainteresowania szkoleniami z bezpieczeństwa w sieci w stosunku do zeszłego roku. – komentuje Robert Tomaszewski, Business Development Director z Altkom Akademii.
Najczęściej wybierane szkolenia dotyczą oczywiście szkoleń z certyfikatami cyberbezpieczeństwa (CEH) – są najbardziej pożądane na rynku pracy. Popularne są również szkolenia z cyber awareness, których głównym celem jest przygotowanie pracownika na ewentualne niebezpieczeństwo w obszarze kradzieży danych czy innych cyberataków. Firmy stawiają na bezpieczeństwo całej organizacji, a to właśnie pracownik jest tu najsłabszym ogniwem.