Korona i biznis
27. ožujak 2020.

Zaposlenici rade od kuće? Evo kako morate zaštititi računala od curenja poslovnih podataka 

informacijska sigurnost   
piše Natalija Parlov Una
una@apicura.hr
piše Natalija Parlov Una [email protected]

Zbog situacije s koronavirusom odnosno COVID-19, velik broj poslodavaca suočen je s odlukom hitnog uvođenja načina rada od kuće. Iako to izgleda vrlo jednostavno (kupi laptop i vozi doma radit dalje), iza toga u velikom broju slučajeva stoji značajan angažman prilagodbe samog sustava i prihvaćanja visoke razine rizika informacijske sigurnosti odnosno mogućnosti curenja poslovnih podataka i poslovnih tajni, ali i kompromitiranja podataka zloćudnim softverima.

Rad od kuće kao ad hoc rješenje organizacijama koje nemaju uvedene sustave upravljanja informacijskom sigurnosti, poput primjerice ISO 27001, znači donošenje brzih odluka u svrhu osiguravanja kontinuiteta poslovanja bez mogućnosti temeljite procjene rizika i planova za njihovu obradu. Velik broj tih rizika odnosi se na kibernetičku sigurnost, osobito kod korištenja prijenosnih računala ili kućnih računala zaposlenika.

Fokus smanjivanja rizika od curenja ili kompromitiranja podataka u situaciji brze promjene načina rada i radnog okruženja trebao bi biti na podizanju svjesnosti o osjetljivosti i nužnosti zaštite poslovnih podataka te smanjivanju rizika od kibernetičkih prijetnji. To podrazumijeva konkretne upute zaposleniku o čuvanju poslovnih tajni i poslovnih podataka te upute vezane uz podizanje razine kibernetičke sigurnosti.

Čuvanje poslovnih tajni i osjetljivost poslovnih podataka je relativno lako shvatljiva materija, no s kibernetičkom sigurnosti postoje značajni izazovi, a uspješnost postizanja njezine željene razine ovisit će i o vašoj moći osobnog prenošenja tog imperativa samim zaposlenicima, ne samo propisivanjem pravilnika.

Zašto je to tako? Rad u uredu podrazumijeva kontrolirano okruženje u kojem poslodavac sam određuje i definira razinu informacijske sigurnosti, dok zaposlenik radi posao za koji je zadužen bez obveze razmišljanja i o tim aspektima. Rutine koje pojedinac koristi u svom svakodnevnom životu vezane uz zaštitu podataka pri korištenju svog vlastitog računala uvelike se razlikuju od osobe do osobe. Tu također treba uzeti u obzir i da u jednom kućanstvu često više osoba koristi jedno kućno računalo u različite svrhe, a službena prijenosna računala često su dostupna i ostalim ukućanima.

Kod rada od kuće velik udio razine sigurnosti tog mikro-informacijskog sustava ovisit će o stvarnoj informatičkoj rutini zaposlenika kao privatne osobe. Tu ćemo naići na korištenje kućne WiFi mreže (koja je često nezaključana ili djelomično kontrolirana), nedostatak antivirusnih programa i slično; kao i nemogućnost kontroliranja otvaranja e-mailova sa zloćudnim softverom (poput phishinga) koji u svojim naslovima i sadržajima lažno izvještavaju o situaciji s korona virusom.

Kako biste se što bolje pripremili za ove nove okolnosti, prenosim smjernice za kibernetičku sigurnost vezane uz rad od kuće izdane od američke Savezne trgovinske komisije (FTC) te britanskog Nacionalnog centra za kibernetičku sigurnost (NCSC).

  1. Važno je poznavanje osnova kibernetičke sigurnosti. Uputite zaposlenike da ažuriraju antivirusni softver, a svi uređaji i aplikacije kojima pristupaju poslovnim podacima moraju biti zaštićeni dugačkim, jakim i jedinstvenim lozinkama (najmanje 12 znakova koji su kombinacija brojeva, simbola te velikih i malih slova).
  2. Osigurajte da je kućna WiFi mreža sigurna ukoliko se spajaju putem nje. Započnite s routerom na kojem mora biti osigurano da je uključena enkripcija WPA2 ili WPA3. Enkripcija je šifriranje podataka koji se odašilju putem bežične mreže u svrhu onemogućavanja njihovog čitanja od treće strane. Ukoliko router nema opciju enkripcije WPA2 ili WPA3, pokušajte ažurirati njegov softver i tada provjeriti da li opcija postoji ili ga zamijeniti ukoliko ne može postići tu razinu enkripcije.
  3. Pazite na prijenosna računala. Uputite zaposlenike da prijenosno računalo mora biti zaštićeno lozinkom, da je uvijek ostavljeno na sigurnom mjestu te da ima podešeno automatsko zaključavanje u kratkom roku od prestanka rada na njemu (maksimalno 10 minuta).
  4. Sigurno pohranjivanje fizičkih osjetljivih podataka. Uputite zaposlenike da u slučaju fizičkog prenošenja povjerljivih informacija iz ureda u svoj dom, dokumente čuvaju izvan dosega drugih ljudi te da su povjerljivi dokumenti spremljeni pod ključem.
  5. Uništavanje fizičkih osjetljivih podataka. Uputite zaposlenike da ne bacaju osjetljive dokumente u kante za smeće ili kontejnere nakon što im više nisu potrebni za rad. Dokumente je prije bacanja u smeće potrebno prethodno fizički uništiti do neprepoznatljivosti (rezačem papira ili slično). Odbačeni cjeloviti dokumenti s osobnim podacima kupaca ili samih zaposlenika mogu biti laka meta kradljivcima identiteta, a vi ste u tom slučaju odgovorna osoba koja nije osigurala organizacijske i tehničke aspekte osiguravanja njihove sigurnosti, za što imate pravnu odgovornost.
  6. Napravite sigurnosne politike s procedurama i pravilima. Dom vašeg zaposlenika ovim načinom rada postao je produžetak vašeg ureda. Implementirajte protokole koje će zaposlenici slijediti kako biste na minimum smanjili vjerojatnost curenja podataka. Procedure i pravila, ukoliko ste u mogućnosti, i osobno prenesite zaposlenicima te osigurajte način na koji ćete provjeriti da su razumjeli sve što se od njih traži kao i razloge zašto se to od njih sad traži na taj način.
  7. Osigurajte da djelatnici prepoznaju sumnjive e-mailove. Uputite zaposlenike da ne nasjedaju na sadržaj koji ih upućuje na otvaranje privitaka u e-mailovima od neprovjerenih pošiljatelja. Definirajte bazu provjerenih pošiljatelja i zatražite ih da vas informiraju o e-mailovima koje zaprime od nepoznatih pošiljatelja prije poduzimanja ikakvih aktivnosti. Sve učestaliji su e-mailovi s najnovijim obavijestima o korona virusu i novim načinima zaštite protiv njega koji sadrže linkove na zloćudne internetske stranice. S vremenom će i sami naučiti prepoznavati prijetnje te vrste.

No, što ako je djelatnik unatoč svim uputama ipak pokupio računalni virus jer je otvorio phishing mail? Najvažnije je da ga uputite da vam to odmah javi. Potom ga uputite da napravi dubinski sken sustava antivirusnim programom i slijedi upute koje će mu program predložiti. Preporučljivo je da nakon toga promijenite sve pristupne lozinke jer postoji mogućnost da je zloćudni softver, prije nego što ga je antivirusni program uklonio, poslao te podatke trećoj strani.

Zapamtite, ne postoji sto postotna sigurnost; postoji samo smanjenje rizika pametnim korištenjem dostupnih tehnologija. Faktor koji će uvijek predstavljati najveći rizik je zapravo – čovjek; i od te početne točke uvijek krenite u planiranju svog sustava informacijske sigurnosti.

Natalija Parlov Una, doktorandica Međunarodnih odnosa te stručnjakinja za informacijsku sigurnost i bihevioralni digitalni marketing. Autorica je brojnih znanstvenih i stručnih radova iz područja informacijske sigurnosti, bihevioralnog marketinga, plasmana na vanjska tržišta i međunarodnih odnosa. Konzultantica je inozemnim i domaćim tvrtkama te institucijama u poljima procesne forenzike, informacijske sigurnosti, bihevioralne marketinške analitike te usklađivanja poslovanja s europskom pravnom regulativom. Auditorica je najveće njemačke certifikacijske kuće TÜV NORD za međunarodne standarde sustava upravljanja informacijskom sigurnosti ISO 27001, sustava upravljanja društvenom sigurnosti i kontinuitetom poslovanja ISO 22301, sustava upravljanja kvalitetom ISO 9001 te sustava upravljanja za suzbijanje podmićivanja ISO 37001. Direktorica je dviju tvrtki: PARLOV Digital Intelligence za bihevioralni digitalni marketing te APICURA Business Intelligence za informacijsku sigurnost i usklađivanje s europskom pravnom regulativom. LinkedIn