Τηλεργασία και Ασφάλεια: Μερικά Χρήσιμα Συμπεράσματα

Η πανδημία της Covid-19 τους τελευταίους 20 μήνες σε παγκόσμιο επίπεδο, έφερε τους οργανισμούς αντιμέτωπους με πολλές νέες προκλήσεις.

Τα μέτρα για την αντιμετώπιση της πανδημίας, επέβαλαν σε ένα μεγάλο ποσοστό του εργατικού δυναμικού την τηλεργασία. Οι οργανισμοί για να ανταπεξέλθουν στις αλλαγές αυτές έπρεπε να διαθέσουν στους εργαζομένους τον απαραίτητο εξοπλισμό.

Με την εφαρμογή των παραπάνω οι οργανισμοί, συχνά με τον δύσκολο τρόπο, έμαθαν πώς να βοηθούν το προσωπικό τους να εργάζεται ασφαλώς απομακρυσμένα. Καθώς η πανδημία συνεχίστηκε, η τηλεργασία έγινε πιο διαδεδομένη και αποτελεί πλέον τον βασικό τρόπο λειτουργίας για πολλές επιχειρήσεις.

Είναι σημαντικό να αναφερθεί ότι δημιουργήθηκαν και εφαρμόζονται έως και σήμερα νέα μοντέλα εργασίας. Ειδικότερα, εφαρμόζεται μοντέλο εργασίας που επιτρέπει την πλήρη απασχόληση από το σπίτι. Υπάρχει όμως και η δυνατότητα του υβριδικού μοντέλου εργασίας. Σε αυτή την περίπτωση, το προσωπικό δουλεύει από το γραφείο 1 ή 2 ημέρες την εβδομάδα.

Πλέον έχει γίνει αντιληπτή η σημασία της βελτίωσης των μέτρων ασφάλειας που εφαρμόζονται για την τηλεργασία. Με τον τρόπο αυτό διασφαλίζεται ότι τα δεδομένα των οργανισμών θα παραμείνουν προστατευμένα και εκτός των εγκαταστάσεων τους.

Τηλεργασία και ασφάλεια: Τι έμαθαν οι οργανισμοί.

Οι οργανισμοί για να προσαρμοστούν στις συνθήκες που δημιουργήθηκαν από την τηλεργασία αντιλήφθηκαν ότι έπρεπε να επαναπροσδιορίσουν τις τεχνικές και τα μέτρα τους σχετικά με την ασφάλεια.

Από ένα μεγάλο μέρος του προσωπικού που εργάζονταν από το σπίτι δεν έγινε άμεσα αντιληπτό ότι οι ίδιες πρακτικές ασφαλείας που εφαρμόζονταν στο γραφείο έπρεπε να εφαρμοστούν και στην τηλεργασία. Η ανάγκη της προστασίας των εμπιστευτικών πληροφοριών δεν εξαφανίστηκε όταν το προσωπικό άρχισε να εργάζεται εξ αποστάσεως.

Έτσι, δημιουργήθηκε η ανάγκη ανάπτυξης στρατηγικής ευαισθητοποίησης αναφορικά με την ασφάλεια των εμπιστευτικών πληροφοριών. Σκοπός της  στρατηγικής ήταν να κατανοήσουν οι εργαζόμενοι ότι η εφαρμογή των μέτρων ασφάλειας του εργασιακού χώρου πρέπει να εφαρμοστούν και στην τηλεργασία.

Μπορεί να μην απαιτείται από το προσωπικό να τηρεί αρχεία καταγραφής επισκεπτών για οποιονδήποτε επισκέπτεται το σπίτι του. Ωστόσο, οφείλει να γνωρίζει που αποθηκεύονται οι εμπιστευτικές πληροφορίες του οργανισμού και ποιοι έχουν πρόσβαση στους χώρους αυτούς.


Για την επιχειρησιακή συνέχεια των οργανισμών, έπρεπε να διασφαλιστεί, ότι το προσωπικό εξακολουθεί να εργάζεται αποτελεσματικά και με ασφάλεια.

Για παράδειγμα, όταν απαιτείται η εκτύπωση δεδομένων από προσωπικό που εργάζεται απομακρυσμένα, ο οργανισμός θα πρέπει να εξετάσει το ενδεχόμενο να του παρέχει νέες οδηγίες για την προστασία αυτών των δεδομένων. Ειδικότερα, θα πρέπει να δοθούν οδηγίες για την ασφάλιση των έντυπων αντιγράφων. Επιπλέον, θα μπορούσε να εξεταστεί το ενδεχόμενο να παρέχεται καταστροφέας εγγράφων για την ορθή καταστροφή των εκτυπωμένων πληροφοριών που δεν είναι πλέον αναγκαίες. Προβλέψεις όπως οι παραπάνω αποτρέπουν τη λανθασμένη διαχείριση δεδομένων του οργανισμού.


Κατά την εργασία στο γραφείο, υπενθυμίζεται συνεχώς στο προσωπικό να κλειδώνει τους σταθμούς εργασίας του όταν τους αφήνει χωρίς επίβλεψη. Επιπλέον, τονίζεται η σημασία της μη κοινής χρήσης χώρου ή εξοπλισμού με άλλους υπαλλήλους.


Ωστόσο, όταν το προσωπικό εργάζεται από το σπίτι, είναι πιο πιθανό να επιτρέπει σε μέλη της οικογένειας του (ιδίως στα παιδιά) να χρησιμοποιούν τον εταιρικό υπολογιστή του για ψυχαγωγικές δραστηριότητες κ.α.


Ακόμη και πριν από την πανδημία, οι οργανισμοί γνώριζαν ότι ο εταιρικός εξοπλισμός χρησιμοποιούνταν και από άλλα μέλη της οικογένειας του εργαζόμενου. Αυτό είχε ως αποτέλεσμα τη σημαντική αύξηση της πιθανότητας μόλυνσης των συστημάτων του οργανισμού από κακόβουλο λογισμικό.

Στην πλειονότητα των περιπτώσεων, τα μέλη της οικογένειας δεν επεξεργάζονται δεδομένα εργασίας. Ωστόσο, είναι πιο πιθανό να επιλέξουν συνδέσμους ή να προβούν σε ενέργειες (εγκατάσταση εφαρμογής) χωρίς να λάβουν υπόψη τις επιπτώσεις στην ασφάλεια.


Οι οργανισμοί προστατεύονται από τέτοιου είδους κινδύνους, αποκλείοντας με διάφορες πολιτικές κακόβουλους ιστοτόπους. Επιπρόσθετα, χρησιμοποιούν συστήματα εντοπισμού ιών και κακόβουλων λογισμικών και δεν παρέχουν πρόσβαση με δικαιώματα διαχειριστή στους χρήστες.


Τηλεργασία και ασφάλεια: Ο σημαντικός ρόλος των VPN.

Για την προστασία των εταιρικών δικτύων και εφαρμογών από κινδύνους, λόγω της χρήσης των οικιακών δικτύων, οι οργανισμοί επέκτειναν τη χρήση των εικονικών ιδιωτικών δίκτυων (Virtual Private Network).

Τα VPN διασφαλίζουν ότι η επικοινωνία από το οικιακό προς το εταιρικό δίκτυο προστατεύεται από επιθέσεις και υποκλοπές. Επιπλέον, αξίζει να αναφερθεί ότι η πρόσβαση στο εταιρικό δίκτυο και σε εφαρμογές μέσω VPN επιτρέπεται μόνο σε εξουσιοδοτημένους χρήστες.

Είναι γνωστό ότι οι οργανισμοί εξαρτώνται σε μεγάλο βαθμό από web εφαρμογές τρίτων, όπως το Microsoft Office 365. Αυτές οι εφαρμογές δεν βρίσκονται στο δίκτυο του οργανισμού.


Αυτες οι εφαρμογές, συχνά διαμορφώνονται και εγκρίνονται από τους οργανισμούς. Το προσωπικό δεν απαιτείται να συνδεθεί μέσω VPN για να τις χρησιμοποιήσει. Επίσης, συμβαίνει συχνά το προσωπικό να μην συνδέεται τακτικά μέσω VPN στο εταιρικό δίκτυο. Αυτό έχει ως αποτέλεσμα πολλές από τις εφαρμογές προστασίας για τους σταθμούς εργασίας τους να μην ενημερώνονται. Επομένως, οι συσκευές που χρησιμοποιούνται κατά την τηλεργασία είναι λιγότερο πιθανό να επιδιορθωθούν. Ακόμη, δεν ενημερώνονται τακτικά οι εφαρμογές προστασίας από ιούς και δεν παρέχονται αρχεία καταγραφής ελέγχου από τα συστήματα πληροφοριών ασφαλείας και διαχείρισης συμβάντων (SIEM – Security Information and Event Management) που χρησιμοποιούν οι οργανισμοί.


Οι οργανισμοί για να αντιμετωπίσουν τα παραπάνω έχουν εφαρμόσει σαφείς οδηγίες και πολιτικές για το προσωπικό που εργάζεται απομακρυσμένα. Συνιστούν στους εργαζόμενους να συνδέονται τακτικά στο VPN. Με αυτό τον τρόπο θα μπορούν να λαμβάνουν τις κατάλληλες ενημερώσεις και να συνδέονται με ασφάλεια στο εταιρικό δίκτυο. Ταυτόχρονα, κάνουν τις κατάλληλες ρυθμίσεις του SIEM, για να ενημερώνεται κατάλληλα ο Οργανισμός, όταν οι σταθμοί εργασίας δεν συνδέονται τακτικά.


Η πρόκληση της κατανόησης των δικτύων από την πλευρά του προσωπικού.

Μια άλλη πρόκληση που αντιμετωπίζουν οι οργανισμοί είναι η έλλειψη κατανόησης των δικτύων που χρησιμοποιεί το προσωπικό τους κατά τη διάρκεια της τηλεργασίας.


Τα μη εταιρικά δίκτυα είναι συνήθως λιγότερο ασφαλή από τα δίκτυα του οργανισμού. Αυτό συμβαίνει καθώς συνδέονται σε αυτά άγνωστοι χρήστες και συσκευές. Επομένως, όταν το VPN είναι ενεργοποιημένο, το προσωπικό συνδέεται με ασφάλεια από το οικιακό στο εταιρικό δίκτυο του οργανισμού. Ένα VPN μπορεί να μειώσει σημαντικά τον όγκο της κίνησης που αποστέλλεται στο δίκτυο του οργανισμού. Επίσης, δημιουργεί πρόσθετες διαδρομές επίθεσης που προέρχονται από το μη αξιόπιστο οικιακό δίκτυο στο δίκτυο του οργανισμού.

Οι οργανισμοί γνωρίζουν ότι υπάρχουν και άλλου είδους μέτρα ασφαλείας που μπορούν να βοηθήσουν το προσωπικό που βρίσκεται σε τηλεργασία.

Έχει παρατηρηθεί ότι η εφαρμογή τεχνολογιών όπως ο έλεγχος ταυτότητας πολλαπλών παραγόντων (Multi Factor Authentication – MFA), η πλήρης κρυπτογράφηση και οι διαμεσολαβητές ασφαλείας πρόσβασης στο cloud (Cloud Access Security Broker – CASB) μπορούν να βοηθήσουν σημαντικά στον έλεγχο της πρόσβασης στα δεδομένα του οργανισμού. Για παράδειγμα, το μεγαλύτερο μέρος του προσωπικού που εργάζεται απομακρυσμένα, χρησιμοποιεί τη μέθοδο MFA. Με την μέθοδο αυτή, εκτελεί διάφορες ηλεκτρονικές τραπεζικές συναλλαγές και άλλες εφαρμογές.


Η χρήση της μεθόδου MFA στα πληροφοριακά αγαθά των οργανισμών, συμπεριλαμβανομένου των δικτύων τους και των web εφαρμογών τρίτων που χρησιμοποιούν, ενισχύει σημαντικά την ασφάλειά τους. Η μέθοδος MFA δεν απαιτεί σημαντική γνώση τεχνολογίας και μπορεί εύκολα να χρησιμοποιηθεί από το προσωπικό. Επιπλέον, η πλήρης κρυπτογράφηση των σκληρών δίσκων μπορεί να ενεργοποιηθεί χωρίς την συμβολή των χρηστών. Ταυτόχρονα διασφαλίζεται ότι όλα τα δεδομένα εντός της συσκευής προστατεύονται σε περίπτωση απώλειας ή κλοπής.


Το CASB βοηθά στην παρακολούθηση και τον περιορισμό της πρόσβασης σε εφαρμογές cloud τρίτων. Αυτές οι δυνατότητες αυξάνουν τον έλεγχο που έχει η επιχείρηση στην πρόσβαση του προσωπικού που εργάζεται απομακρυσμένα.


Οι οργανισμοί πρέπει να διασφαλίσουν την κατάλληλη εκπαίδευση του προσωπικού τους που βρίσκεται σε τηλεργασία.

Η ευαισθητοποίηση σχετικά με την κυβερνοασφάλεια παραμένει ένας από τους καλύτερους τρόπους για την προστασία των εταιρικών δικτύων και αγαθών. Με αυτό τον τρόπο ενισχύεται η αποτελεσματική και ασφαλής εργασία του προσωπικού.


Η ευαισθητοποίηση του προσωπικού σχετικά με την ασφάλεια θα πρέπει να περιλαμβάνει τεχνολογίες ασφάλειας. Σε αυτές ανήκουν η χρήση της μεθόδου MFA και του VPN. Ωστόσο, η εκπαίδευση θα πρέπει να περιλαμβάνει και την επιχειρησιακή ασφάλεια (Operations Security – OPSEC). Μέσω εκείνης, θα υπενθυμίζεται στο προσωπικό ότι πρέπει να ακολουθεί συγκεκριμένες οδηγίες και πολιτικές.

Οι επίσημες νομοθεσίες και ο ρόλος της Αρχής Προστασίας Προσωπικών Δεδομένων στην Τηλεργασία

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ήδη από τις 15/04/2020 εξέδωσε Κατευθυντήριες Γραμμές για τη λήψη μέτρων ασφαλείας στο πλαίσιο τηλεργασίας. Αυτές οι κατευθύνσεις έχουν ως στόχο την ευαισθητοποίηση των υπευθύνων επεξεργασίας, των εκτελούντων επεξεργασία, των εργαζομένων και γενικότερα του κοινού αναφορικά με τους κινδύνους που αφορούν την προστασία των προσωπικών δεδομένων. Ταυτόχρονα, αναφέρουν και τις σχετικές υποχρεώσεις που απορρέουν από τον Γενικό Κανονισμό Προστασίας Δεδομένων 2016/679 και τον νόμο 4624/2019.


Εν συνεχεία και λόγω της παρατεταμένης διάρκειας της Πανδημίας της Covid 19, δημιουργήθηκαν νέες ανάγκες λειτουργίας τόσο του ιδιωτικού όσο και του δημόσιου τομέα. Στις 11/06/2021 εκδόθηκε ο Νόμος 4807/2021, ο οποίος  όρισε το θεσμικό πλαίσιο της τηλεργασίας. Επίσης, όρισε διατάξεις για το ανθρώπινο δυναμικό του δημοσίου τομέα και άλλες επείγουσες ρυθμίσεις.


Τέλος με τον Νόμο 4808/2021 οροθετήθηκαν και νομικά οι υποχρεώσεις των εργοδοτών έναντι των εργαζομένων που παρέχουν απομακρυσμένα τις υπηρεσίες τους.


Όλα αυτά πρέπει να ληφθούν υπόψη στη ρύθμιση του πλαισίου τηλεργασίας για τους οργανισμούς.


Τηλεργασία και ασφάλεια: Συμπερασματικά

Η τηλεργασία ως μοντέλο εργασίας έχει υιοθετηθεί πλέον από πολλούς οργανισμούς. Σε αυτό το διάστημα, έχουν ληφθεί σημαντικά μέτρα για τη βελτίωση της ασφάλειας έναντι των απειλών του κυβερνοχώρου.


Υπάρχουν πολλές τεχνικές λύσεις που μπορούν να βοηθήσουν στην επίτευξη της ασφάλειας. Για παράδειγμα η χρήση VPN, η ενεργοποίηση του ελέγχου ταυτότητας πολλαπλών παραγόντων, η κρυπτογράφηση των σκληρών δίσκων των συσκευών, η αξιοποίηση υπηρεσιών όπως το CASB και άλλα. Ένα όμως από τα πιο σημαντικά μέτρα είναι η κατάλληλη εκπαίδευση και ενημέρωση του προσωπικού σχετικά με τις οδηγίες και πολιτικές που πρέπει να ακολουθούν για την προστασία των δεδομένων του οργανισμού.


Είναι σημαντικό να υπενθυμίζεται στο προσωπικό που βρίσκεται σε τηλεργασία ότι είναι υπεύθυνο για την τήρηση των κατευθυντήριων γραμμών ασφαλείας που έχουν θεσπιστεί από τον Οργανισμό. Επίσης, το προσωπικό είναι εξίσου υπεύθυνο για την προστασία των αγαθών που του έχουν ανατεθεί.

Δείτε το infographic μας για την Τηλεργασία και Ασφάλεια

Έχει προετοιμάσει κατάλληλα ο Οργανισμός σας το προσωπικό που βρίσκεται σε τηλεργασία, έτσι ώστε να ακολουθεί τα κατάλληλα μέτρα για την ασφάλεια των δεδομένων σας;

Tags: