Mer hjemmekontor – store muligheter, men også risikoer
Korona-pandemien har ført til at mange bedrifter har innført utstrakt bruk av hjemmekontor. Det betyr både muligheter og utfordringer.
Dette gir store muligheter for ansatte til å holde kontakten uten å være fysisk til stede på arbeidsplassen, og prosjekter og oppgaver kan fortsette. Men hjemmekontor har også noen store sikkerhetsutfordringer. I mange virksomheter har ikke denne arbeidsformen vært vanlig praksis, og hverken virksomheten selv eller de ansatte har nødvendigvis det riktige utstyret eller kompetansen som skal til for å jobbe sikkert.
Cybertrusler er reelle og økende. Det er ingen grunn til å tro at trusselaktører ikke vil utnytte det mulighetsrommet som nå oppstår når et stort antall virksomheter og deres brukere eksponerer sine systemer, data og tilganger gjennom bruk av løsninger med svak sikkerhet. Ledelsen i berørte virksomheter må vurdere om ansatte er tilstrekkelig bevisstgjort og informert om det nye trusselbildet, og videre vurdere om virksomheten har behov for en gjennomgang og oppdatering av sin IKT sikkerhetspolicy.
Mangelfulle påloggingsløsninger til virksomhetens IKT-systemer
Mange virksomheter har mangelfulle sikkerhetsløsninger når brukere skal logge seg på virksomhetens systemer. Ofte benyttes for eksempel enkle brukernavn og passord som det vil være relativt enkelt for uvedkommende å få tak i og utnytte. Flere virksomheter, blant annet Microsoft, har skrevet om utfordringer rundt dette og hva det kan føre til. Dette utgjør en spesielt stor risiko for virksomheter som drifter kritisk infrastruktur eller kritiske samfunnsfunksjoner hvor ansatte nå sitter hjemme og administrerer IKT-systemene.
Et hjemmekontor har ikke samme sikkerhet som bedriftens vanlige løsninger. Via internett får brukere enkelt tilgang til de applikasjoner og systemer de er vant til, men tilgang til systemer og funksjonalitet er ikke det samme som at IKT sikkerhet er godt ivaretatt.
Ha et bevisst forhold til hvilket utstyr som benyttes på hjemmekontor
Den ansatte får større ansvar for sikkerheten i denne situasjonen, og bør for det første ha et bevisst forhold til hvilket utstyr som benyttes på hjemmekontoret. Er det bedriftens eget utstyr, oppdatert og konfigurert i henhold til virksomhetens policy for IKT-sikkerhet?Er utstyret ajour med de siste sikkerhetsoppdateringer? Eller risikerer man nå, i en presset situasjon, å ta noen snarveier og koble en PC som er sikkerhetsmessig utdatert opp mot kritisk infrastruktur for bedriften? Hva er mulige konsekvenser av at det blir øket ekstern drift av kritisk infrastruktur? Tillater man nå uheldige åpninger i virksomhetens brannmur for å støtte drift (f.eks. av et industrielt kontrollsystem) hjemmefra, og gir tilgang i strid med etablert praksis, helt utenfor det som er sikre soner?
Selve eierskapet til utstyret er ikke hovedpoenget her, men det er nødvendig med en vurdering av hvem som har hatt tilgang til dette utstyret, hvilken tilstand det har og hva som har vært tilkoblet av ulike «devices» (f.eks. minnepinner og andre USB-enheter). Hvilke nettsteder har vært besøkt? Skadevare kan potensielt ligge lenge inaktiv og skjult før den vekkes til live, med andre ord – utstyret kan allerede være infisert uten at man er klar over dette. Det er derfor viktig å unngå at utstyr som ikke tidligere har vært underlagt et sikkerhetsregime ukritisk kobles opp mot kritisk infrastruktur.
Et svakt punkt vil ofte være hvilke løsninger som benyttes for tilgang. Vanlige hjemmenettverk kan i mange tilfeller ha svakere sikkerhet enn bedriftens eget nettverk, og tilganger bør alltid sikres med en form for VPN løsning. Flere leverandører tilbyr løsninger for dette. Videre bør all aksess inn mot bedriftens løsninger benytte en form for 2-faktor autentisering, med bruk av både passord og en kode f.eks. via SMS.
Unngå ”hjemmekontor” fra åpne og offentlige nettverk
«Hjemmekontor» basert på et tilfeldig gratis trådløst nett bør i alle tilfeller unngås! Tenk også igjennom – hvordan er hjemmenettverket konfigurert, hva er sikkerhetskravene for å koble seg til og hvilke enheter er de facto tilkoblet? Det er f.eks. ikke sikkert at naboen eller barnas venner bør ha tilgang til ditt trådløse nett når du benytter nettet til å behandle sensitiv informasjon for virksomheten.
Det er også betimelig å minne om at sterke og unike passord er viktig - det som var et enkelt og lettvint passord å benytte så lenge man befant seg innenfor virksomhetens brannmur er ikke nødvendigvis godt nok når man logger seg på via internett.
Hvor er data lagret?
Overføring og lagring av data er et område som krever en høy grad av bevissthet. Det finnes enkle og lett tilgjengelige lagringsløsninger i «skyen», men skylagring knyttet til private kontoer kan eksponere bedriftsopplysninger mer enn ønskelig. Spørsmålet er om løsningen tilfredsstiller virksomhetens krav til kontroll og beskyttelse av dataene? Data som potensielt er sensitive kan nå bli behandlet og lagret på utstyr eller på lokasjoner som ikke er en del av virksomhetens hovedsystem og ikke under tilfredsstillende kontroll. Disse løsningene vil ikke nødvendigvis være like godt sikret som de som er en del av virksomhetens etablerte løsninger, og bruken innebærer åpenbart en øket risiko for kompromittering. Anbefalingen er at det alltid gjøres en risikovurdering av hvor data er lagret.
Med hjemmekontoret kommer altså flere nye usikkerhetsmomenter inn: Hva er den tekniske tilstanden på utstyret som benyttes, hvordan sikres nettverk og tilganger og hvordan autentiseres brukeren når denne befinner seg i en ikke sikker sone.
Kanskje gjør pandemi-situasjonen at man er villig til å akseptere noen avvik fra virksomhetens normale sikkerhetsstandard. Men - norske virksomheter bør uansett ha et våkent og bevisst forhold til hvor mye risiko man ønsker å ta. Tidspunktet for å ta grep er nå.