Innlegget er tidligere publisert i Finansavisen.

Samfunnet er i ferd med å vende tilbake til normal tilstand etter at pandemien nå er under kontroll. Mange som i lengre perioder har jobbet hjemmefra, vil nå etterhvert returnere til sin vanlige arbeidsplass. Det betyr at endel PCer og utstyr som lenge har vært på hjemmekontorer nå bringes tilbake til virksomheten og igjen kobles opp mot sentrale nettverk.

Denne situasjonen kan det være noen som vil prøve å utnytte. For datautstyr blir ikke nødvendigvis sikkerhets oppdatert når det ikke er koblet til på jobb og mange har endret sikkerhetskultur på hjemmekontor når jobb-pc i langt større grad også brukes til private aktiviteter. Man besøker helt andre nettsteder, leser privat e-post og laster ned vedlegg som man kanskje ikke ville gjort i arbeidstiden på kontoret.

Mange går kanskje over i en situasjon hvor de i større grad bytter på mellom å jobbe hjemme og på kontoret. Hvordan håndteres utstyr som bringes frem og tilbake mellom hjemmet og jobb?

Vi i Nasjonal sikkerhetsmyndighet vil minne om at en slik situasjon skaper usikkerhet om sikkerhetstilstanden for dette IT utstyret.                    

Unngå at utstyr som har vært på hjemmekontor tar med skadevare tilbake til jobben.

NSM anbefaler følgende sikkerhetstiltak for utstyr fra hjemmekontor som nå bringes tilbake til virksomheten:

  • Sikre at alt utstyr er oppdatert med siste versjoner av programvare.
  • For utstyr som har stått på hjemmekontor som en improvisert løsning, kan det være hensiktsmessig å reinstallere all programvare (såkalt «re-tanking») dersom du ikke er trygg på den sikkerhetsmessige tilstanden.
  • Krev at brukere bytter passord når maskiner flyttes tilbake fra hjemmekontor etter lengre fravær, med mindre du har hatt god kontroll på sikkerheten underveis.
  • Styrk sikkerheten i infrastruktur og løsninger. Bruk VPN og to-faktor pålogging når man jobber fra nett utenfor virksomheten.
  • Begrens tilganger og rettigheter. Det kan være brukere som midlertidig, av praktiske årsaker har fått administrator-rettigheter.
  • Gjennomfør en intern kampanje for økt bevisstgjøring av alt personell om IKT sikkerhet. En enkel måte å øke sikkerhetsforståelse på er å gå igjennom en sjekkliste med ansatte.

Flere utfyllende råd finner du i NSMs Grunnprinsipper for IKT-sikkerhet v. 2.0.