A távmunkásokon bukhat a biztonság
Az IWG irodai szolgáltatásokkal foglalkozó vállalat globális felmérése szerint a munkavállalók 70 százaléka minimum heti egy napon, 53 százalékuk pedig munkaideje legalább felében távolról dolgozik. A koronavírus következtében azonban egyre több cég rendel el kötelező home office-t, így ez az arány napjainkban még nagyobb. A távmunkának számos előnye van, a vállalati adatokra nézve azonban akár egyetlen személy is kockázatot jelenthet, ha nem tartja be a szükséges biztonsági szabályokat. Ez pedig könnyen előfordulhat, mivel az alkalmazottak közel fele nem érzi elég felkészültnek magát ahhoz, hogy minden esetben be tudja tartani az előírásokat. Az incidensek elkerülése érdekében ezért olyan biztonsági stratégiára van szükség, amely támogatja és nem pedig gátolja az eredményes munkavégzést, így elkerülhető, hogy a dolgozók kiskapukat keressenek. Ezek a főbb megállapításai a Kingston Technology adatbiztonsági és távmunka-szakértők bevonásával végzett friss tanulmányának, amelyben a vállalat összegyűjtötte a mobil munkaerő biztonsági kihívásait, és bemutatja, a cégek hogyan tudják legyőzni ezeket.
Az adatvédelem még mindig probléma
Ma már minden alkalmazott elérheti munkahelyi e-mailjeit saját okostelefonján, dolgozhat otthonról vagy kedvenc kávézójából, sőt, az értékesítők akár az ügyfél telephelyéről is hozzáférhetnek a szükséges üzleti adatokhoz. A távmunka bevett szokássá vált, amelynek előnye, hogy javítja a hatékonyságot, nagyobb megtartó erővel bír, csökkenti a vállalatok működési költségeit, és kevésbé terheli a környezetet. Ez a fajta munkavégzés azonban számos kockázattal is járhat, ezért a hatékony biztonsági stratégia kialakítása a szervezetek védelme és a GDPR-megfelelés szempontjából egyaránt fontos.
Az EY legutóbbi riportja rávilágít, hogy az adatkezelési incidensek még mindig problémát jelentenek. A tanácsadó cég adatai szerint 2018 májusa óta több mint 140 millió forint értékben szabtak ki GDPR-bírságokat Magyarországon, a NAIH pedig eddig összesen 58 alkalommal bírságolt meg hazai vállalatokat, esetenként átlagosan 2,5 millió forint értékben. Ez azt mutatja, hogy a legtöbb szervezet késik a GDPR-megfeleléshez szükséges IT-fejlesztések végrehajtásával, amivel további bírságokat kockáztatnak. A cégvezetőknek tehát nem szabad megfeledkezniük arról, hogy a vállalat számára fenyegetést jelenthet a távmunka és a saját eszközök használata a céges rendszerek elérésére. A Kingston 2019-es felmérése szerint az adatvédelmi szigorítások ellenére az IT-szakemberek 80 százalékát továbbra is aggasztják a távmunkából eredő biztonsági veszélyek. Ennek ellenére a vállalatoknak csupán 71 százaléka ellenőrzi rendszeresen, hogy dolgozói milyen külső adathordozókat és hogyan használnak.
Nem elég tájékozottak a munkavállalók
A vállalatok jellemzően nehezen tudnak lépést tartani a technológiai fejlődés általános ütemével belső rendszereik és eszközeik kapcsán. Az Avast 2018-as Mobile Workforce kutatásából kiderül, hogy a KKV-k által távmunkában alkalmazottak 38 százaléka úgy érzi, nem rendelkezik megfelelő technológiai támogatással vagy szakértelemmel ahhoz, hogy az előírásoknak megfelelően dolgozhasson otthonról vagy valamilyen nyilvános helyről. Márpedig, ha az adatbiztonsági protokollok kidolgozásakor nem a hatékony munkavégzés támogatása az elsődleges szempont, akkor a munkatársak kiskapukat keresnek, például a Slack vagy a Dropbox alkalmazásban, személyes e-mail fiókban vagy saját USB-n tárolják a kényes üzleti adatokat. Ezzel pedig megsértik a cég adatvédelmi szabályait, és biztonsági kockázatnak teszik ki a szervezetet.
A veszélyek elkerülése érdekében a cégeknek meg kell vizsgálniuk, beosztottaik továbbítanak-e adatokat a szervezeten kívülre, megfelelően védettek-e a hardvereik és biztonságosak-e a szoftvereik. Ugyanakkor fontos észben tartaniuk, hogy a távmunka nem feltétlenül otthoni munkavégzést jelent. A nyilvános wifi-hálózatok paradicsomi feltételeket kínálnak a hackereknek, és az egyes személyeket célzó adathalász e-mailek is egyre kifinomultabbak. Ezért a vállalatvezetők dolga, hogy olyan tudással és eszközökkel vértezzék fel munkavállalóikat, amelyekkel beazonosíthatják és kiküszöbölhetik az ilyen kockázatokat.
A biztonságos IT-infrastruktúra elemei
Szerencsére ma már léteznek olyan megfizethető technológiai megoldások, amelyek a hatékonyság fenntartása mellett egyszerűsítik a távmunkával járó biztonsági kockázatok kezelését. Ehhez a cégeknek nem kell feltétlenül új termékeket bevezetniük, hanem sokkal inkább a megfelelő eszközöket kiválasztaniuk.
- Titkosított merevlemezek vagy SSD-k használata: Számítógép vagy laptop használata esetén érdemes titkosított meghajtókat választani, akár merevlemezt, akár SSD-t. Így a vállalati adatokkal akkor sem lehet visszaélni, ha az eszközt ellopják vagy elvesztik. Ráadásul adatvédelmi incidens esetén a helyi hatóság is kedvezőbb elbírálásban részesíti a vállalatot, ha bizonyíthatóan tett óvintézkedéseket adatai védelmére.
- A megfelelő szállítók kiválasztása: Megszámlálhatatlan gyártó és szállító tevékenykedik az IT-biztonsági megoldások piacán. Csak alapos kutatást követően érdemes választani az adott területet szakértő módon ismerő, jó referenciákkal rendelkező, megbízható megoldásszállítók közül.
- VPN: Ha a szervezet védelméhez virtuális magánhálózatra van szükség, akkor a megfelelő személyek számára a megfelelő eszközöket biztosítva jelentősen mérsékelhető a kockázat. A VPN különösen fontos az olyan felhasználók számára, akik nyilvános wifi-hálózaton keresztül érik el a vállalat adatait.
- DLP-szoftver és titkosított USB-kulcsok: Szinte minden DLP (Data Loss Prevention) szoftvercsomag lehetővé teszi a hálózati hozzáférés korlátozását. Ezzel együtt hasznos engedélyezési listát készíteni egyes eszközökről, például az egyedileg beazonosítható titkosított USB-kulcsokról. Ezek ellopása vagy elvesztése esetén is biztosak lehetünk afelől, hogy senki nem fér hozzá a titkosított fájlokhoz, sőt az elvesztett pendrive távolról megsemmisíthető.
„A megfelelő technológia csupán egy része a megoldásnak. Az igazi kérdés az, hogyan viselkednek a kollégák, amikor senki nem látja őket. A biztonság ezért legalább annyira a munkahelyi kultúrán is múlik, mint a technológián. A szükséges oktatás nélkül a dolgozók pusztán bosszantó nyűgnek fogják tartani a GDPR-t, a PECR-t1 és a többi adatvédelmi szabályt" – mutatott rá Rob Allen, a Kingston Technology marketingért és műszaki szolgáltatásokért felelős igazgatója.
A Kingston szerint a szervezeteknek a következő szempontokra ajánlott ügyelniük dolgozóik felkészítésekor:
- Magyarázzuk el a szabályok mögötti szándékot: Az emberek nehezen fogadják el a szabályokat, ha nem tudják, miért van rájuk szükség. Segítsünk a munkatársaknak megérteni a szabályok mögötti szándékot ahelyett, hogy elvárnánk tőlük, hogy vakon kövessék a protokollt.
- Hozzunk személyes példákat: A biztonságtudatosság erősítésének egyik legjobb módja, ha párbeszédet kezdeményezünk a dolgozókkal, és ennek keretében ismertetjük a biztonsági stratégiát. Ha releváns példákon keresztül elmagyarázzuk, miért fontos az adatbiztonság a munkavállalók szemszögéből az irodán kívül is, akkor jobban megértik, miért terheli adatvédelmi kötelezettség a céget.
- Kezdjük az alapoktól: A legtöbb szervezetnél nincs elegendő belső erőforrás a biztonsági oktatáshoz, ezért azt gyakran külső tanácsadók végzik. Ezek a szakemberek hatékony segítséget tudnak nyújtani, ám ügyeljünk rá, hogy megfelelő tudásanyagokkal dolgozzanak, és ismertessék a biztonság, illetve az internetes működés alapjait. Ám ezek után se feltételezzük, hogy a kollégák szabálykövetően fognak viselkedni csak azért, mert egy oktatáson ezt mondták nekik. Ahhoz, hogy ne táblázatba vagy kockás füzetbe írják a jelszavaikat, és ne készítsenek titkosítatlan másolatot a céges merevlemezekről, folyamatosan fejleszteni kell a vállalati kultúrát.
- Tudatosítsuk a személyes felelősséget: A szükséges kulturális változások előmozdításának egyik stratégiája lehet a biztonsági felelősök kinevezése, akik megvitatják a kihívásokat, és alulról működő kezdeményezésként ösztönzik a helyes biztonsági magatartást a beosztottak körében.
1 Privacy and Electronic Communications Regulations, Adatvédelmi és Elektronikus Kommunikációs Szabályzat