Bezpieczeństwo informacji w dobie pracy zdalnej – z jakimi wyzwaniami muszą mierzyć się przedsiębiorstwa?
W dobie pandemii COVID-19 liczne firmy i organizacje zdecydowały się na przejście na pracę zdalną. Po ustaniu zagrożenia epidemiologicznego wielu pracodawców postanowiło pozostać przy tym systemie. Obecnie można uznać, że praca zdalna na stałe przyjęła się w polskim systemie prawnym. Z tego powodu coraz częściej zwraca się uwagę na wyzwania i zagrożenia z nią związane.
Wyzwania stawiane przed organizacjami w związku z wdrożeniem systemu pracy zdalnej
Wdrożenie systemu pracy zdalnej oznacza przeniesienie obowiązków zawodowych ze środowiska kontrolowanego przez pracodawcę na płaszczyznę pozostającą pod znacznie mniejszym jego wpływem. Wiąże się to z brakiem czuwających nad bezpieczeństwem informacji zabezpieczeń fizycznych, które są obecne przy pracy stacjonarnej. Mowa przede wszystkim o systemach alarmowych, czujnikach i kamerach monitoringu przemysłowego. Niemożność polegania na zabezpieczeniach fizycznych stawia przed organizacjami nowe wyzwania. Sprawia, że są one zmuszone do bazowania wyłącznie na zabezpieczeniach nakierowanych bezpośrednio na pracownika i użytkowane przez niego urządzenia.
Największe zagrożenia dla bezpieczeństwa informacji w dobie pracy zdalnej
Do największych zagrożeń dla bezpieczeństwa informacji w dobie pracy zdalnej należą:
- nieautoryzowany dostęp do danych w wykonaniu osób trzecich,
- korzystanie z niezabezpieczonych sieci,
- ryzyko zainfekowania wykorzystywanego do pracy komputera złośliwym oprogramowaniem na skutek użytkowania go przez osoby trzecie.
Zagrożenie dla bezpieczeństwa informacji stanowią również dzieci pracowników, które w trakcie użytkowania komputera rodzica mogą uszkodzić lub przesłać dalej dane wrażliwe. W sytuacji, gdy pracownik wykonuje swoje obowiązki zawodowe z miejsc publicznych, takich jak kawiarnie, środki komunikacji zbiorowej lub przestrzenie do smart workingu, zwiększa się ponadto ryzyko ataków hakerskich.
Jakie środki bezpieczeństwa należy zastosować w celu zapewnienia bezpieczeństwa informacji?
W celu zapewnienia bezpieczeństwa informacji w czasie pracy zdalnej należy zastosować odpowiednie zabezpieczenia informatyczne. Należą do nich przede wszystkim szyfrowanie informacji, stosowanie zapory sieciowej i wykorzystywanie wirtualnych sieci prywatnych.
- Szyfrowanie informacji
Szyfrowanie to jedna z podstawowych, a przy tym najbardziej skutecznych metod zabezpieczania informacji. Zapewnia tajność dla osób trzecich, przekształcając informacje w sposób nieczytelny za pomocą funkcji matematycznej. Współcześnie wykorzystywane są dwa rodzaje szyfrowania. Są to:
- szyfrowanie z kluczem publicznym, czyli takie, w którym ten sam klucz zostaje użyty zarówno do szyfrowania informacji, jak i jej deszyfrowania,
- szyfrowanie z kluczem prywatnym, gdzie do szyfrowania informacji wykorzystywany jest klucz publiczny, a do jej odszyfrowania klucz prywatny.
- Zapora sieciowa
W celu zapewnienia bezpieczeństwa informacji stosowana jest zapora sieciowa. Współcześnie wykorzystuje się trzy główne metody jej pracy. Są to:
- ekranowana podsieć, która polega na stworzeniu sieci prywatnej oddzielonej od innych sieci dwoma routerami,
- filtrowanie pakietów, pozwalające przepuszczać i zatrzymywać określone dane według wcześniej wskazanych wytycznych,
- dual-home-gateway, dzięki któremu możliwe jest filtrowanie przepływającej informacji na poziomie zarówno nagłówka pakietu, jak i zawartości jego pola danych.
- Wirtualne sieci prywatne
Metodą, która pozwala zwiększyć bezpieczeństwo informacji w trakcie pracy zdalnej, jest także stosowanie wirtualnych sieci prywatnych, czyli VPN (ang. Virtual Private Network), stanowiących wydzieloną część ze struktury sieci publicznej.
W celu zapewnienia bezpieczeństwa informacji w pracy zdalnej wykorzystywane są ponadto takie metody, jak stosowanie podpisów elektronicznych, tworzenie kopii bezpieczeństwa i instalowanie systemów operacyjnych, które umożliwiają przyznawanie praw do poszczególnych plików i folderów. Tego rodzaju zabezpieczenia informatyczne stosowane są również przy pracy stacjonarnej.
Dodatkowe sposoby na zabezpieczenie się przed cyberatakami
W celu zabezpieczenia się przed cyberatakami organizacja powinna również wprowadzić stosowne zabezpieczenia organizacyjne, służące zwiększeniu bezpieczeństwa wykorzystywanego przez pracowników systemu. Oznacza to konieczność zaprojektowania i wdrożenia regulaminów oraz procedur pracy, stworzenia i implementacji procedur postępowania awaryjnego, a także ukształtowania odpowiedzialności osobistej pracowników za ochronę informacji. Dana organizacja powinna ponadto stosować odpowiednie zabezpieczenia administracyjne w postaci systemów certyfikacji potwierdzających przydatność do pracy w określonych warunkach. Certyfikaty te dotyczą personelu, sprzętu, technologii oraz wykorzystywanego oprogramowania.
Pomocne w radzeniu sobie z wynikającymi z pracy zdalnej zagrożeniami są specjalistyczne szkolenia z bezpieczeństwa informacji, organizowane przez Bureau Veritas.