Fenomén práce na dálku změnil to, jak nakládáme s podnikovými daty. Firmy by měly upravit stávající bezpečnostní opatření. Společnost Trend Micro zveřejnila výsledky svého nejnovějšího výzkumu Head in the Clouds. Zpráva popisuje, jak moc slabým článkem jsou v kybernetické ochraně podnikové informační architektury chytrá domácí zařízení a s nimi související aplikace. A to zejména s ohledem na fakt, že se stále více stírá hranice mezi pracovním a soukromým životem.
Zpráva Head in the Clouds vychází z odpovědí více než 13 000 respondentů napříč 27 státy. Cílem bylo získat informace o návycích zaměstnanců, kteří během koronavirové pandemie pracovali vzdáleně. Jedním z hlavních zjištění je, že celých 39 % pracovníků využívalo pro přístup k firemním datům soukromá zařízení – navíc se tak často dělo ve spojení s cloudovými aplikacemi a službami. Soukromé chytré telefony, tablety a notebooky mohou být méně bezpečné než jejich firemní ekvivalenty a také více vystavené zranitelnostem, které souvisí se zařízeními světa internetu věcí nebo gadgety připojenými do domácí sítě. Například více než třetina dotázaných (36 %) uvedla, že na všech svých osobních zařízeních nepoužívá ani základní ochranu heslem.
„Skutečnost, že tolik zaměstnanců pracujících vzdáleně využívá pro přístup k firemním systémům a datům soukromá zařízení naznačuje, jak malé může být ve skutečnosti povědomí o bezpečnostních rizicích,“ uvedla doktorka Linda K. Kaye, specialistka na oblast kybernetické psychologie. „Prospěšné by bylo školení o kybernetické bezpečnosti šité na míru konkrétní firmě, které by zohledňovalo rozmanitost jednotlivých uživatelů, jejich bezpečnostní znalosti a postoje k souvisejícím rizikům. Organizace tak mohou efektivně zmírnit jakákoli bezpečnostní rizika, která souvisí s používáním soukromých zařízení.“
Více než polovina (52 %) respondentů má do domácí sítě připojená IoT zařízení, přičemž 10 % využívá zařízení méně známých značek. V případě těchto zařízení, zejména pak od menších výrobců, existují dobře zdokumentované zranitelnosti, jako jsou neopravené chyby ve firmware nebo nedostatečně zabezpečené přihlašování. Tyto zranitelnosti mohou útočníci využít k průniku do domácích sítí a následně nechráněná osobní zařízení zneužít jako odrazový můstek pro útok na podnikovou informační architekturu.
Dalším rizikem používání nezabezpečených soukromých zařízení v rámci konceptu BYOD (Bring Your Own Device) je možnost zanesení malwarové infekce z domácího prostředí – k nákaze dojde sice doma, ale ta se díky využití soukromého zařízení pro plnění pracovních povinností rozšíří i do podnikové informační architektury.
Nejnovější výzkum společnosti Trend Micro také odhalil, že 70 % vzdálených pracovníků připojovalo do domácí sítě svůj firemní notebook. Ačkoli je pravděpodobné, že tato zařízení jsou lépe chráněná než soukromé notebooky, stále existuje riziko napadení firemních dat a systému. Například tehdy, pokud uživatelé mají možnost nainstalovat si neschválené aplikace pro přístup ke svým IoT zařízením.
„Zařízení ze světa internetu věcí se sice mohou pochlubit dostatečným výpočetním výkonem a konektivitou, ale bohužel ne odpovídajícími bezpečnostními vlastnostmi,“ řekl Bharat Mistry, hlavní bezpečnostní stratég ve společnosti Trend Micro. „Ve skutečnosti mohou hackerům pomoci s otevřením zadních vrátek, díky kterým budou kompromitovat podnikovou informační architekturu. Tato hrozba je navíc stále větší, protože rostoucí zájem o vzdálené způsoby práce stírá dosavadní rozdíly mezi soukromými a firemními zařízeními. Soukromá i firemní data jsou tak vlastně ohrožena stejným způsobem. Dnes více než kdy dříve je proto nutné, aby jednotlivci přijali svůj díl zodpovědnosti za kybernetickou bezpečnost a organizace i nadále své zaměstnance vzdělávaly a seznamovaly je s osvědčenými postupy a opatřeními.“
Trend Micro zaměstnavatelům doporučuje, aby zajistili, že vzdálení pracovníci a jejich zařízení budou odpovídat stávajícím firemním bezpečnostním pravidlům. Případně tato pravidla vylepšit tak, aby zohledňovala i rizika související s konceptem BYOD a s řešeními ze světa internetu věcí. Společnosti by také měly přehodnotit bezpečnostní řešení, která poskytují svým zaměstnancům používajícím domácí sítě pro přístup k firemním datům – vysoce nákladově efektivní a účinný způsob zmírnění rizik spojených se vzdálenými způsoby práce může představovat bezpečnostní model založený na cloudových technologiích.
