Nå må vi alle bli enda bedre på IT-sikkerhet. For på hjemmekontoret er du din egen sikkerhetssjef. Slik må du tenke.
37 % av alle arbeidende statsborgere i EU begynte å jobbe hjemmefra da pandemien kom.1 For Dustin gikk tallene fra rundt 15 prosent til nesten 100 prosent. Dette byr på utfordringer. Alt fra IT-infrastrukturen til IT-sikkerhetsarbeidet må tilpasses en ny virkelighet.
– Vårt hovedfokus i Dustin er å øke bevisstheten om sikkerhet. De fleste angrep retter seg inn mot såkalt social engineering, ikke den tekniske infrastrukturen. Dette betyr at de prøver å få ansatte til å klikke på lenker i e-poster, gi fra seg passordene sine og lignende ting. Bevissthet handler om å skape en kultur der du har for vane å stoppe og tenke. Er det noe som ikke helt stemmer? Ikke forhast deg med å ta en beslutning, sier Dennie Karlsson, CISO hos Dustin.
Tidligere jobbet Dustin med store e-læringskurs på kvartalsvis eller årlig basis. Men de la merke til at du glemmer hvis du øver så sjelden. I stedet har de introdusert "nanolearning" -kurs flere ganger i måneden. Det tar bare noen få minutter å ta disse kursene.
– Dette gir de ansatte en annen kontinuitet og gjør det enklere å holde informasjonen oppdatert.
Hvor sikre er hjemmene våre?
En annen stor utfordring er at det er vanskelig å kontrollere hvilket teknisk utstyr de ansatte bruker eksternt. Hvordan kobler de seg til selskapets nettverk, applikasjoner og informasjon? Hvilke enheter jobber de med?
– Bedrifter har brukt mange år på å skape en sikker IT-infrastruktur på kontoret. Men nå som alle jobber hjemmefra, må hver enkelt ansatt bli sin egen IT-sikkerhetssjef. Hvem er ansvarlig for å oppdatere hjemmeruteren med den nyeste sikkerhetsoppdateringen? undrer Jens Christian Høy Monrad, IT-sikkerhetsekspert hos Fireeye.
Et moderne hjem inkluderer et stort utvalg av tilkoblede enheter med varierende sikkerhet – alt fra smarte lamper og husholdningsapparater til leker. Noen av disse lagrer passordet til nettverket i ren tekst. Andre kan ikke oppdateres når sikkerhetshull oppdages. Men Jens Christian mener det er liten risiko for at en angriper vil søke etter slike sårbarheter for å komme lenger inn på firmadatamaskinen din.
– Det er mulig at denne typen angrep kan utføres mot nøkkelpersoner i selskapet, men det er fortsatt mye lettere å sende phishing-e-poster og bare be om brukerinformasjon, sier han.
Sikrere med dedikerte datamaskiner
Et annet problem når ansatte jobber hjemmefra, er at de oftere bruker private enheter til å utføre arbeidsoppgaver. Kanskje liker de bedre å jobbe på hjemmedatamaskinen.
– Vi har sett eksempler på at ansatte sender firmadokumenter til sin private e-post og åpner dem på datamaskinen hjemme. Når de er ferdige med å arbeide, sender de dokumentet tilbake til firmadatamaskinen. Dette utgjør en risiko hvis hjemmedatamaskinen er infisert.
Én løsning er administrerte klienter. Datamaskiner som ikke kan brukes til noe annet enn aktiviteter som er godkjent av firmaet. Med enheter som er under konstant overvåking, går det dessuten raskere å oppdage angrep:
– Når vi ser hva som skjer på alle enhetene til bedriften samtidig, kan vi bruke mønstergjenkjenning for å oppdage avvikende oppførsel. Vi får et helhetlig bilde. Vi ser om firmaet er under angrep. Hvis enheter blir mistet eller stjålet, noe som har blitt vanligere når flere jobber utenfor kontoret, er det lett å foreta en "fjernsletting", slik at innholdet ikke faller i gale hender, sier Dennie Karlsson.
Heller vanskelig enn usikker
Jo flere som kobler seg til bedriftens nettverks- og skytjenester hjemmefra, jo viktigere og mer vanlig blir flerfaktorautentisering.
– Dette gjør det litt vanskeligere for brukerne. Men i dag forstår alle at den lille ekstra tiden du bruker på å logge inn – for eksempel med en PIN-kode du har mottatt i en tekstmelding – øker sikkerheten betydelig, sier Dennie Karlsson.
Han tror vi må logge inn med enda kortere intervaller i fremtiden:
– Vi kommer ikke til å logge inn om morgenen og deretter være innlogget på alle systemene til bedriften resten av dagen. Vi må legge inn koder mye oftere, kanskje hvert 30. minutt, gjetter han.
– Tilgangsadministrasjon blir stadig viktigere. For enklere lavrisikotjenester kan brukernavn og passord være nok, mens ERP-systemet krever tofaktorautentisering og bare holder økten åpen i 30 minutter.
Dennie Karlsson, CISO hos Dustin.
Jens Christian Høy Monrad, IT-sikkerhetsekspert hos Fireeye.Tekst: Johan Wallén
Foto: Glenn Carstens-Peters, Unsplash
Kilde: Eurofound, Living, working and COVID-19First findings – April 2020


