Amit egykor egy munkahely előnyének tekintettek, mára egyenesen szükségszerűséggé vált. A távmunka, amely egykor csak bizonyos vállalatok és iparágak számára volt választható luxus, ma már az úgynevezett “új normális” egyik központi pillére, legalábbis ami az íróasztal melletti munkavégzést illeti.

Még azok a vállalkozások is, amelyek a lehető leghamarabb vissza akarják küldeni a dolgozókat az irodába, legalábbis nyitva tartják az ajtót a távmunka előtt, ilyen bizonytalan volt az elmúlt két év. A Gartner új jelentése szerint a világ munkavállalóinak több mint 80%-a várhatóan legalább hetente egyszer lehetőséget kap arra, hogy otthonról dolgozzon, miután kilábaltunk a világjárványból. Soha nem volt még ilyen egyértelmű - a távmunka már velünk marad. De vajon a vállalkozások megfelelően felkészültek-e a távmunka hosszú távú megkönnyítésére?

Két évvel ezelőtt a vállalkozások a digitális átalakulást még csak fokozatosan és egyenletesen közelítették meg. Azok, amelyek már a távmunkát is magukévá tették, már kialakították a távoli biztonsági ellenőrzéseket és irányelveket, a virtuális magánhálózatoktól és a távoli asztali számítógépektől kezdve annak ellenőrzéséig, hogy mely eszközök férhetnek hozzá bizonyos adatokhoz és alkalmazásokhoz. A biztonsági irányelvek rendkívül összetettek és árnyaltak egy irodai környezetben, így a hasonló szintű biztonság alkalmazása az otthoni étkezőasztalról bejelentkező munkavállalókra is nagyfokú tervezést igényel. A világjárvány kezdeti szakaszában azonban az idő nem nagyon állt az üzleti élet mellett. Azok a vállalkozások, amelyeknek korábban eszükbe sem jutott, hogy csapatukat otthonról dolgoztassák, hirtelen olyan környezetbe kerültek, ahol egyszerűen meg kellett oldaniuk a problémát, különben a működésük leállását kockáztatták. A biztonság, talán öntudatlanul is, háttérbe szorult.

Most tehát, hogy a vállalkozásoknak volt idejük eligazodni a világjárvány hullámzó vizein és átalakítani folyamataikat, sokan a hosszú távú, fenntartható és biztonságos hibrid munkakörnyezet kialakítására fordítják majd figyelmüket. Olyan modern kiberbiztonsági stratégiára van szükségük, amely naprakész és a célnak megfelelő, különösen egy olyan időszakban, amikor a kiberbűnözés mindenütt növekszik. Az Identity Theft Resource Center (ITRC) szerint a 2021-ben bejelentett adatvédelmi incidensek száma már októberben túlszárnyalta a 2020-as évit. Egyértelmű, hogy van tennivaló. Mire kellene tehát összpontosítaniuk a vállalkozásoknak a kiberbiztonsági erőfeszítéseiket?

Biztonsági hibás beállítások és emberi hiba

Talán meglepődik, ha megtudja, hogy a felhőalapú hálózatok biztonsági megsértésének megdöbbentő 65%-a egyszerű felhasználói hiba miatt következik be. A hibás konfigurációk messze a leghátrálóbb emberi hibák, amelyek a véletlen megfelelés megsértésétől kezdve a nem tervezett kieséseken át egészen odáig vezetnek, hogy tágra nyitják az ajtót a rosszfiúk és a rosszindulatú programok előtt. A leggyakoribb biztonsági hibás konfigurációk közé tartozik a túlságosan megengedő hozzáférés, például az alacsonyabb biztonsági fokozatú alkalmazottaknak a szükségesnél nagyobb hozzáférést biztosítanak, hogy hosszú távon “fedezzék” őket; portok nyitása ismert, sebezhető hostok felé; olyan szabályok létrehozása, amelyek megkerülik a proxyt és megsértik a kilépési irányelveket; és olyan zónához, alhálózathoz vagy hosthoz való hozzáférés biztosítása, ahol nincs rá szükség. Még a világjárvány előtt, még 2018-ban az IBM kimutatta, hogy az emberi hiba okozta felhőbeállítások miatt bekövetkezett adattörések száma megdöbbentő, 424%-os növekedést mutat az előző évhez képest.

A felhasználókon, nem pedig az eszközökön alapuló biztonsági kapuk.

Az egyik olyan statisztika, amely garantáltan borzongást kelt a CTO-k és CISO-k hátán, az, hogy a távmunkában dolgozók több mint egyötöde arról számolt be, hogy a munkahelyi eszközeiket a családtagjaik is rendszeresen használják. Ez gyakori jelenség, amikor a biztonsági irányelvek kizárólag az eszközökön alapulnak, nem pedig az eszközök felhasználóin. Az egy dolog, hogy az érzékeny alkalmazásokhoz vagy adatokhoz való hozzáférést egy eszközre korlátozzuk, de ha ez az eszköz otthon van, és bejelentkezve marad, bárki hozzáférhet hozzá. Ráadásul a munkatársak dönthetnek úgy, hogy bejelentkeznek az eszközeikre, hogy a háztartásuk más tagjainak is hozzáférést biztosítsanak, ez azonban inkább a munkatársak képzésével, mint a biztonsági konfigurációval függ össze. A vállalkozások megszokták, hogy a “legkisebb kiváltság” vagy a zéró bizalom megközelítést alkalmazzák, amikor az eszközöknek hozzáférést biztosítanak a hálózatukhoz - ugyanezt a megközelítést kellene alkalmazniuk az emberek esetében is.

A felhő maximális kihasználása

A távoli hozzáférés természeténél fogva kevésbé biztonságos, mint a helyszíni hozzáférés. De ennek nem kell így lennie. A virtuális magánhálózatok (VPN-ek) és a távoli asztali virtualizáció okos használatával az alkalmazottak a távoli munkavégzés során is a házon belüli élményt élvezhetik, mind a teljesítmény, mind a biztonság szempontjából. A VPN-ekkel és vírusirtó szoftverekkel való felszerelés még az olyan kevésbé biztonságos csatornákat, mint a WhatsApp és a Slack, is kevésbé teszi kiszolgáltatottá, így az érzékeny adatok biztonságban maradnak.

A távmunkával együtt járnak a velejáró kockázatok, de a megfelelő biztonsági irányelvekkel, képzésekkel és technológiákkal ezek a kockázatok nagymértékben csökkenthetők. Míg egyes vállalkozások talán széles körű SD-WAN vagy SASE bevezetést terveznek, azok, amelyek nem, még mindig kikövezhetik az utat egy rugalmasabb és fenntarthatóbb jövő felé a már rendelkezésükre álló eszközök átvételével. Túl vagyunk azon a ponton, amikor a távmunkát ideiglenesnek lehet tekinteni, így itt az ideje, hogy az ideiglenes biztonsági megoldásokból továbbfejlődjünk.