COVID-19: Remote working & Security

Το τελευταίο που θα ήθελε να αντιμετωπίσει μια επιχείρηση σήμερα είναι εν μέσω πανδημίας, να απωλέσει δεδομένα και συστήματα.

Η  ταχύτατη εξάπλωση της πανδημίας ανάγκασε έναν μεγάλο αριθμό εταιρειών να εφαρμόσουν την τηλεργασία σε κλίμακα η οποία δεν έχει προηγούμενο. Αυτή η γενίκευση, παρ’ ότι σε πολλές περιπτώσεις έδωσε μια νέα και ενδιαφέρουσα προοπτική εργασίας, δεν παύει να αποτελεί οργανωτική και τεχνολογική πρόκληση, ιδιαίτερα όταν υλοποιείται σε συνθήκες έκτακτης ανάγκης.

Τηλεργασία σε κατάσταση έκτακτης ανάγκης: Προϋποθέτει προετοιμασία και επίβλεψη

Η ταχύτητα εξάπλωσης της πανδημίας και η αντίστοιχη ταχύτητα προληπτικών μέτρων μεγάλης κλίμακας, οδήγησε πολλές επιχειρήσεις, οι οποίες δεν είχαν  προετοιμάσει τεκμηριωμένο, λεπτομερές και ελεγμένο σχέδιο επιχειρησιακής συνέχειας (business continuity plan) σε ενέργειες οι οποίες είναι πολύ πιθανό να οδηγήσουν σε περαιτέρω απώλειες, οικονομικές και φήμης. Στις πολλές δε περιπτώσεις που υπήρξε σχέδιο, αυτό ήταν εξαιρετικά συνοπτικό, μη επικαιροποιημένο και χωρίς να έχουν προληπτικά ελεγχθεί τουλάχιστον οι δικτυακές υποδομές. 

Η εφαρμογή της γενικευμένης τηλεργασίας απαιτεί την πρόσβαση σε πόρους εκτός της εταιρείας. Είναι αυτονόητο ότι αυτές οι προσβάσεις πρέπει να γίνονται με ασφαλή τρόπο. Μια κρυπτογραφημένη σύνδεση VPN φαίνεται επαρκής αλλά ωστόσο, καθίσταται αδύναμη αν:

  • Η πιστοποίηση/επαλήθευση των χρηστών γίνεται με τρόπο παραβιάσιμο
  • Ο εξοπλισμός που απαιτείται ή καλείται να χρησιμοποιήσει  ο εργαζόμενος την ώρα της κρίσης, δεν παρέχεται ή δεν έχει ελεγχθεί από την εταιρεία στην οποία εργάζεται,
  • Δεν έχει γίνει κάποιου είδους διαστασιολόγηση των γραμμών επικοινωνίας ώστε να προσδιορισθούν τα φορτία τα οποία είναι δυνατόν να εξυπηρετηθούν και επιπρόσθετα, δεν εφαρμόζεται επαρκώς κάποιου είδους περιοριστικό φιλτράρισμα της ροής αιτημάτων λήψης και παροχής δεδομένων.

Οι κίνδυνοι στον κυβερνοχώρο την περίοδο της πανδημίας

Ήδη τα στελέχη πληροφορικής και ασφάλειας αντιμετωπίζουν σημαντικές προκλήσεις. Η ραγδαία αύξηση εργαζομένων από το σπίτι δημιουργεί ένα νέο πλαίσιο ευκαιριών για κακόβουλες ενέργειες καταλήγοντας σε αναπόφευκτα αυξημένο επιχειρησιακό κίνδυνο. Το τελευταίο που θα ήθελε να αντιμετωπίσει μια επιχείρηση σήμερα είναι εκτός των θεμάτων της πανδημίας, να αποκτήσει και πρόβλημα απώλειας δεδομένων και συστημάτων.

Ήδη έχει διαπιστωθεί διεθνώς μια άνευ προηγουμένου αύξηση στον αριθμό των επιθέσεων τύπου  phishing, με περιεχόμενο άμεσα συνδεόμενο με τον COVID-19. Πολλές από αυτές έχουν καταλήξει σε ransomware, κλοπή δεδομένων κ.λπ. και δυστυχώς είδαμε ακόμη και νοσοκομεία να πέφτουν θύματα σε αυτή την τόσο κρίσιμη φάση της προσπάθειας περιορισμού της πανδημίας.

Οι εταιρείες που, μεταξύ άλλων αντίμετρων, έχουν ενημερώσει τα στελέχη τους για αυτό το είδος κινδύνου, θα αποδειχθούν αποτελεσματικά ανθεκτικές.

5 ΑΜΕΣΑ ΕΦΑΡΜΟΣΙΜΕΣ ΕΝΕΡΓΕΙΕΣ ΠΡΟΣΤΑΣΙΑΣ

Δεδομένου ότι την ώρα της κρίσης δοκιμάζεται το επίπεδο της προστασίας που είχαμε πριν από αυτή, ξεχωρίσαμε 5 άμεσα εφαρμόσιμες και αποτελεσματικές οδηγίες για τον μετριασμό των κινδύνων, ανεξάρτητα από το υφιστάμενο επίπεδο προετοιμασίας:

  1. Κάντε μια έστω και τώρα στοιχειώδη επισκόπηση των αρχιτεκτονικών απομακρυσμένης σύνδεσης και της αποτελεσματικότητας των μέτρων ασφάλειας. Ο σκοπός είναι ο εντοπισμός τυχόν εξόφθαλμων αδυναμιών ή/και η επιβεβαίωση της λειτουργικότητας μέτρων που ελήφθησαν κατόπιν εκτέλεσης δοκιμών κακόβουλης διείσδυσης (penetration test).
  2. Αυξήστε την ευαισθητοποίηση και την ενημέρωση των χρηστών: Εάν οι υλοποιημένες αρχιτεκτονικές σας παρουσιάζουν ορατούς κινδύνους (όπως ενδεικτικά: απουσία ισχυρής πιστοποίησης, μη ελεγχόμενοι σταθμοί εργασίας, υπερφόρτωση εξοπλισμού), οι χρήστες σας πρέπει να ενημερώνονται άμεσα για τις προφυλάξεις που πρέπει να ληφθούν. Οι καταστάσεις κρίσης κατά κανόνα χαλαρώνουν την προσήλωση στην                           ασφάλεια συστημάτων
  3. Διασφαλίστε  ότι οι εταιρικές πολιτικές κωδικών πρόσβασης των χρηστών σας παραμένουν σε ισχύ και τηρούνται. Η ενέργεια αυτή είναι από τις πλέον σημαντικές και αν δεν υφίστανται τέτοιες πολιτικές, έστω και τώρα θα πρέπει να ετοιμασθούν.
  4. Δώστε συγκεκριμένες, κατά περίπτωση, οδηγίες προστασίας στους χρήστες που χρησιμοποιούν μη εταιρικούς υπολογιστές.
  5. Προσομοιώστε τακτικά ψευδο-επιθέσεις τύπου Phishing με αντικείμενο περιεχόμενο σχετικό με τον COVID19, έτσι ώστε να δοκιμάσετε τις αντιδράσεις των χρηστών στο phishing και να παρέχεται πιο στοχευμένη εκπαίδευση και εγρήγορση.

Η ΣΥΜΒΟΛΗ ΤΗΣ MAZARS

Αντιλαμβανόμαστε πλήρως την ευθύνη και την κρισιμότητα των στιγμών αυτών και ως εκ τούτου, υλοποιώντας έμπρακτα το όραμα μας για κοινωνικά υπεύθυνη επιχειρηματικότητα, έχουμε δημιουργήσει την ηλεκτρονική διεύθυνση safeguarding@mazars.gr  όπου μπορείτε να μας αποστείλετε ερωτήματα σχετικά με την ασφάλεια της τηλεργασίας ή βεβαίως, να ζητήσετε να έχουμε τηλεφωνική επικοινωνία μαζί σας.

Τα ερωτήματα αυτά θα τα απαντήσουμε pro bono.

Η Mazars παρέχει ολοκληρωμένες υπηρεσίες για θέματα που σχετίζονται με τον κυβερνοχώρο και την ασφάλεια πληροφοριακών συστημάτων, περιλαμβάνοντας ολοκληρωμένα σχέδια επιχειρησιακής συνέχειας (ικανά να πιστοποιηθούν κατά ISO 22301) καθώς και ευρείας κλίμακας δοκιμές διείσδυσης (δίκτυα, ιστό, κ.λπ.)- penetration testing. Επίσης  παρέχει αποτελεσματικά προγράμματα εκπαίδευσης και ευαισθητοποίησης σε ζητήματα κυβερνοασφάλειας.

Want to know more?