Bezbedan rad na daljinu u vreme COVID-19 pandemije - Ivana Tepčević, Risk Assurance Solutions Manager, PwC Srbija

Bezbedan rad na daljinu u vreme COVID-19 pandemije

U poslednjih par godina  kompanije  uvode rad od kuće kao mogućnost za svoje zaposlene da bar jedan dan nedeljno mogu da pristupe sa udaljene lokacije kompanijskim resursima i rade uobičajeno. Na ovaj način zaposleni su zadovoljniji i efikasniji, a rezultati koje postižu su bolji.

Od početka širenja pandemije virusa COVID-19 ova tema je postala aktuelna jer je većina ljudi primorana da radi od kuće zbog propisanih mera izolacije. Ključno pitanje je kako tehnički obezbediti daljinski pristup, a da još bude i bezbedan. Kompanije koje su već prešle na cloud infrastrukturu i SaaS (software as a service) aplikativna rešenja, kao i korišćenje sistema za upravljanje mobilnim uređajima mogle su još i ranije da na jednostavan način obezbede rad od kuće svojim zaposlenima.

Međutim, većina kompanija koriste tradicionalna rešenja za pristup resursima koja efikasno funkcionišu u lokalnoj mreži i čija je bezbednost unapređivana tokom razvoja kompanije.

Ogromna finansijska sredstva uložena su u obezbeđivanje perimetra lokalne mreže tzv. tvrđave – uređaji  kao što su zaštitni zidovi (firewalls) i kontrole za elektronsku poštu i web saobraćaj – koje filtriraju sadržaj i sprečavaju neželjeni pristup određenim servisima kao što su web lokacije, deljene lokacije ili kompanijski socijalni mediji. Ovakav način zaštite ima za posledicu da svako ko pristupa kompanijskoj mreži koristi VPN (Virtual Private Network) servis što znači da je komunikacija između kompanijske mreže i udaljene lokacije enkriptovana što omogućava da saobraćaj ostane u korporativnoj infrastrukturi, kao da sedite u kancelariji. Ovakvo rešenje omogućava bar osnovni test provere računara u mreži i identiteta korisnika računara preko 2-faktorske autentifikacije  

Ono što je primećeno je da mnoge kompanije pokušavaju da reše problem koristeći zaobilazna rešenja.

U današnje vreme najvažnije je ne tražiti od zaposlenih da koriste svoje privatne računare ili mobilne uređaje, jer kompanija nema kontrolu nad njima. Nemojte omogućavati pristup kompanijskom mail sistemu (webmail) sa bilo kog uređaja kao što su privatni telefoni, tableti ili privatni računari zaposlenih  jer pored toga što lakše možete postati meta sajber napada, zaposleni može da preuzme dokumenta na svoj uređaj što kasnije može lako da dovede do curenja kompanijski informacija.  Isto važi i za slanje dokumenata na privatne email adrese. Možda bi mnogo bolje rešenje za kompaniju bilo da omogući zaposlenom desktop računar kod kuće, pod uslovom da mogu da se obezbede tehnički uslovi.

Međutim, pored tehničkih i funkcionalnih zahteva, svest zaposlenih je mnogo važnija u ovakvoj situaciji. Zaposleni treba da zna kako da prepozna da se radi o lažnoj poruci (phishing email) čija je verovatnoća pojavljivanja u ovakvim okolnostima veća, a samo prepoznavanje teže. Naime, sada je prava prilika da vam se napadač predstavi kao vaša IT podrška i da vam zatraži vaše kredencijale da bi lakše obavio održavanje mašine na daljinu. Dodatno, kada ste ceo radni dan online vaš fokus slabi i verovatnoća da pogrešite se povećava u odnosu na to kada radite u kancelariji, jer bez obzira što uglavnom sedite za računarom, u kancelariji sastanke sa klijentima i zaposlenima obavljate uživo, pravite pauze i razgovarate sa kolegama.

Takođe, ukoliko vaš privatni računar ili mobilni uređaj koristite u poslovne svrhe istu uređaj koristi i vaše dete koje uči preko interneta. Može se desiti da pogrešnim klikom na pogrešno mesto omogući napad ili obriše podatke.

Pored svesti zaposlenih, važno je da se zaposleni prilagode radu na daljinu – da su sastanci sada konferencijski pozivi, da dobijaju mnogo više mailova nego uobičajeno, da su projektni timovi online organizovani, da one informacije koje ste do juče komunicirali u hodu, kada nekog vidite na kafi ili u hodniku, sada da biste ih razmenili morate da zakažete kroz kalendar ili pošaljete mail ili pozovete kolegu preko mobilnog pod uslovom da nije zauzet. 

Zato, efikasna komunikacija sa zaposlenima, obuka zaposlenih kao i prave informacije koje šaljete su ključ za rad na daljinu, posebno za kompanije koje to do sada nisu praktikovale.

Bez obzira da li smo se navikli od ranije ili je ovo nov način rada svima nama se ovakva situacija nikada ranije nije desila. Tehnologija je samo jedan deo rada od kuće, a da bi sve funkcionisalo uz to bilo bezbedno, potrebno je IT-u omogućiti da pripreme tehničke uslove i obezbede resurse koji bi osigurali bezbedan rad na daljinu, a biznis treba da proceni koji su servisi kritični da funkcionišu u vanrednim uslovima.