En artikkel av Capgeminis personvern- og informasjonssikkerhetsekspert Ana Rita Silva
Oversatt av Kristine Mathiassen
Koronaviruset har skapt behov for et digitalisert Norge i rekordfart og medfører at mange av oss må jobbe utenfor fast arbeidssted. For å forhindre spredning av viruset tyr vi til eposter, online-møter, deling av dokumenter, samhandlingsplattformer og chat-løsninger for å erstatte vår daglige pendling til jobb og fysiske møter med hverandre. Mesteparten av kontakten mellom kollegaer, kunder og tredjeparter opprettholdes nå gjennom digitale kanaler og enheter.
Dette innebærer at man må jobbe på utsiden av de opprettede lagene av sikkerhet på vår faste arbeidsplass. Hvordan påvirker de alternative løsningene du må ta i bruk på hjemmekontoret ditt arbeide og risiko for cybertrusler? Vi har noen råd på veien:
Sørg for å sikre alt!
Aktiver tofaktor- eller multifaktorautentisering på alle enheter – ja, på mobilen også – og ikke last ned dokumenter på enheter ment for midlertidig oppbevaring (som for eksempel minnepinner eller mobil) med mindre du absolutt må. Hvis du gjør dette, må du sørge for å kryptere innholdet, kryptere enheten før man kobler den ut og slette alt innhold når du er ferdig med overføringen. Er du ansvarlig for din organisasjons sikkerhetspraksis, lønner det seg å gjøre tofaktor- eller multifaktorautentisering obligatorisk, samt å gjennomgå tilgangsstyring og -kontrollpraksis (IAM) (ja, brukerrettigheter inkludert!).
Likeså viktig er det å ikke sende dokumenter eller filer som er jobb- eller kunderelatert til privat epost-konto!
Hvorfor bør man ta seg tid til å gjennomføre disse ekstra sikkerhetstiltakene? Dersom enheten din blir hacket, stjålet eller du skulle miste den, vil din innsats kunne redusere konsekvensene av brudd på gjeldende personvernlovgivning og eventuelle sikkerhetspolicyer. Du kan forhindre at dataene og spesielt dine og andres personopplysninger kommer på avveie. Dermed vil du også kunne avverge store bøter og sikre din arbeidsgiver mot et dårlig omdømme. Et godt eksempel er Heathrow flyplass som fikk en bot på 120 000 pund (ca 1,4 millioner norske kroner) på grunnlag av at en av deres ansattes ukrypterte USB-minnepinne kom på avveie og ble funnet av en passasjer.
Aldri gå fra enhetene dine ulåste eller la dem stå uten tilsyn når du tar dem med utenfor arbeidsplassen din. Enheter du er ferdig med å bruke må slås helt av. En siste gulrot; har du hørt om fordelene av å ta i bruk en USB-datablokkerer når du skal lade mobilen din? Dette er en spesiell ladeledning som hindrer datautveksling fra din mobil når du kobler til fremmede USB-porter for eksempel på kafe, i offentlige rom eller på en flyplass.
Bruk kun sikrede WiFi– og VPN-tilkoblinger som er autoriserte av din arbeidsplass
Du er kanskje fristet til å ta med deg arbeidet med ut på en liten luftetur og tenker «hurra denne kafeen har gratis internett!». Her bør man tenke seg om to ganger; uten en brannmur mellom deg og det offentlige nettverket vil hackere kunne ligge på lur for å kopiere kommunikasjonen og få tilgang til informasjon lagret på enhetene dine.
Hva med sidemannen med lange øyne og nysgjerrige ører på toget, bussen eller andre offentlige steder (dette blir spesielt viktig når koronakrisen har lagt seg og vi starter opp med våre daglige reiser til og fra hjemmet og kafebesøk igjen). Husk at dine kunder har lagt sin lit til deg og stoler på at deres informasjon er i trygge hender.
Unngå det konstante onde øyet
Hvis du liker Tolkien, slik som meg, tar du referansen som egentlig er den perfekte analogi. Truende aktører og hackere holder seg ikke hjemme og går i karantene på grunn av koronaviruset. I motsetning er de faktisk i høygir og prøver kontinuerlig å utnytte våre svakheter og alt vi måtte frykte i disse dager. Helt siden starten av Covid19-pandemien har det vært en økning i cyberangrep gjennom både phishing og andre angrepsmetoder. Det er ingen tegn på at dette trusselbildet vil bli mindre. Eksempler inkluderer skadelig programvare med koronatema, nettadresser som fungerer som feller og bruk av lekket brukernavn og passord som automatisk matches mot andre eksisterende kontoer på andre plattformer. Ansvarsbevisst atferd når du er koblet til verdens vide web er derfor avgjørende for å holde dine enheter og data sikret.
Bruk sunn fornuft; unngå risikabel atferd, betenkelige websider, rare linker og ukjente dokumenter. Ikke send informasjon eller dokumentasjon til kollegaer eller klienter gjennom en usikret kobling.
Visste du at?…
- Det tar gjennomsnittlig 197 dager før man finne ut at en hacker har infiltrert et område. Ondsinnet programvare kan ligge latent i flere måneder.
- 22% av nedetid oppstår på grunn av cyberangrep forårsaket av menneskelig svikt.
- En webkameralås vil ikke hindre uvedkommende hackere i å se skjermen din eller høre deg.
- Hvis en hacker klarer å opprette seg tilgang til din mobil eller laptop, vil vedkommende mest sannsynlig enkelt kunne bryte seg inn på alle de andre enhetene du har koblet mot disse.
- Etterlev din arbeidsgivers policyer og retningslinjer for sikkerhet og bruk av IKT (informasjon- og kommunikasjonsteknologi)
Din arbeidsgiver har mest sannsynlig brukt mye tid og ressurser på å opprette et sikkert miljø slik at du kan arbeide trygt, uten å utsette deg selv, andre individer og data for unødvendig risiko. Policyer, retningslinjer og rutiner er satt på plass for å sørge at det er en systematisk og konsekvent tilnærming til bruk av nettverk, systemer, applikasjoner og utstyr. De representerer felles praksis for å unngå uønskede hendelser.
Er du selv en del av ledelsen med ansvar for cybersikkerhet i din organisasjon, bør du sørge for at det gjennomføres vurderinger av at de innførte sikkerhetstiltakene og praktiseringen av disse faktisk lever opp til gjeldende lovregler og gir tilstrekkelig beskyttelse mot eksisterende trusler. Som vanlig ansatt har du et selvstendig ansvar for å etterleve sikkerhetsreglement og rutiner på din arbeidsplass.
Det kan fremstå som banalt, men ikke del eget passord eller kunders påloggingsinformasjon med noen andre bare for å forenkle gjennomføringen av en arbeidsoppgave eller fordi du stoler på vedkommende. Det er gode grunner for at disse er unike og personlige. For noen år siden prøvde AT&T, et av USAs største telekomselskaper, å lure egne ansatte til å oppgi eget passord på en sikkerhetsøvelse. Av de nesten 40 ansatte var det kun to som ikke ga fra seg eget passord – dette fordi de skammet seg over at passordet de hadde benytte seg av ikke fremstod sterkt nok.
Ikke lån bort enheter til andre (kollegaer eller ikke!), ikke del klientspesifikke/konfidensielle dokumenter med kollegaer eller tredjeparter som ikke er involvert i leveransen du jobber med. Husk også å sikre tilstrekkelig tilgangstyring av dokumentbibliotek og portaler for å støtte opp om dette. Din arbeidsgiver og eventuelle kunder forventer konfidensialitet og at du etterlever gjeldende sikkerhets- og personvernrelatert praksis. Alle må ta et selvstendig ansvar for å leve opp til dette og opprettholde tillit.
Videre bør du, i hvert enkelttilfelle, vurdere om du virkelig behøver å laste ned, skrive ut eller reprodusere dokumentet som du jobber med. Når du reproduserer data øker du antall kontaktpunkter som kan utnyttes av truende aktører. Oppbevar aldri konfidensiell jobb- eller klientinformasjon på dine personlige enheter.
Like viktig er det at du sørger for at du har gjennomført all opplæring/e-learning for sikkerhet som eventuelt foreligger i din organisasjon. Ved mangel på opplæringsopplegg bør du oppfordre dine ledere til å innføre nødvendige tiltak. Et spesielt virkningsfullt tiltak er innføring av system for merking og klassifisering av dokumenter som befinner seg i organisasjonen. Når var sist du mottok et dokument som var merket som internt, inneholdt restriksjoner for tilgang eller var kryptert? Klassifisering– og merkesystem for dokumenter har vist seg i stor grad å effektivt minimere risiko for uønsket tilgang og at informasjon havner på avveie. Husk at vellykket innføring av slike systemer krever gjennomføring av brukeradopsjon og forankring i retningslinjer og policy.
Sist men ikke minst, sørg for at du er godt kjent med din organisasjons avviksrapportering og håndteringsrutiner. Hvis du først skulle være uheldig, og et sikkerhetsbrudd eller problem oppstår, er det avgjørende at du vet hva som forventes av deg, hvem du må ta kontakt med og at avvik rapporteres øyeblikkelig uten opphold. For dere med ansvar for en organisasjons informasjonssikkerhet, er det på høy tid å teste og gjennomgå deres avvikshåndteringsprosesser (SIEM) og til og med sjekke at beredskaps- og kontinuitetsplan fungerer hensiktsmessig.
Eksempelvis …
- Har dere en eksakt oversikt over hvilke systemer som er virksomhetskritiske?
- Ved en eventuell nedetid, hvor raskt kan dere komme dere ifra denne?
- Har dere kompetanse og systemer som tillater gjenoppretting og tilgang til data?
God IKT-praksis reduserer farene for å bryte loven (for eksempel personvern-, helse– og sikkerhetslovgivning), risiko for å skade omdømmet av din arbeidsplass og tilhørende kunder, potensialet for skade på individer, operativ svikt og finansielt tap.
Vi ser en rivende rask utvikling hos hackerne i både kreativiteten og fremgangsmåten som utøves for å sikre seg tilgang til organisasjoners konfidensielle data. Her nytter det ikke å sove i timen. Capgemini har erfarne eksperter innen kontroll- og tilgangsstyring (IAM), cybersikkerhet og personvern; vi kan teknologi og leverer løsninger som er skreddersydde til din organisasjon. Ta kontakt med Capgemini for en uforpliktende prat om behov for bistand innen cybersikkerhet og personvern i dag!