Af Rasmus Elm Rasmussen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Danskerne er glade for at arbejde hjemmefra, og danske virksomheder lader i stigende grad deres medarbejdere nyde godt af denne mulighed. De nyeste tal fra Danmarks Statistik viser, at antallet af danske lønmodtagere, der arbejder hjemmefra mindst en gang om måneden er steget med 10% det seneste år, og er nu oppe på 450.000. Men sammen med muligheden for hjemmearbejde dukker der også helt nye it-sikkerhedsudfordringer op.
”Medarbejdere, der arbejder hjemmefra, skal på den ene eller anden måde have adgang til de data, han normalt arbejder på, og det betyder, at virksomhederne enten åbner op for, at medarbejderen kobler sig op mod it-infrastrukturen udefra eller tager data med hjem via usikre medier,” siger Minna Vadsager, Country Manager, Eurosecure Danmark.
Dermed opstår der nogle trusler mod virksomhedernes datasikkerhed, som virksomhederne bør tage højde for.
”Data på usikre enheder betyder, at virksomheder risikerer at miste eller få stjålet følsomme data, for eksempel når usb-nøgler, tablets og smartphones tabes, glemmes eller stjæles. Eksterne opkoblinger mod virksomhedernes it-infrastruktur, er ligeledes problematiske, hvis disse ikke er sikrede. De giver nemlig en direkte vej ind i virksomhederne, ofte forbi de fleste sikkerhedsforanstaltninger,” fortæller Minna Vadsager og fortsætter:
”Usikre enheder kan for eksempel være usb-nøgler, hvor data ligger ukrypterede eller smartphones/tablets, uden nogen form for sikkerhed installeret eller mulighed for, at it-administrator kan låse dem eller slette dem via fjernadgang. Men usikre enheder er i høj grad også medarbejdernes hjemmecomputer, som kun sjældent er under virksomhedens kontrol.”
Når næsten ½ million danskere jævnligt arbejder hjemmefra, er det en stor del af danske virksomheder, der er potentielle mål for hackere.
”Det giver hackerne en stor mængde ofre at gå efter, og hvis det lykkes for dem at inficere en hjemmecomputer, for eksempel via spear phishing, så har de pludselig en helt ny vej ind i virksomhederne, enten via en opkobling eller ved inficeret data, som brugerne så selv tager med ind på den forkerte side af virksomhedens firewall næste dag,” siger Anders Nilsson, sikkerhedsekspert og CTO hos Eurosecure.
Spear phishing bliver stadig mere populært hos hackerne, fordi det er langt lettere at narre privatpersoner og på den måde få adgang til virksomhedernes netværk. For nyligt har vi for eksempel set, at Syrian Electronic Army (SEA) har hacket Washington Post ved at phishe en sportsreporter. Her lykkedes det hackere fra SEA, ved hjælp af meget sofistikerede og tilpassede emails, at lokke sportsreporteren til at videregive informationer om hans personlige mailkonto, der derefter blev brugt til at udsende mails for SEA.
Sådan sikrer du din virksomhed
Anders Nilsson mener, at mulighederne for at arbejde hjemmefra er en rigtig god ting, men virksomhederne er nødt til at tage deres forholdsregler, inden de omfavner den mulighed.
”Hjemmearbejde er populært i Danmark, og det skal virksomhederne være glade for, den fleksibilitet som hjemmearbejde giver, kommer altid godt igen. Men de skal samtidig sikre deres virksomhed mod de problemer, hjemmearbejdspladser potentielt giver, siger Anders Nilsson, og giver 6 gode råd til, hvordan virksomhederne sikrer sig:
1. Kryptering af data er det vigtigste forsvar mod at miste data. Alle følsomme data, der forlader virksomheden, om det er via fysiske medier, via mail eller via fjernadgang, bør beskyttes af en stærk kryptering, så det kun er godkendte personer der kan få adgang til dem.
2. Medarbejderne bør kun koble op mod virksomhedernes it-infrastruktur via sikrede forbindelser og fra computere og mobile enheder, der er godkendt af virksomheden.
3. Virksomhederne skal sikre, at godkendte computere altid har et sikkerhedsprodukt installeret, der kan administreres af virksomhedens it-administrator.
4. Sørg for, at data ikke kan kopieres ud til ikke-godkendte usb-nøgler.
5. Luk for tjenester som Dropbox, Skydrive og Google-drev internt i virksomheden.
6. Hvis medarbejderne kan tilgå data via smartphones eller tablets, skal det være muligt for it-administratoren at slette indholdet på dem via nettet, skulle de blive stjålet eller mistet på anden måde.