Když začaly loni na podzim společnosti z Wall Streetu žádat své zaměstnance, aby se navzdory hrozbě Covid-19 vrátili ke svým kancelářským stolům, zdálo se to být jako kontraproduktivní řešení. Při zpětném pohledu je ale vhodné plně ocenit jejich úvahy. Michael Coden, hvězda kybernetické bezpečnosti, nám vysvětlí proč.
Magazín
Nyní je velký boom flex práce: poskytnout zaměstnancům větší flexibilitu, pokud jde o to, kde a kdy pracují - ve skutečnosti se jedná o přepracování pracovního života, spíše než to, aby zaměstnanci museli svůj život obracet. Nový model práce nebude vyhovovat všem. Společnosti budou muset zajistit ubytování kolegům, kteří ve formálním pracovním prostředí pracují efektivněji - i když jejich práce lze technicky provádět odkudkoli. Budou také muset zajistit společný čas, aby kolegové mohli budovat a udržovat vztahy a společně pracovat na trnitých problémech.
Záleží na tom, kde a kdy pracují?
Koncept flexibility některým vůdcům nesedí. Odpověď však obecně zní: Co záleží na tom, kde a kdy pracují, pokud přinášejí výsledky? Některé z klíčových investičních firem na Wall Street však začaly svolávat zaměstnance zpět do jejich Manhattanských kanceláří, kde je standardní praxí zaměstnanců - zejména mladších zaměstnanců - pracovat dlouhé vyčerpávající hodiny. Ve věku Covidu se tato rizika zdala nepřiměřená. Avšak Michael Coden, hvězda kybernetické bezpečnosti dlouho spojená s CAMS (Cybersecurity na MIT Sloan), ukázal skutečnosti ve větším měřítku.
Zdůraznil, že některé práce by se neměly dělat z domova, ne proto, že drtivá většina lidí, kteří tyto úkoly provádějí, nejsou důvěryhodní nebo nedodržují správné bezpečnostní protokoly, ale proto, že i při správném zaškolení a nejmodernějším stavu pc zařízení ochranu před malwarem, spywarem a viry není možné zajistit na 100%. Navíc, jak se mnoho organizací naučilo díky drsným lekcím, někteří zaměstnanci nejsou důvěryhodní a vzdálení pracovníci se mohou snadněji domluvit na spáchání podvodu. Proto musí existovat pravidla, která někdy stanoví vládní regulační orgány, aby se zabránilo podvodům a jiným trestným činům. A tato pravidla musí platit pro všechny.
Velké finanční transkace? Z domova raději ne
Varoval, že mezi práce, které by nikdy neměly být prováděny doma, patří funkce zahrnující určité typy finančních informací a finančních transakcí s velkým dopadem. To může zahrnovat některé obchodní informace, čísla účtů, zůstatky na účtech, závazky k účtům, a informace o fúzích a akvizicích, které by mohly někomu umožnit manipulovat s finančními trhy nebo prostě ukrást peníze.
Při práci mimo pracoviště, často na notebooku nebo osobním počítači, mohou být systémy ještě zranitelnější. Kromě toho stačí jedno nebo dvě špatná zařízení. Michael vysvětlil, že právě tato obava a pomalá rychlost vzdáleného připojení způsobily, že investiční banky povolaly zaměstnance nezbytné pro finanční infrastrukturu zpět do svých kanceláří, kde je možné jak kybernetické slabosti domácích sítí, tak všudypřítomné zasvěcené hrozby snazší minimalizovat, než když zaměstnanci pracují na dálku.
Klíčová výhoda milisekundy
Lze to pochopit například na základě filmu „The Hummingbird Project“, který je postaven na předpokladu, že pokud by jeden pracovník (v tomto případě dva: bratranci Vincent, schemer a Anton, geniální kodéři) mohl získat dokonce milisekundovou výhodu v provádění finančních obchodů - množství času, které kolibříkovi trvá, než mávne křídlem - mohl by pak předvídat pohyby trhu, vytvářet nebo ničit miliardy dolarů.
Banky se tedy ohledně kybernetických rizik příliš nemýlí. A vypadá to, že to nejsou jen kybernetické koncerny, které přivolávají své zaměstnance zpět - nebo je nikdy nenechají odejít. Měly by existovat jasné pokyny, které funkce (například ty, které slouží v obchodních a tržních rolích) jsou tak citlivé, že je nelze provádět z domova a které lze snadno provádět odkudkoli, dokonce i v těchto firmách.
Zatímco Coden se zaměřuje na kybernetickou bezpečnost, uvědomuje si, že podstatné procento pracovníků ve znalostech, službách a technických službách, možná většina, bude v budoucnu, alespoň několik dní, pracovat na dálku. Podle definice to zvýší rizika kybernetické bezpečnosti. Neexistují žádná dokonalá řešení. Ale existuje spousta přímých věcí, které mohou společnosti udělat, aby minimalizovaly hrozby, řekl Coden.
6 Codenových doporučení pro minimalizaci hrozeb:
- Upgradujte software pro ochranu koncových bodů (EPS) na software pro detekci a reakci koncových bodů (EDR), který popsal jako „antivirový software na steroidech“, který chrání počítače před malwarem a automaticky upozorňuje oddělení IT, když je detekována hrozba, aby bezpečnostní technici mohli zajistit, aby hrozbou nebyli ovlivňováni také ostatní zaměstnanci.
- Vyžadovat, aby zaměstnanci rychle použili aktualizace, včetně bezpečnostních oprav, do svých operačních systémů, jakmile budou k dispozici. Někteří lidé ignorují oznámení požadující stažení opravy nebo novější verze programu. To musí přestat. Když zaměstnanci dostávají takové zprávy, musí to dělat podle pokynů - a pokud to nestihnou ve stanovené lhůtě (řekněme 14 dní), omezit jim přístup k e-mailu a dalším firemním programům.
- Poskytněte vzdáleným zaměstnancům firemní počítače s předinstalovaným veškerým potřebným bezpečnostním softwarem, který jim umožní dostat se z jejich rodinných sítí a osobních zařízení, kde jsou vyšší rizika infikování. Během krize Covidu bylo zaznamenáno, že hackeři organizovaného zločinu se zaměřují na děti generálních ředitelů, instalují malware do počítačů, aby získali přístup k notebookům generálních ředitelů.
- Naučte zaměstnance, aby se vyvarovali rizikového chování online, alespoň na svých pracovních počítačích. To zahrnuje nepoužívání osobního e-mailu na jejich pracovních počítačích.
- Ujistěte se, že rozumějí hrozbě „vhishing“, známé také jako phishing založený na hlasu. Společnosti musí stanovit způsoby, jak mohou zaměstnanci ověřit, že osoba, s níž mluví, je tím, za koho se považuje - zvláště pokud tvrdí, že je z IT help desk.
- Sledujte, kdy lidé pracují online, i když pracují v neobvyklých hodinách. IT oddělení by mělo být ostražitější, pokud jde o účet, který je aktivní po určených úředních hodinách zaměstnance. To je složité, ale je to možné.
Kybernetická bezpečnost nakonec závisí na vzdělání, etice a poctivosti stejně jako na technologii. Vzdálená a hybridní práce zvyšují rizika, ale zůstanou s námi. Zaměstnavatelé tedy musí být chytří v minimalizaci rizik, což v některých případech bude vyžadovat, aby určité činnosti byly prováděny pouze na zabezpečeném vybavení v kanceláři společnosti. Pokud organizace naslouchají odborníkům, jako je Michael Coden, bude vzdálená práce po Covidu ještě bezpečnější, než tomu bylo před Covidem, kdy kybernetické obavy nebyly u lidí pracující z domova tak vysoké.
Co nás o kybernetické bezpečnosti naučil loňský pandemický rok? Přečtěte si v našem dalším článku Top 10 lekcí o kybernetické bezpečnosti získaných během jednoho roku pandemie.
Připravil: Radek Svoboda