Рекомендации по кибербезопасности при удаленной работе из дома

Сегодня весь мир и Азербайджан, в том числе столкнулся с новыми вызовами. Во всем мире государства разрабатывают правительственные программы, находятся в поиске  инновационных идей для решения проблем, вызванных пандемией COVID-19, изо всех сил пытаясь найти решения для борьбы с надвигающимся экономическим кризисом.

Некоторые страны могут иметь конкурентные преимущества в преодолении кризиса «КОВИД-19». Среди них есть такие страны, которые имеют развитую цифровую инфраструктуру, а также онлайн решения для бизнеса. Сегодня, когда все может измениться в считанные дни, важно уметь быстро адаптироваться. У Азербайджана есть целый ряд преимуществ, которые следует принять во внимание. Правительство сделало многое для развития цифровой инфраструктуры ведения бизнеса. Важно, чтобы государство трансформировалось в инновационную платформу, предоставляя услуги с максимальным упрощением процедур.

Было бы неплохо сейчас уйти от некоторых бюрократических регламентов и изменить их в свою пользу. Например, максимально отойти от любых бумажных форм, возможности заказать банковскую карту онлайн, открыть онлайн доступ с электронной подписью к интернет-банку, оформить онлайн больничный лист и освободить врачей от лишней нагрузки или иметь возможность проконсультироваться с врачом в своё приемное время по телефону, сведя посещение больниц к минимуму.

Много стратегических инициатив уже запущено в Азербайджане, многое еще предстоит сделать. Как быстро мы справимся с этой ситуацией зависит от каждого из нас. Только все вместе мы сможем преодолеть этот сложный период. Коронавирус значительно повлиял на наш повседневный уклад, стиль работы и предпринимательство в целом. Спровоцированное вирусом охлаждение экономики повлекло за собой сложности для многих предприятий. В создавшейся ситуации предприятия ищут возможности для организации удалённой работы. Лучший выбор в сложившейся ситуации – это работа из дома. Работодатели должны максимально поощрять удалённую работу и с пониманием отнестись к работникам с детьми. Нельзя забывать, что школу, детский сад, завтрак, обед и ужин в сегодняшних условиях должны обеспечивать родители дома для своих семей и детей.

Я бы хотела обратить внимание на то, как мы можем использовать существующие инструменты и технологии для того, чтобы продолжить работать дистанционно и тем самым минимизировать негативные последствия для нашей экономики. Что необходимо учесть и на что необходимо обратить внимание всем секторам экономики. Я также призываю не основываться только на исключительности сегодняшней ситуации, а также думать и о дальнейших последствиях наших решений. Ситуация обязательно нормализуется, но проблемы, которые мы сейчас можем создать, желанием быстро действовать, останутся с нами. Я имею в виду безопасность, защиту данных наших граждан, данных наших компаний и государственных учреждений, защиту критических информационных систем и т.д.

В условиях новой глобальной пандемии число людей, использующих онлайн-ресурсы для продолжения обучения, работы или проведении досуга, стремительно растет. К сожалению, кибер-преступники активно используют условия кризиса, и мы становимся свидетелями резкого роста кибер-инцидентов, применения фишинга, вредоносных программ и кражи данных, связанных с вирусом COVID-19. Незнание или простая небрежность при использовании компьютеров может вызвать ряд проблем не только для отдельного пользователя, но и для его коллег, организации или всей страны в целом.

Итак, что необходимо принять во внимание в сфере кибербезопасности в период пандемии и на что стоит обратить внимание ваших работников, которые приступили к работе из дома:

  • Связь, которая используется. Узнайте у них, достаточно ли защищенный пароль в домашнем WiFi и роутере? Возможно, паролей нет вообще. Возможно, они символичны и являются легкой добычей для ботов, которые ежеминутно находятся в поиске незащищенных сетей и роутеров;
  • Не используйте рабочий компьютер для развлечений;
  • Не позволяйте детям использовать ваш рабочий компьютер;
  • Обновлены ли операционные системы и приложения;
  • VPN как на компьютерах так и на мобильных девайсах.

Может быть нелишним подписать с работниками договор о временном использовании рабочего компьютера дома и попросить его ознакомиться с условиями пользования, в котором прописать все требования, связанные с безопасностью. Можно установить через VPN запрет к использованию определенных сайтов, к примеру Netflix.  Использование надежных продуктов безопасности является ключевым элементом для предотвращения кибер-инцидентов. Антивирусная защита, установленная на вашем компьютере и VPN решение для удаленной работы это основные вещи, которые любой бизнес может использовать для обеспечения безопасности. VPN — это зашифрованный канал с корпоративным сервером на одном конце, который позволяет сотрудникам безопасно получать доступ к корпоративной сети. Использование VPN-подключения сегодня является минимальным стандартом для удаленной работы. К сожалению, все еще есть компании, которые продолжают использовать небезопасные решения для доступа к сети за пределами офиса.

В последнее время возросло количество случаев взлома серверов компании, шифрования всей базы данных и требования выкупа за ключи шифрования. В этом случае зачастую необходимо заменить всю информационную систему компании. Теперь, когда количество людей, работающих удалённо, увеличилось, число упомянутых инцидентов может также значительно увеличиться.

Перейдём к анализу программ для проведения конференц-звонков. Одним из самых распространенных инструментов на сегодняшний день является ZOOM. К примеру, многие школы в Азербайджане  используют эту систему в том же числе на данный момент. Не будем останавливаться на проблемах с кодом, а возьмем самую распространённую проблему с защитой приватности. Что необходимо учесть при использовании этой программы:

  • Не делитесь номером сессии (meetings ID) публично;
  • Добавьте пароль к сессии!;
  • Примите к сведению, что кто-либо позвонив на сессию через телефон, может подключиться и остаться незамеченным;
  • Разрешите только инициатору сессии делиться экраном;
  • Отключите функцию, позволяющую удаленным участникам вновь подключиться;
  • Отключите функцию обмена файлами;
  • Регулярно обновляйте программу Zoom;
  • Не забывайте, что ваши чаты могут стать достоянием общественности;
  • Не нажимайте на неизвестные вам линки.

К некоторым программам видеоконференций у специалистов есть много вопросов по безопасности. Поэтому можете также воспользоваться другими программами: FaceTime, Signal (при общении один на один, для очень личных разговоров),  Skype и Microsoft Teams, Jitsi и т.д.

Рахиля Алиярзаде — учредитель Femmes Digitales и заместитель директора по ИКТ Бакинского Европейского Лицея, советует всем родителям вместе с детьми пройти «Мультимедийный учебный дистанционный курс безопасного пользования ресурсами сети Интернет» на портале https://onlinesafety.info/, созданным Международным Союзом Электросвязи ООН, чтобы дети прошли дистанционное онлайн обучение и получили онлайн сертификат для разных возрастных категорий. «Это очень важно в нынешних условиях, когда дети используют онлайн ресурсы для школьной программы, участвуют в онлайн играх и имеют на руках смартфоны и планшеты.»

По мнению Розы Бутаевой, учредителя Femmes Digitales и старшего советника Управления Информатизации Системы Образования Министерства Образования Азербайджанской Республики: «На данный момент практически все учебные заведения перешли на дистанционное обучение. Министерство Образования уже разработало и продолжает разработку электронных учебников, обучающих и тестирующих  материалов и ресурсов, которые всегда доступны на интернет порталах e-derslik.edu.az, video.edu.az и других ресурсах, а также запущена трансляция телеуроков. Пришло время законодательно утвердить дистанционную форму обучения наряду с очной и заочной, которая принята во всех развитых странах. Особенно стоит обратить внимание на требования к информационной безопасности и защите данных. Необходимо позаботиться также о резервном копировании важных данных в ваших компаниях. Если раньше наличие документа “Политика информационной безопасности”, в котором прописывались все правила соблюдения информационной безопасности и защиты данных компании было обязательно только для сертифицированных компаний, то в нынешних условиях  я бы рекомендовала подготовить такой документ для каждой компании. Сотрудники  должны быть ознакомлены с условиями документа и выполнять так же как и должностные инструкции в обязательном порядке. В правильной организации информационной безопасности и в подготовке этого документа на помощь придут IT партнеры. Этот вид услуг может стать одним из самых востребованных в ближайшем будущем.»

Мы должны понимать, что периоды кризисов и чрезвычайных ситуаций – идеальное время для кибер-преступников. Количество спама увеличивается в геометрической прогрессии. Будьте осторожными с новостями, ссылками, приходящими на вашу электронную почту. Ни в коем случае не указывайте ваши личные данные,  пароли, имена пользователя.

Что необходимо учесть при открытии электронных писем и установки новых приложений:

  • От кого пришло электронное письмо (было ли оно отправлено с обычного и правильного адреса, внимательно смотрите на все знаки в адресе);
  • Кому было отправлено письмо (правильно ли указаны имена получателей, их адреса)
  • Соответствует ли содержание и структура письма отправителю (стиль, орфография, содержание);
  • Содержит ли сообщение подозрительные ссылки (не нажимайте на кнопку; просто направьте мышку к ссылке и посмотрите, куда в действительности ведет ссылка; при необходимости позвоните отправителю сообщения, если вы его знаете);
  • Содержит ли сообщение подозрительные вложения (не открывайте и не проверяйте, если необходимо, к примеру, позвоните отправителю сообщения);
  • Перед установкой приложения, убедитесь, что оно предоставляется авторитетным и надежным поставщиком;
  • Перед установкой приложения ознакомьтесь с политикой конфиденциальности и призадумайтесь, необходимы ли такому приложению все права, которые запрашиваются.

На вашу почту могут приходить различные сообщения на тему COVID-19. Например, вам может поступить информация, что вы контактировали с человеком , зараженным коронавирусом, и для этого вам необходимо пройти по ссылке или открыть прикрепленный файл, или же зашифрованный файл из-за мер безопасности, а также необходимость введения своего пароля, или же информация о том, что ваш коллега по работе заразился и ваша компания прислала вам новые правила действий, прикрепленных к мейлу. Сегодня надо быть вдвойне внимательным к любому роду сообщений.  Когда люди в панике или испуганы, они наиболее всего подвержены к быстрому и необдуманному реагированию и хакеры это прекрасно знают. Поэтому все вспоминаем песню Селин Дион “Think Twice” и думаем дважды перед тем как что-то открыть или куда-то ввести свои данные.

Не забывайте, что спам может приходить и на ваши телефоны посредством смс-сообщений или через приложения. К примеру, сегодня хакеры используют интерфейсы и новости, похожие на правительственные сайты, которые люди очень быстро передают друг другу. Например, вам может прийти сообщение, что правительство приняло решение о выделении субсидий пострадавшим из-за  последствий коронавируса и предложение пройти по ссылке и заполнить форму для получения субсидии. Пройдя по ссылке вы можете увидеть знакомые логотипы и похожий сайт, но это будет совсем неправительственный сайт. Всегда внимательно смотрите на указанную мелким шрифтом в телефоне адресную строку наверху, а не на картинку перед глазами.

Особо важная тема в данное время – безопасность ваших медицинских данных. В период кризисной ситуации часто приходит много сообщений, в том числе и  по доставке лекарств, предлагая направить фото рецепта и ваши личные данные. Всегда стоит подумать, хотите ли вы чтобы ваш диагноз стал достоянием общественности. Здесь, конечно же, стоит задуматься как поставить в приоритет создание системы защищенных электронных рецептов, чтобы у людей не было необходимости  тратить время на посещение аптекам с бумагами. Обеспечение безопасности и защита данных компании является обязанностью не только работодателя, но и работника. Поэтому осведомленность сотрудников компании о кибер-безопасности необходимо постоянно повышать. Само существование систем безопасности мало что дает, сотрудники должны уметь их использовать и соблюдать регламенты. Компания должна установить определенные правила, которые должны соблюдаться при удалённой работе. Эти правила должны быть представлены сотрудникам. При возникновении вопросов по настройке домашнего офиса, сотрудник всегда должен иметь возможность связаться с ИТ-специалистом, который проинструктирует и поможет.

Часто мы все уверены, что именно с нами ничего не произойдет, но если вся система компании будет взломана или перестанет работать, ущерб будет огромен и на решение этой проблемы уйдет много времени и финансов, что гораздо больше, чем вложение в обучение по кибер-безопасности сотрудников. А в нынешних условиях время и деньги как никогда важны. Особое внимание при дистанционной работе необходимо уделить вашим банковским транзакциям.

«В связи с ситуацией в стране, риск кибер-атак на пользователей банковских продуктов в последнее время возрос. Я хотела бы обратить ваше внимание на то, как мы в PASHA Банке сегодня взаимодействуем с нашими клиентами, учитывая к примеру одну из этих атак — фишинг. Как вы знаете, фишинг — вид мошенничества, направленный на получение банковских счетов, кредитных карт и информации, необходимой пользователям для доступа в Интернет. Чтобы защитить себя от таких атак, пожалуйста, следуйте следующим простым правилам:

  1. Прежде чем читать электронные письма, проверьте адрес электронной почты отправителя, особенно уделите внимание названию домена;
  2. Письмо, полученное из неизвестного источника (адрес электронной почты): не переходите по ссылкам, не открывайте вложения, не загружайте файлы, не вводите имя, пароль и другую конфиденциальную информацию;
  3. Не открывайте вложения в сообщениях электронной почты, которые являются сомнительными, даже с адреса, который вы знаете;
  4. Если электронное письмо от PASHA Банка является подозрительным или нестандартным, свяжитесь с представителями Банка для подтверждения;
  5. Используйте последнюю версию антивируса.

От имени PASHA Банка мы постоянно информируем наших клиентов о кибер-безопасности, призываем их быть более осторожными в течение этого периода и повышать осведомленность по этому вопросу. Как вы знаете, сегодня не приходя в банк можно стать клиентом банка, открыть счет и представиться (подтвердить свою личность) с помощью видеозвонка посредством мобильной электронной подписи Asan Imza. Вы можете совершать все платежи с нашей платформы онлайн-банкинга, размещать заказы на POS-терминалах и зарплатных картах, а также управлять профилем вашей компании. Ради нашего собственного здоровья и здоровья окружающих нас людей, мы призываем всех пользоваться услугами онлайн-банкинга», — сказала Шахла Мамедова, основатель Femmes Digitales, и Agile Коуч Цифровой Лаборатории PASHA Банка.

Предприниматели должны понимать, что в современном информационном обществе все более важным становится вопрос безопасности ИТ-систем и что при удалённой работе из дома также необходимо учитывать правила безопасности и думать о том, как проактивно защитить свою компанию и сотрудников от кибер-угроз. При ограниченных знаниях, разумней воспользоваться помощью ИТ-партнера, который сможет предоставить компании безопасное и комплексное решение. «Сейчас не время унывать и паниковать. При такой нарастающей угрозе, у нас есть шанс сделать мир лучше, грамотно распоряжаясь современными технологиями, сидя дома, мы можем обезопасить себя, свою семью и всю страну.» — отметила Сафия Агамирова, учредитель Femmes Digitales и HR и ISO координатор Агентства Инноваций.

«Учитывая текущую ситуацию с необходимостью работы в удаленном режиме, организациям  рекомендуется обратить внимание на следующие моменты , позволяющие наиболее безопасно организовать дистанционную работу своих сотрудников:

  • При использовании корпоративного ПК при удаленной работе необходимо ввести запрет на доступ сотрудника к BIOS корпоративного устройства, чтобы он не мог загрузить операционную систему с флешки. Так же обязательно включить шифрование (Windows BitLocker или аналоги);
  • При использовании личных ПК сотрудников при удаленной работе необходимо убедиться, что установлены все обновления операционной системы и других, необходимых для работы, программ. Необходимо проверить установку антивирусного пакета и, по-возможности, провести проверку персональных устройств сотрудников на наличие вирусов и вредоносного ПО;
  • При использовании технологии удалённых виртуальных рабочих столов полагаться только на запатентованные решения производителей;
  • При удалённом подключении к внутренним сервисам организации желательно использовать двухфакторную аутентификацию. Это может быть специальный код, приходящий по SMS или электронной почте, а так же специальный USB-ключ или биометрические данные пользователя. В Азербайджане это Asan Imza или e-Imza;
  • По-возможности, использовать различные запатентованные решения по информационной безопасности, например DLP и PAM системы, позволяющие предотвратить утечку важной информации, а также анализировать эффективность работы сотрудников, где бы они не находились;
  • В обязательном порядке заранее позаботиться о технологических инструментах, позволяющих сотрудникам ИТ оказывать удаленные услуги поддержки сотрудникам.» — отметила Наталья Осипова, учредитель Femmes Digitales и Главный архитектор ИТ-решений компании Fominov Consulting.

И вместе с кибер-гигиеной не забываем о личной гигиене и мытье рук!

 

Яна Кримпе – учредитель «Femmes Digitales» -«Клуб Азербайджанских Женщин в ИТ» и глава компании B.Est Solutions

 

 

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s