Ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών (European Union Agency for Cybersecurity- ENISA) δημοσίευσε με Δελτίο Τύπου, τις πιο σημαντικές συμβουλές του, σχετικά με την τηλεργασία λαμβάνοντας υπόψη τις συνθήκες που έχουν διαμορφωθεί στην αγορά εργασίας λόγω του Covid-19. Ειδικότερα, με την αύξηση της τηλεργασίας, προκειμένου να αποτραπεί η εξάπλωση του ιού, είναι σημαντικό να δοθεί μεγάλη προσοχή στην ασφάλεια στον κυβερνοχώρο ή με άλλα λόγια στην ασφάλεια των δικτύων, των συστημάτων και των χρηστών από ηλεκτρονικούς και διαδικτυακούς κινδύνους (Cybersecurity).Ο ENISA επικεντρώθηκε σε συστάσεις/οδηγίες προς τους εργοδότες και τους εργαζόμενους σχετικά με την επαρκή κυβερνοασφάλεια κατά την απομακρυσμένη εργασία αλλά επέστησε την προσοχή και σε ηλεκτρονικές απάτες που συνδέονται με τον Covid-19. Παρακάτω παρατίθενται οι αναλυτικές συστάσεις του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών.
Συστάσεις για εργοδότες
- Διασφάλιση ότι το εταιρικό VPN κλιμακώνεται και είναι ικανό να διατηρεί μεγάλο αριθμό ταυτόχρονων συνδέσεων.
- Παροχή ασφαλούς τηλεδιάσκεψης για τους εταιρικούς πελάτες (με δυνατότητες ήχου και βίντεο).
- Όλες οι εταιρικές επιχειρησιακές εφαρμογές πρέπει να είναι προσβάσιμες μόνο μέσω κρυπτογραφημένων καναλιών επικοινωνίας (SSL VPN, IPSec VPN).
- Η πρόσβαση σε διαδικτυακές πύλες εφαρμογών πρέπει να είναι διασφαλισμένη μέσω μηχανισμών επαλήθευσης πολλαπλών παραγόντων (MFA).
- Αποτροπή της άμεσης έκθεσης στο διαδίκτυο σε απομακρυσμένες συνδέσεις πρόσβασης συστήματος (π.χ. RDP).
- Προτιμάται ο αμοιβαίος έλεγχος ταυτότητας κατά την πρόσβαση σε εταιρικά συστήματα (π.χ. πελάτης σε server ή server σε πελάτη).
- Παροχή όταν είναι εφικτό εταιρικών υπολογιστών/συσκευών στο προσωπικό κατά την τηλεργασία, ώστε να βεβαιώνεται ότι οι υπολογιστές/συσκευές αυτοί έχουν ενημερωμένο λογισμικό προστασίας και επίπεδα ενημερώσεων ασφαλείας και ότι υπενθυμίζεται τακτικά στους χρήστες να ελέγχουν τα επίπεδα των patches. Συνιστάται να υπάρχει επίσης ένα σύστημα αντικατάστασης για συσκευές που έχουν αποτύχει.
- BYOD (Bring Your Own Device) όπως οι προσωπικοί φορητοί υπολογιστές ή οι κινητές συσκευές πρέπει να ελέγχονται από την άποψη της ασφάλειας χρησιμοποιώντας πλατφόρμες NAC, NAP (π.χ. patch check, configuration check , AV check κλπ.).
- Εξασφάλιση ότι υπάρχουν επαρκείς πόροι πληροφορικής για την υποστήριξη του προσωπικού σε περίπτωση τεχνικών ζητημάτων κατά την τηλεργασία (παροχή σχετικών πληροφοριών, π.χ. στα σημεία επικοινωνίας, στο προσωπικό).
- Διασφάλιση της ύπαρξης πολιτικών για την αντιμετώπιση περιστατικών ασφαλείας και παραβιάσεων προσωπικών δεδομένων και κατάλληλη ενημέρωση του προσωπικού σχετικά με αυτά.
- Εξασφάλιση ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα από τον εργοδότη στο πλαίσιο της τηλεργασίας είναι σύμφωνη με το νομικό πλαίσιο της ΕΕ για την προστασία των δεδομένων.
Συστάσεις για το προσωπικό σχετικά με την τηλεργασία
- Χρησιμοποιήστε εταιρικούς (αντί για προσωπικούς) υπολογιστές όπου είναι δυνατόν – εκτός εάν η BYOD (Bring Your Own Device) έχει ελεγχθεί όπως αναφέρεται παραπάνω. Στο μέτρο του δυνατού, μην αναμειγνύετε δραστηριότητες εργασίας και ψυχαγωγίας στην ίδια συσκευή και προσέχετε ιδιαίτερα με τα μηνύματα που αφορούν τον Covid-19.
- Συνδεθείτε στο διαδίκτυο μέσω ασφαλών δικτύων και αποφύγετε τα open/δωρεάν δίκτυα. Τα περισσότερα συστήματα wifi στο σπίτι αυτές τις μέρες είναι σωστά ασφαλισμένα, αλλά ορισμένες παλαιότερες εγκαταστάσεις μπορεί να μην είναι. Με μια μη ασφαλή σύνδεση, οι κακόβουλοι που βρίσκονται σε κοντινή απόσταση μπορούν να παρακολουθήσουν/κατασκοπεύσουν τις ενέργειές σας και κάποιοι με τεχνική επάρκεια , μπορεί να είναι σε θέση να «υποκλέψουν» τη σύνδεση. Με βάση αυτό, ο κίνδυνος δεν είναι πολύ υψηλότερος από ό,τι όταν χρησιμοποιείτε δημόσια «ανοικτά δίκτυα» εκτός από το γεγονός ότι πιθανώς οι κακόβουλοι άνθρωποι θα βρίσκονται στον ίδιο χώρο για πολύ καιρό. Η λύση είναι να ενεργοποιηθεί η κρυπτογράφηση (εάν δεν έχει γίνει ήδη). Σημειώστε ότι ο κίνδυνος αυτός μετριάζεται κάπως με τη χρήση ασφαλούς σύνδεσης με την εταιρία.
- Αποφύγετε την ανταλλαγή ευαίσθητων εταιρικών πληροφοριών (π.χ. μέσω ηλεκτρονικού ταχυδρομείου) όταν χρησιμοποιείτε πιθανόν επικίνδυνες συνδέσεις.
- Όσο είναι δυνατόν, χρησιμοποιήστε τους εταιρικούς Intranet πόρους για να διαμοιραστείτε αρχεία εργασίας. Από τη μία πλευρά, αυτό εξασφαλίζει ότι τα αρχεία εργασίας είναι ενημερωμένα και συγχρόνως αποφεύγεται η ανταλλαγή ευαίσθητων πληροφοριών σε τοπικές συσκευές.
- Προσέξτε ιδιαίτερα οποιαδήποτε μηνύματα ηλεκτρονικού ταχυδρομείου σχετίζονται με τον κορωνοϊό Covid-19, καθώς αυτά μπορεί να είναι απόπειρες ηλεκτρονικού “ψαρέματος” ή απάτες. Σε περίπτωση αμφιβολιών αναφορικά με τη νομιμότητα ενός μηνύματος ηλεκτρονικού ταχυδρομείου, επικοινωνήστε με τον υπεύθυνο ασφαλείας της εταιρίας-οργανισμού σας.
- “Data at rest”, δηλαδή «ανενεργά δεδομένα» που δεν διαβιβάζονται προς το παρόν σε ένα δίκτυο ή δεν επεξεργάζονται ενεργά, π.χ. δεδομένα σε βάσεις δεδομένων, συστήματα αρχείων και τοπικές μονάδες δίσκων, θα πρέπει να κρυπτογραφούνται (αυτό προστατεύει σε περίπτωση κλοπής/απώλειας της συσκευής).
- Το Antivirus/Antimalware πρέπει να είναι εγκατεστημένο και πλήρως ενημερωμένο.
- Το σύστημα (το λειτουργικό σύστημα και οι εφαρμογές που χρησιμοποιούνται, καθώς και το σύστημα προστασίας από ιούς) πρέπει να είναι ενημερωμένο.
- Κλείστε την οθόνη σας εάν εργάζεστε σε κοινόχρηστο χώρο. Φυσικά θα πρέπει να αποφύγετε τη συνεργασία ή τους κοινόχρηστους χώρους αυτή τη περίοδο, καθώς η κοινωνική απομάκρυνση είναι εξαιρετικά σημαντική στην επιβράδυνση της εξάπλωσης του ιού.
- Μην μοιράζεστε τις διευθύνσεις URL εικονικής συνάντησης στα κοινωνικά μέσα ή σε άλλα δημόσια κανάλια καθώς μη εξουσιοδοτημένα τρίτα μέρη, θα μπορούσαν να έχουν πρόσβαση σε ιδιωτικές συναντήσεις με αυτόν τον τρόπο.
Απάτες ηλεκτρονικού “ψαρέματος” (Phishing Scams) που συνδέονται με το COVID-19
Σύμφωνα με τον Ευρωπαϊκό Οργανισμό για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) είναι σημαντικό να ενισχυθεί η ευαισθητοποίηση σχετικά με την ψηφιακή ασφάλεια κατά τη διάρκεια αυτής της περιόδου, καθώς έχει διαπιστωθεί ήδη αύξηση των επιθέσεων ηλεκτρονικού ψαρέματος ” Phishing“.
Στην τρέχουσα κατάσταση, θα πρέπει να είστε υποψιασμένοι για οποιαδήποτε μηνύματα ηλεκτρονικού ταχυδρομείου τα οποία σας ζητούν να ελέγξετε ή να ανανεώσετε τα διαπιστευτήριά σας, ακόμη και αν φαίνεται να προέρχονται από μια αξιόπιστη πηγή. Δοκιμάστε να επαληθεύσετε την αυθεντικότητα του αιτήματος με άλλα μέσα και μην κάνετε κλικ σε ύποπτους συνδέσμους ή ανοίγετε τυχόν ύποπτα συνημμένα. Ειδικότερα:
- Να είστε καχύποπτοι με μηνύματα από άτομα που δεν γνωρίζετε – ειδικά αν ζητούν να συνδεθούν με συνδέσμους ή ανοιχτά αρχεία (σε περίπτωση αμφιβολίας τηλεφωνήστε στον υπεύθυνο ασφαλείας).
- Τα μηνύματα που δημιουργούν μια εικόνα επείγουσας ανάγκης ή σοβαρές συνέπειες, είναι υποψήφια για ηλεκτρονικές απάτες. Σε αυτές τις περιπτώσεις επαληθεύετε πάντα μέσω εξωτερικού καναλιού πριν απαντήσετε.
- Τα μηνύματα που αποστέλλονται από άτομα που γνωρίζετε αλλά ζητούνται και ασυνήθιστα στοιχεία είναι επίσης ύποπτα (επαληθεύστε τηλεφωνικά αν είναι δυνατόν).
Μπορείτε να βρείτε το πρωτότυπο κείμενο στην αγγλική γλώσσα στον παρακάτω σύνδεσμο:
https://www.enisa.europa.eu/tips-for-cybersecurity-when-working-from-home
Πηγή: Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών – European Union Agency for Cybersecurity
Μετάφραση: Motive Συμβουλευτική