В прошлом году организациям пришлось быстро адаптироваться к реалиям удаленной работы сотрудников, что привело к возникновению ряда проблем, особенно связанных с кибербезопасностью.

Предприятиям, которые раньше полагались на сотрудников, использующих служебные компьютеры и защищенных корпоративным брандмауэром, пришлось иметь дело с персоналом, использующим свои личные устройства и домашнее подключение к Интернету.

И с учетом того, что многие организации считают, что после пандемии мы перейдем к гибридной модели с балансом между работой в офисе и работой из дома , важно, чтобы сотрудники были оснащены надлежащим обучением и инструментами для ведения бизнеса.

Взлом учетной записи - один из наиболее распространенных способов получения киберпреступниками доступа к корпоративным сетям . Эти атаки могут включать фишинговые электронные письма, которые пытаются обманом заставить жертв передать свое имя пользователя и пароль, предоставляя преступникам учетные данные для входа, которые они могут использовать для получения доступа к учетным записям и более широкой сети.

Но иногда злоумышленникам даже не нужно использовать фишинговые электронные письма, поскольку атак методом грубой силы достаточно, чтобы взломать учетные записи. Эти атаки включают автоматическую отправку общих или простых паролей для учетных записей в надежде, что учетные записи будут защищены обычными слабыми паролями, которые легко взломать.

Людям часто говорят, что они должны защищать свои учетные записи длинными сложными паролями, но их бывает трудно запомнить, особенно если у людей много учетных записей. Это может привести к повторному использованию пароля, использованию простых паролей или и к тому, и к другому.

Люди не могут вспомнить более четырех-пяти паролей, мы получаем когнитивную перегрузку. Так устроен наш мозг, нам трудно запоминать пароли, поэтому мы не можем просто загружать разные пароли, которые становятся все более и более популярными. 

Таким образом, хотя совет  использовать длинные и сложные пароли является хорошей практикой кибербезопасности, люди просто не могут запомнить много разных паролей для разных учетных записей - что может привести к использованию слабых паролей, которые могут использовать кибер-злоумышленники.

Одно из решений этой проблемы для организаций - предоставить сотрудникам менеджер паролей - программное обеспечение, которое управляет паролями для пользователей, позволяя им использовать сложные пароли для каждой учетной записи без необходимости запоминать их каждый раз при входе в систему.

Еще один инструмент, который можно использовать для защиты корпоративных учетных записей удаленных сотрудников, - это двухфакторная аутентификация . Она требует дополнительной проверки для входа в учетную запись, обычно в виде предупреждения в приложении. Оно всплывает, когда есть попытка войти в учетную запись, и пользователь получит доступ после подтверждения того, что попытка входа была законной.

Двухфакторная аутентификация обеспечивает дополнительный уровень защиты для учетных записей и их пользователей, поскольку предотвращает доступ кибер-злоумышленников, даже если они взломали или украли правильные учетные данные, поскольку им также необходим доступ ко второму элементу аутентификации.

В компании Microsoft утверждают, что двухфакторная аутентификация предотвращает 99,9% попытки нападений, поэтому все предприятия, которые имеют удаленных  и не удаленных  сотрудников, должны применять ее для дополнительной кибербезопасности.

Одним из больших изменений, вызванных переходом к удаленной работе, стало удаление сотрудников из-под защиты корпоративного брандмауэра. Работа из офиса обеспечивает людей антивирусными и другими средствами защиты, которые могут помочь отфильтровать некоторые атаки.

Теперь вместо этого многие люди работают со своего компьютера из дома, где у них может вообще не быть антивируса и их домашний маршрутизатор не будет обеспечивать надежную защиту от злоумышленников, как корпоративный брандмауэр.

Преступники знают об этом и стремятся воспользоваться кибератаками, особенно когда сотрудники  могут непреднамеренно щелкнуть фишинговую ссылку или ответить на запрос, который, похоже, исходит от коллеги, но на самом деле от киберпреступника.

VPN - сокращение от Virtual Private Network - обеспечивает защищенное сетевое соединение для удаленных подключений до такой степени, что даже провайдер Интернет-услуг не может видеть, какие веб-сайты посещаются или какие данные отправляются. В конечном итоге он действует как корпоративный брандмауэр, пока сотрудник работает удаленно.

А предоставляя удаленным сотрудникам доступ к корпоративной VPN, он не только помогает защитить данные и связь, но и может настроить его так, чтобы, пока VPN активен, можно было предпринимать действия для предотвращения потенциально опасной активности, такой как посещение фишинговых страниц и других вредоносных веб-сайтов.

Но несправедливо перекладывать всю ответственность за безопасность на сотрудников. Отделы корпоративных ИТ и информационной безопасности должны продолжать играть роль в обеспечении безопасности организации.

Например, если сотрудник внезапно входит в систему из странного места или в странное время, а затем пытается получить доступ к частям сети, которые обычно им не интересны, это может указывать на подозрительную активность, которую необходимо устранить. 

Есть и другие меры, которые компании могут предпринять для защиты своих данных. Они могут убедиться, что данные на ноутбуках или других устройствах зашифрованы, чтобы в случае их утери или кражи информация была недоступна. На ноутбуках это может быть просто включение шифрования, на смартфонах это может быть внедрение  программного обеспечения для управления мобильными устройствами для защиты всего устройства или бизнес-данных на личном устройстве. Привлечение сотрудников к использованию облачных сервисов для хранения данных может быть более безопасным, чем использование USB-устройств (что может быть простым способом доставки вредоносного ПО на ноутбуки).

Без правильных инструментов и обучения, которые помогут им оставаться в безопасности, сотрудники могут быть не уверены в обеспечении безопасности, но с правильной помощью и поддержкой со стороны работодателя можно адаптироваться к удаленной работе, а также обезопасить себя от киберугроз.