Ένα μεγάλο κενό ψηφιακής ασφάλειας απειλεί τις επιχειρήσεις από κακόβουλες επιθέσεις -ειδικά στην εποχή της εξ αποστάσεως εργασίας - και δεν είναι άλλο από την ελλιπή εκπαίδευση των εργαζομένων σε θέματα ψηφιακής ασφάλειας. Σχεδόν 8 στους 10 (75%) εργαζόμενους σε ελληνικές επιχειρήσεις δηλώνει πως δεν έχει λάβει σχετική εκπαίδευση αναφορικά με την ασφάλεια και την προστασία από κυβερνοεπιθέσεις στη διάρκεια της τηλεργασίας.
Όπως προκύπτει από πρόσφατη έρευνα της Aboutpeople για λογαριασμό της Kaspersky, αρκετοί είναι εκείνοι που αμελούν να λάβουν βασικά μέτρα ψηφιακής προστασίας, με το 58% να διαμοιράζεται εταιρικά αρχεία μέσω προσωπικών καναλιών επικοινωνίας (social media, mail). Τα παραπάνω καθιστούν ευάλωτα τα ευαίσθητα δεδομένα μικρών και μεγάλων επιχειρήσεων, αυξάνοντας σημαντικά τις πιθανότητες να πέσουν θύματα κυβερνοεγκληματιών.
Στην έρευνα της Kaspersky φάνηκε πως πολλοί Έλληνες εργαζόμενοι αγνοούν βασικά βήματα για την επίτευξη της απόλυτης προστασίας των δεδομένων των επιχειρήσεων τους. Έτσι, οι περισσότεροι από αυτούς (57,9%) χρησιμοποιούν προσωπικά κανάλια κοινωνικής δικτύωσης και εφαρμογές chatting για εσωτερική επικοινωνία με συναδέλφους και τον διαμοιρασμό επαγγελματικών αρχείων.
Ταυτόχρονα, ένα σημαντικό ποσοστό δεν έχει εγκατεστημένο στον υπολογιστή του ούτε VPN (26%), αλλά ούτε και λογισμικό antivirus (14%), αφήνοντας έκθετες ευαίσθητες πληροφορίες σε δυνητικά επιβλαβείς ιούς υπολογιστών, κακόβουλο λογισμικό και άλλες κυβερνοαπειλές.
Κοινή χρήση συσκευών
Σε μεγάλο ποσοστό οι εργαζόμενοι - σύμφωνα με την έρευνα - μεταχειρίζονται τον εξοπλισμό εργασίας τους με τρόπο που αυξάνει δυνητικά τις πιθανότητες να εκτεθεί σε κακόβουλο λογισμικό. Η συντριπτική πλειονότητα του δείγματος (80%) κάνει προσωπική χρήση του εξοπλισμού μέσω του οποίου εργάζονται εξ αποστάσεως, χρησιμοποιώντας τον για ψυχαγωγία, social media και streaming ταινιών, μουσικής και video.
Μεγάλο είναι, επίσης, το ποσοστό των εργαζομένων (28,4%) που επιτρέπουν σε άλλα μέλη του νοικοκυριού να αποκτούν πρόσβαση και να χρησιμοποιούν τον επαγγελματικό τους εξοπλισμό. Έτσι, ο υπολογιστής που οι εργαζόμενοι χρησιμοποιούν για πρόσβαση και διαμοιρασμό επαγγελματικών αρχείων καθίσταται επιρρεπής σε διαφόρων ειδών απειλές του κυβερνοχώρου.
Απότομη μετάβαση
“Λόγω της έκτακτης υιοθέτησης της τηλεργασίας, οι επιχειρήσεις πέρασαν απότομα στην εξ αποστάσεως λειτουργία χωρίς να διαθέτουν το κατάλληλο χρονικό πλαίσιο για να προετοιμαστούν. Παρά το ό,τι σε γενικές γραμμές η ενσωμάτωση της τηλεργασίας ήταν επιτυχής σε τέτοιο βαθμό, που αναλυτές προβλέπουν τη διατήρηση της και μετά το πέρασμα της κρίσης του κορωνοϊού, ένα από τα θέματα, που φάνηκε να διαφεύγει της προσοχής πολλών επιχειρήσεων, ήταν η εφαρμογή πολιτικών για την ασφάλεια των πληροφοριών (information security policies), την προστασία των προσωπικών δεδομένων και την αποτροπή κυβερνοεπιθέσεων”, αναφέρει η Kaspersky.
Όπως τονίζει η εταιρεία, αυτό όμως που είναι πολύ σημαντικό είναι η κάθε επιχείρηση να ελαχιστοποιήσει τα ρίσκα που σχετίζονται με την κυβερνοασφάλεια καθ’ όλη τη διάρκεια τόσο της διαδικασίας λήψης της απόφασης, όσο και κατά τη μετάβαση στο επιλεγμένο εργασιακό μοντέλο. Πολλές φορές οι λύσεις που σχετίζονται με τεχνολογικές υποδομές προστασίας απαιτούν χρόνο και συνοδεύονται από κάποιο κόστος υλοποίησης.
"Οι οργανισμοί, μην έχοντας κατασταλάξει όσον αφορά την επιλογή του ιδανικού μοντέλου εργασίας, αδυνατούν να προδιαγράψουν τις λύσεις που θα βελτιστοποιήσουν τα επίπεδα προστασίας των τεχνολογικών τους υποδομών και πόρων”, σημειώνει η έρευνα.
Προστασία
Η Kaspersky συνιστά τα ακόλουθα για να βοηθήσει τις επιχειρήσεις να επιτρέψουν την ασφαλή τηλεργασία για τους υπαλλήλους τους:
“- Βεβαιωθείτε ότι οι υπάλληλοί σας, γνωρίζουν με ποιον να επικοινωνήσουν εάν αντιμετωπίζουν πρόβλημα πληροφορικής ή ασφάλειας. Δώστε ιδιαίτερη προσοχή στους υπαλλήλους, που πρέπει να εργάζονται από προσωπικές συσκευές - δώστε τους ειδικές συστάσεις πολιτικής και ασφάλειας.
- Προγραμματίστε βασική εκπαίδευση ευαισθητοποίησης για τους υπαλλήλους σας. Αυτό μπορεί να γίνει διαδικτυακά και να καλύπτει βασικές πρακτικές, όπως διαχείριση λογαριασμού και κωδικών πρόσβασης, ασφάλεια email, ασφάλεια τερματικού σημείου.
- Λάβετε βασικά μέτρα προστασίας δεδομένων για τη διασφάλιση εταιρικών δεδομένων και συσκευών, συμπεριλαμβανομένης της ενεργοποίησης της προστασίας με κωδικό πρόσβασης, της κρυπτογράφησης συσκευών εργασίας και της διασφάλισης της δημιουργίας αντιγράφων ασφαλείας δεδομένων.
- Βεβαιωθείτε ότι οι συσκευές, το λογισμικό, οι εφαρμογές και οι υπηρεσίες ενημερώνονται με τις πιο πρόσφατες ενημερώσεις κώδικα.
- Εγκαταστήστε αποδεδειγμένο λογισμικό προστασίας, σε όλα τα τερματικά σημεία, συμπεριλαμβανομένων των φορητών συσκευών. Βοηθά, επίσης, να διασφαλιστεί ότι χρησιμοποιούνται μόνο εγκεκριμένες διαδικτυακές υπηρεσίες για επαγγελματικούς σκοπούς, μειώνοντας τους κινδύνους του shadow IT.
*πρώτη δημοσίευση: www.sepe.gr
