Služby

utorok 21. februára 2023

Radíme: Firemný počítač a mobil na súkromné účely

Je už bežnou praxou, že zamestnávatelia tolerujú používanie firemných mobilov a počítačov aj na súkromné účely. Takmer 50 % zamestnancov v slovenských firmách to schvaľuje. Podľa prieskumu spoločnosti Seyfor (agentúra MNFORCE, 1.000 respondentov od 18 do 60 rokov, ktorí v práci využívajú informačné a digitálne technológie, november 2022) má túto možnosť 37 % opýtaných Slovákov. Firmy by tak po bezpečnostnej stránke mali adekvátne nastaviť nielen firemnú sieť, ale aj každé koncové zariadenie zvlášť.

 „Zamestnanci prostredníctvom nich najčastejšie riešia súkromnú poštu, spracúvajú osobné dokumenty, nakupujú on-line alebo vstupujú do súkromných účtov na sociálnych sieťach,“ hovorí Milan Ryšavý. Pre zamestnávateľa predstavuje využívanie firemných zariadení na osobné účely zvýšené riziko, najmä ak sa tieto zariadenia používajú mimo firemnej siete, kde sa rad sieťových bezpečnostných technológií (dostupných vo firemnej sieti) nemôže uplatniť. Je teda potrebné riešiť zabezpečenie priamo na úrovni každého koncového zariadenia, aby bola zaistená adekvátna úroveň ochrany aj mimo firemnej siete (práca z domu a na služobných cestách, na dovolenkách a pod.) Riziká v tomto prípade majú štandardné scenáre. Najčastejším vektorom útoku býva emailová komunikácia a komunikácia cez sociálne siete. Tzv. phishing cieli na používateľov, aby získal ich osobné údaje, alebo aby spustil na koncovom zariadení škodlivý softvér. Pokiaľ k nákaze koncového zariadenia dôjde mimo firemnej siete, napríklad doma, je vysoko pravdepodobné, že pri opätovnom pripojení do pracovnej siete bude problém aj tu. Zamestnanci slovenských firiem v prieskume uviedli spomínaný phishing ako najčastejší bezpečnostný incident (50 %), ktorý sa im stal. Pripojenie zavíreného zariadenia do firemnej siete sa udialo v 38 % prípadov a 22 % zamestnancov zažilo na svojom zariadení útok hekerov.

Je zrejmé, že nestačí použiť iba bezpečnostné technológie, ale tiež zamerať sa aj na vzdelávanie používateľov, aby vedeli, čo je bezpečné správanie v kyberpriestore. Konzekvencie voči vzniknutým problémom by mali byť prispôsobené konkrétnej spoločnosti a charaktetu jej práce. Iné pravidlá a interné zvyklosti platia pri technologickom start-upe, iné v silne regulovanom prostredí, akým je vojenské spravodajstvo. Je vhodné interným predpisom jasne definovať, za akých podmienok a akým spôsobom je možné firemné zariadenie použiť na súkromné ​​účely. „V praxi býva častá situácia že interný predpis toto využitie zakazuje a používanie na súkromné ​​použitie je ale v praxi ticho tolerované. V tomto režime je potom ťažko vymáhateľná zodpovednosť za prípadné škody, ktoré vyplynuli z porušenia pravidiel,“ upozorňuje M. Ryšavý. Zabezpečenie je potrebné riešiť na úrovni každého koncového zariadenia zvlášť, pretože ochrana v rámci firemnej siete už nebýva dostatočná (zamestnanci s koncovými zariadeniami cestujú, pracujú z domu a pod.). Základom je antimalware nástroj s centrálnou správou. Pridať treba správne zabezpečený a priebežne aktualizujúci sa operačný systém, a to vrátane aj pre aplikácie. Za nadstavbovú, ale dôležitú funkcionalitu, potom môžeme považovať oddelenie firemných dát a dokumentov od tých súkromných, čím vieme zaistiť vyššiu úroveň ochrany pre citlivé firemné dáta. Aj po technickej stránke ponúkajú súčasné digitálne zariadenia vyššiu ochranu pred zneužitím. Odborník odporúča, aby autentifikácia používateľa pri vstupe do zariadenia bola kombinovaná. „Základom je silné heslo, ktoré odporúčam kombinovať s identifikáciou používateľa cez niektorý z biometrických prvkov, ako je otlačok prsta či rozpoznanie tváre,“ uzatvára M. Ryšavý.