1asig.ro
1asig.ro
federatia roaman de bowling

Studiu: Munca de acasa, risc major de securitate cibernetica

Cele mai multe firme romanesti nu au luat niciun fel de masuri de securitate suplimentare, in contextul in care, pe fondul pandemiei, au adoptat munca de acasa conform barometrului realizat de compania de consultanta Frames la comanda Infosec Center. Expertii afirma ca, fara masuri de management al securitatii informatiilor, exista riscul ca aceste companii sa sufere pierderi majore, daca informatiile de business sau datele cu caracter personal fac subiectul unor brese de securitate.

"Schimbarile legate de munca de acasa s-au facut de la o zi la alta si nu am avut timpul si resursele necesare sa adaptam corespunzator masurile pentru securizarea activitatilor online. In plus, ar fi trebuit ca angajatii sa beneficieze de instruire pentru noua realitate digitala, insa nu avem buget".

Acest raspuns primit de la unul dintre participantii la sondaj ar putea defini pe ansamblu, opinia majoritara a celor 672 de participanti la barometrul realizat in perioada 25 octombrie - 1 noiembrie, care a urmarit sa afle perceptia mediului de afaceri in privinta managementului securitatii informatiilor si a pregatirii angajatilor pentru noua realitate a muncii de acasa.

Potrivit datelor studiului, realizat la nivel national, 67% dintre respondenti au declarat ca pandemia de COVID-19 a determinat firmele pe care le conduc sau la care lucreaza sa adopte munca de acasa, o decizie pe care 87% o considera drept o masura pozitiva in contextul pericolului de infectare cu noul coronavirus.

Munca de acasa a venit cu avantaje dar si cu dezavantaje pentru firmele romanesti, mai ales pentru cele in care, inainte de pandemie, utilizarea emailului, a sistemelor de videoconferinta si altor platforme cloud reprezentau o necunoscuta.

Cele mai multe provocari le-a reprezentat absenta interactiunii sociale (cu colegii), mentionata de 58% dintre respondenti, absenta unui mediu de lucru optim (spatiu insuficient, conectivitate internet de slaba calitate, alte probleme logistice), sustinuta de 41%, si volumul mai mare de munca, amintit de 32% dintre acestia.

Pe lista provocarilor s-au mai aflat cresterea riscurilor de securitate cibernetica (24%) si problemele de management al angajatilor (19%).

In ceea ce priveste avantajele muncii de acasa, marea majoritate a respondentilor a indicat eliminarea timpului pierdut pe drum spre/de la serviciu (73%). Optimizarea timpului de lucru/eliminarea rutinei (52%) si existenta unui mediu de lucru fara restrictii (43%) s-au clasat pe urmatoarele doua locuri in topul avantajelor identificate de respondenti. Pentru o parte dintre ei (38%), un alt mare avantaj l-a reprezentat scaderea cheltuielilor personale generate de activitatea la birou (masa, transport, haine etc.)

Pericolele din mediul online

Potrivit expertilor, dincolo de modul in care au reusit, logistic, sa le asigure angajatilor posibilitatea de a-si continua activitatea de acasa, marea problema identificata de barometrul FRAMES & INFOSEC CENTER este ca prea putine companii au constientizat si au luat masuri pentru a-si proteja activitatea digitala.

"Pandemia COVID-19 a fost un catalizator pentru transformarea locului de munca. Din perspectiva securitatii cibernetice, vad o multime de provocari in privinta operatiunilor care trec de la protejarea activelor aflate in cea mai mare parte in spatele unui firewall, la unele aflate intr-un mediu IT predominant descentralizat, eterogen. Acomodarea intr-un ritm extrem de alert la noua realitate nu se poate face fara aparitia unor riscuri care trebuie evaluate, asumate si tratate corespunzator", afirma Marius Haratau, manager INFOSEC CENTER.

Intrebati cum s-a schimbat atitudinea companiei in privinta securitatii cibernetice (al managementului securitatii informatiilor si protectiei datelor cu caracter personal) in ultimul an, 52% dintre respondenti au declarat ca a ramas neschimbata. Altfel spus nu au luat nicio masura suplimentara pentru managementul securitatii informatiilor. 23% au indicat faptul ca nu exista o strategie pe acest domeniu.

Doar 18% au declarat ca politica firmei a devenit mai stricta si numai 7% au indicat raspunsul ,,foarte stricta".

,,Daca in zona companiilor mari, a multinationalelor, exista politici de securitate bine definite, iar munca de acasa a impus noi restrictii de securitate si investitii in sisteme de securitate, in zona IMM-urilor exista inca o prea putina preocupare pe acest segment'', a mai declarat Marius Haratau, managerul INFOSEC CENTER.

,,Multi dintre angajati folosesc PC-uri/laptopuri personale in activitatile de la munca sau, daca au primit de la serviciu astfel de dispozitive, acestea sunt insuficient securizate, firmele evitand sa aloce fonduri suplimentare pentru achizitia de sisteme de securitate cibernetica. Asa se ajunge ca angajatii sa acceseze platformele companiei (pagini web, magazine online, baze de date etc.) in baza unor simple parole, usor de spart, atat de pe PC/laptop cat si de pe telefon'', afirma Adrian Negrescu, managerul FRAMES.

In multe situatii, angajatii se conecteaza direct la reteaua companiei printr-un protocol numit Windows Remote Management (WinRM).

"Accesul in companie prin WinRM este deseori necesar, dar drepturile utilizatorilor trebuie limitate prin politici bine definite. Din pacate, 55% dintre toate sistemele scanate de catre Bitdefender prezinta vulnerabilitati ale WinRM ce ar putea fi exploatate de catre atacatori pentru a compromite reteaua", arata datele colectate in primele sase luni din 2020 de la terminalele business protejate cu solutii de securitate Bitdefender.

Lipsa instruirii angajatilor in domeniul securitatii informatiilor, o mare vulnerabilitate

Potrivit datelor barometrului FRAMES & INFOSEC CENTER, 56% dintre cei chestionati nu au urmat nicio forma de instruire in domeniul managementului securitatii informatiilor si al protectiei datelor cu caracter personal.

Numai 23% au fost instruiti in aceasta privinta la locul de munca, 11% individual, in mediul online, iar 10% in mediul universitar sau la liceu.

,,Dincolo de companiile mari, care reprezinta exceptia, in firmele medii si mici, cursurile de pregatire a angajatilor in domeniul securitatii informatiilor si protectiei datelor cu caracter personal sunt, din pacate, inexistente. Dincolo de implicatiile financiare - multe dintre firme nu au fondurile necesare pentru a-si instrui angajatii, exista si o problema de management. Vestea buna este ca pandemia schimba treptat aceasta perceptie si, din semnalele primite din piata, exista tot mai multe firme care se precupa mai atent de acest aspect'', afirma Marius Haratau managerul INFOSEC CENTER.

Potrivit expertilor, pericolele pot veni inclusiv din zona unor servicii populare precum Google Drive si WhatsApp.

Un raport Kaspersky arata, recent, ca este important pentru organizatii sa inteleaga amenintarile relavante si modul in care acestea se pot infiltra la nivelul endpoint al companiei, de exemplu prin phishing in serviciile de cloud. Odata ce un serviciu web devine popular, se poate transforma intr-o tinta mai interesanta in randul atacatorilor cibernetici.

Potrivit datelor companiei, primele cinci aplicatii in care s-au observat cel mai des incercari de phishing sunt Facebook (4,5 milioane de tentative de phishing), WhatsApp (3,7m), Amazon (3,3m), Apple (3,1m) si Netflix (2,7m). Ofertele Google grupate impreuna, printre care YouTube, Gmail si Google Drive, au ocupat pozitia a sasea, cu 1,5 milioane de incercari de phishing.

Cum ne protejam datele

Studiul FRAMES & INFOSEC CENTER vine si cu cateva solutii concrete care pot reduce pericolele din zona muncii de acasa.

Potrivit expertilor, in contextul in care evoluam spre economia digitala, organizarea unor cursuri online de pregatire pentru angajati devine o masura esentiala pentru securitatea si evolutia business-ului.

,,Angajatii trebuie sa afle, printre altele, cum sa recunoasca site-urile web false sau cum sa evite email-urile si mesajele de phishing. Deschiderea unor fisiere de la expeditori necunoscuti este, din pacate, cea mai frecventa forma de infectare a retelelor, iar angajatii trebuie sa inteleaga care este diferenta dintre un email primit de la un client, de la o banca si un atac de phising'', afirma expertii.

,,De la gestionarea contului de email si a parolelor, la securitatea la nivel endpoint si navigarea pe web, toate acestea pot fi invatate usor, prin intermediul unor sesiuni de traing online, mai ales acum, in contextul restrictiilor impuse de pandemie. Un alt element esential este ca firmele sa investeasca in produse pentru securitatea la nivel de endpoint, cu protectie impotriva amenintarilor web, la nivel de retea si de email'', mai arata concluziile studiului FRAMES & INFOSEC CENTER.

,,Este important sa folosim laptopul de serviciu doar pentru activitatile profesionale si sa evitam refolosirea parolelor vechi sau a celor unice pentru toate conturile. O alta masura eficienta este ca evitam conectarea cu laptopul sau telefonul de serviciu la retele de internet publice (wifi) si sa folosim datele mobile si un serviciu de tip VPN. Sunt doar cateva masuri simple care pot aduce o protectie suplimentara'', spun specialistii.

Educatia in domeniul securitatii datelor va deveni, in viitor, o componenta esentiala in CV-urile de angajare din multe companii, afirma acestia. Asta mai ales ca, potrivit rezultatelor barometrului, 79% dintre cei chestionati considera ca telemunca va avea un impact major in viitor in domeniul in care activeaza, iar 91% au declarat ca activitatile remote reprezinta o solutie pentru dezvoltarea mai accelerata a economiei.

Barometrul efectuat de compania de consultanta FRAMES, la comanda INFOSEC CENTER, a fost realizat in perioada 25 octombrie - 1 noiembrie 2020, prin chestionare online, telefonic si email, pe un esantion reprezentativ de 300 de firme din diverse domenii de activitate, de la comert, la servicii financiare, agricultura, energie, confectii, IT etc. La barometru au raspuns, in total, 672 de persoane.

Profilul respondentilor a fost reprezentat de antreprenori, manageri de companii, middle si top management, cu studii superioare, 68% barbati si 32% femei, cu o varsta medie de 45 de ani.