A hibrid munka itt maradt, de a cégek többsége annyira a hatékonyságra koncentrál, hogy teljesen figyelmen kívül hagyja a biztonsági rémálmot, amit maga teremtett. Ha dolgozók otthonokból, kávézóból és coworking irodákból dolgoznak, a cégadatok olyan veszélybe kerülnek, amire valószínűleg még nem is gondoltatok.
Őszinte leszek: a hibrid munkavégzés álom az alkalmazottaknak. Rugalmasság, nincs ingázás, igazi élet az iroda mellett. Ez megváltoztatja az ember életét. De engem, aki kiberbiztonsággal foglalkozik, ez aggaszt: a cégek sima naptárproblémaként kezelik, pedig óriási biztonsági átalakítás kell.
Mindenki a hatékonyságról és az összekötő eszközökről dumál. Senki sem látja a lényeget: a cégadatok naponta tucatnyi védtelen hálózaton utaznak.
Irodában az IT- csapat irányított mindent. Falak, ellenőrzött kapcsolatok, fizikai védelem – bezárt rendszer. Most? Érzékeny fájlokat Karen ohioi otthoni wifijéről, Tom ausztini kávézójából, Susan párizsi hotelszobájából nyitnak meg.
Ez mit jelent? Védtelen otthoni netek. Nyilvános wifiek semmi biztonsággal. Soha nem frissített magán cuccok. Vállfetrengés zsúfolt helyeken. A támadási felület az egekbe szökött, a biztonsági csapatok meg még mindig 2019-ben élnek.
Az adatok riasztóak. Friss jelentések szerint a táv- és hibrid munka a legnagyobb lyuk a pajzson. A hackerek tudják: otthoni hálózatok gyengébbek. Erre játszanak.
Ha nem veszed komolyan a hibrid biztonságot, ez történik:
Véletlen szivárgások mindennaposak. Dolgozó elfelejti bezárni a képernyőt kávézóban. Alkalmazott képernyőt ment titkos infóról a privát telefonjára. Családtag beleles shared gépre hagyott táblázatba.
Jelszótolvajlás berobban. Phishing jobban működik IT nélkül. Egy ellopott jelszó = egész hálózat elesik.
Ransomware könnyebben tör be. Nem kell okos zero-day: elég egy gyenge otthoni neten megnyitott rossz fájl.
Pénzügyileg? Átlagos adatvesztés 4 millió dollár fölött. Közepes cégnek ez katasztrófa.
Sokan azt hiszik, VPN-nel megvan. Az csak kezdet. Mint ajtózár ablakok nélkül.
Első: dobd ki a régi szabályokat. A 2015-ös "tiszta asztal" irodára való. Most kell:
Másod: igazi végpont-védelem. Minden gépre működő szoftver, ne 2010-es vírusirtó. Figyelje a gyanúsat, titkosítsa az adatokat, törölje távolról, ha ellopják.
Harmad: szigorú hozzáférés. Nem mindenkinek minden fájl. Projektalkalmazott ne lássa az egész adatbázist. Legkisebb jogosultság – hybridben kötelező.
Negyed: okos hálózatfigyelés. Nem kémkedés minden billentyű után (az ijesztő és buta). Hanem: honnan jön a kapcsolat, milyen eszköz, furcsa minták? Fejlesztő kazahisztáni bejelentkezés hajnali 3-kor? Figyelem!
Ötöd: tanítsd őket folyamatosan. A rendszer csak akkor működik, ha betartják. Mondd el a miért-et, ne csak a szabályt. Senki sem követ értelmetlen parancsot.
Sokan VPN-re bízzák mindent. Jó, titkosít. De nem akadályozza gyenge jelszót, phishinget, fertőzött gépet.
VPN alapkövetelmény, nem stratégia.
Hibridben nem irányíthatsz mindent. Régen fix net, fix gépek, fix szoftver. Vége.
Létrehozhatsz biztonsági kultúrát. Olyan rendszert, ami túléli a támadásokat. Megbízhatsz a dolgozókban, mert kiképeztél őket.
A jól működők nem a legszigorúbbak. Azok, akik tudják: a biztonság csapatjáték. Dolgozók nem ellenség – ők az első védvonal.
Ha rájöttél, hogy a céged nem gondolta át, ne ess pánikba. Így kezdj:
Ellenőrizd a lyukakat – Hol vannak az adatok? Hány védtelen netről csatlakoznak? Milyen eszközök férnek hozzá?
Írj hivatalos hibrid biztonsági szabályzatot – Nem "otthoni tippek". Igazi dokumentum foggal.
Tegyél be kétfaktoros hitelesítést – Jelszó ellopva? Mégse mehet be. Ez a legjobb lépés.
Válassz eszközöket tudatosan – Minden appnak, szolgáltatásnak legyen biztonsági oka.
Képezd a csapatot – Folyamatosan, relevánsan, érthetően.
Mérd és figyeld – Incidensek nélkül nem tudod, javul-e.
Hibrid munka marad. A 2020-as "ideiglenes" távmunka most a norma. Szuper az egyensúlyhoz. Katasztrofális a biztonságnak, ha nem törődsz vele.
Jó hír: mindkettő lehet. Rugalmasság ÉS védelem. De biztonságot stratégiává kell tenni, ne IT-pipává.
Adataid száz helyen vannak. Viselkedj úgy.
Címkék: ['hybrid work security', 'remote work cybersecurity', 'data protection', 'workplace policies', 'network security', 'cyber threats', 'employee security training']