Praca zdalna to wygoda, ale też ryzyko

Weryfikując tożsamość użytkownika warto korzystać z dwuetapowej autoryzacji – radzą eksperci.

Publikacja: 05.12.2016 20:45

Praca zdalna to wygoda, ale też ryzyko

Foto: 123RF

Katarzyna Kucharczyk

Liczba cyberataków w minionym roku wzrosła w Polsce o niemal połowę, a głównym ich źródłem byli pracownicy. Często nieświadomie otwierają drzwi złośliwemu oprogramowaniu, co ma potem niebagatelne konsekwencje. Tymczasem ryzyko nieautoryzowanego dostępu do firmowych zasobów rośnie wraz ze wzrostem odsetka osób pracujących zdalnie. Najczęściej są to pracownicy branży IT, telekomunikacyjnej, usług finansowych czy prawnych.

Najsłabsze ogniwo

Każda sytuacja, gdy służbowy komputer opuszcza siedzibę firmy stwarza ryzyko dla bezpieczeństwa danych firmowych.

– Laptop czy urządzenie mobilne może łatwo zostać zgubiony lub skradziony, np. podczas delegacji. Również rosnący trend pracy mobilnej może przyczynić się do zwiększenia ryzyka dostępu do zasobów firmowych przez osoby trzecie – potwierdza Mikołaj Sikorski, product manager rozwiązania ESET Secure Authentication w firmie Dagma. Dodaje, że wielu zdalnych pracowników wykonuje teraz swoje obowiązki nie tylko z domu, ale również z kawiarni czy biur coworkingowych, co może przyczynić się do narażenia danych firmowych na niebezpieczeństwo. Dlatego bardzo ważne jest, aby zasoby znajdujące się na przenośnym sprzęcie firmowym były szyfrowane, co zresztą jest wymogiem prawnym. Chodzi o załącznik do Rozporządzenia MSWiA z dnia 29 kwietnia 2004 r.

– Dodatkowym zabezpieczeniem dla danych firmowych jest proces uwierzytelnienia pracownika podczas dostępu, np. do poczty firmowej czy bazy danych – mówi Sikorski. Z badań przeprowadzonych przez firmę Gigya wynika, że ponad połowa osób urodzonych w latach 1980-2000, czyli tzw. millenialsów, którzy w dużej mierze pracują zdalnie, chce korzystać z nowoczesnych metod identyfikacji i weryfikacji podczas dostępu do danych. Jedna trzecia badanych preferuje dwuskładnikowe uwierzytelnianie, a 20 proc. biometrię. Jednocześnie okazuje się, że aż ponad dwie trzecie millenialsów korzysta z bardzo prostych do odgadnięcia haseł jak na przykład 123 lub data urodzenia. To duże ułatwienie dla cyberprzestępców: ponad 60 proc. włamań na konta użytkowników bazuje na skradzionych, łatwych, domyślnych hasłach – podaje firma Verizon.

Granica się zaciera

Świadomość przedsiębiorstw w Polsce w zakresie bezpieczeństwa danych rośnie, ale nadal pozostawia wiele do życzenia. Z badania firmy doradczej PwC wynika, że tylko 46 proc. przedsiębiorstw kieruje się jasno zdefiniowanymi formalnymi regułami bezpieczeństwa. Tymczasem na świecie odsetek ten jest niemal dwukrotnie wyższy. W podniesieniu świadomości pracowników pomóc mogłyby różnego rodzaju szkolenia. 30 proc. badanych firm w naszym kraju jednak otwarcie stwierdza, że takich działań nie zamierza podejmować. Tymczasem skutki cyberataków mogą wielokrotnie przewyższyć koszty związane z nakładami na bezpieczeństwo informacji. W minionym roku 4 proc. polskich firm w wyniku cyberataków straciło niebagatelną kwotę ponad 1 mln zł, a 5 proc. odnotowało przestój w działalności dłuższy niż pięć dni.

Niepokojące wnioski płyną też z badania Intela. Okazuje się, że Polska wypada kiepsko nie tylko wobec średniej globalnej, ale również na tle regionu. Krajem, w którym firmy są najlepiej przygotowane na wypadek cyberataku, są Czechy. Tam 84 proc. osób decyzyjnych w obszarze bezpieczeństwa IT deklaruje, że w ich firmie przygotowano scenariusz na wypadek ataku na sieć firmową. W Rumunii ten odsetek wynosi 72 proc., natomiast w Polsce zaledwie 60 proc.

Praca zdalna i nacisk na elastyczność zatrudnienia sprawiają, że coraz mocniej zaciera się granica pomiędzy infrastrukturą prywatną oraz służbową. Spory odsetek pracowników, szczególne tych pracujących zdalnie, wykorzystuje w celach służbowych swoje prywatne urządzenia mobilne, w tym laptopa, telefon czy tablet. I na odwrót: sprzęt służbowy bywa często wykorzystywany do celów prywatnych. To wszystko utrudnia ochronę danych firmowych i sprawia, że ryzyko utraty wrażliwych informacji systematycznie rośnie.

Trzeba znaleźć złoty środek

Coraz poważniejszym wyzwaniem staje się też zrównoważenie bezpieczeństwa z wymaganiami biznesowymi. – Z jednej strony firmy podlegają presji ochrony danych, z drugiej – szybkości dostępu do nich, koniecznej dla efektywności biznesu – podkreśla Mariusz Baczyński, dyrektor sprzedaży rozwiązań cyberbezpieczeństwa w Europie Wschodniej w Cisco. Dodaje, że zdaniem ponad 68 proc. przedstawicieli działów IT, korzystanie przez pracowników z urządzeń mobilnych działających w firmowej sieci w istotny sposób zwiększa ryzyko naruszenia bezpieczeństwa.

Bardzo ważne jest zweryfikowanie tożsamości i określenie czy dana osoba ma prawo do pracy z konkretnymi danymi, czy też nie. Z uwagi na trend większej mobilności pracowników, uwierzytelnianie ich staje się jednym z kluczowych zagadnień bezpieczeństwa firmy.

– Uzyskanie dostępu do firmowych danych przez osobę niepowołaną (np. w konsekwencji zgubienia lub kradzieży laptopa) może realnie zagrozić istnieniu przedsiębiorstwa – mówi Mikołaj Sikorski. To właśnie dlatego eksperci bezpieczeństwa teleinformatycznego sugerują, by weryfikując tożsamość użytkownika korzystać z  dwuetapowej autoryzacji. – Innymi słowy, by tradycyjne zabezpieczenie za pomocą hasła rozbudować o kolejny poziom, wymagający podania dodatkowego kodu – mówi ekspert. Zaznacza jednocześnie, że istotne w tego typu weryfikacji jest to, by była ona prosta dla samego użytkownika. Stąd też narzędzia przeznaczone do dwustopniowej autentykacji dostarczają dodatkowe hasło albo za pomocą tokenu (urządzeniu generującym jednorazowe kody), albo też za pomocą urządzenia mobilnego użytkownika (wówczas jednorazowe kody dostarcza aplikacja lub usługa SMS).

– Istotna jest również skuteczność samego narzędzia do dwustopniowej autentykacji, od tego jak działa zależy w końcu bezpieczeństwo firmowych danych – podkreśla ekspert. Wskazuje, że podczas korzystania z nowoczesnych rozwiązań umożliwiających dwuskładnikowe uwierzytelnianie, to, co musi zrobić użytkownik, to jedynie wpisać nazwę użytkownika oraz hasło na swoim laptopie. Po podaniu tych danych, rozwiązanie wyśle prośbę o potwierdzenie tożsamości na smartfon czy smartwatch użytkownika. Po kliknięciu w powiadomienie i potwierdzeniu tożsamości, pracownik uzyskuje wówczas dostęp do sieci firmowej. Nie musi się dodatkowo autoryzować ani przepisywać żadnych haseł.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: cyfrowa.rp.pl

IT
Planowanie infrastruktury IT w MŚP
IT
Planowanie infrastruktury IT w MŚP
Jak przez ćwierć wieku zmieniał się rynek leasingu
Materiał Promocyjny
Jak przez ćwierć wieku zmieniał się rynek leasingu
Wiele firm wykorzystuje brak wiedzy i oszukuje konsumentów – zwrócili uwagę uczestnicy konferencji L
IT
Jak uczynić zakupy w internecie bezpiecznymi. Niska świadomość klientów
W Google Maps pojawią się raporty drogowe z Waze
IT
Mapy Google powiedzą, gdzie stoi policja. A w kolejce do wprowadzenia już kolejne nowości
Porty kontenerowe to miejsca strategiczne, dźwigi mogą pomagać w przeładunku towarów, ale i dostarcz
IT
Amerykanie alarmują: chińskie dźwigi portowe szpiegują. Są też w Polsce
5G – przepis na rozwój twojej firmy i miejscowości
Materiał Promocyjny
5G – przepis na rozwój twojej firmy i miejscowości
Rzeczpospolita jest partnerem medialnym konferencji
IT
Firmy i konsumenci mogą wykorzystać atuty transformacji cyfrowej
Nowości dla przedsiębiorców w aplikacji PeoPay
Materiał Promocyjny
Nowości dla przedsiębiorców w aplikacji PeoPay
e-Wydanie