Permanent eftervirkning: Luk IT-sikkerhedshullerne på hjemmearbejdspladsen

1. juli 2020

Sikkerhedshuller: Så har man set det med; verden i stuearrest. Det gamle leksikon kom igen i brug – denne gang som interimistisk hæve-/sænkebord, så hjemmearbejdspladserne ikke resulterede i alt for meget travlhed hos landets ergonomer og kiropraktorer.

Og på trods af en smule opstartspanik, så er hjemmearbejdet for de flestes vedkommende faktisk gået ganske okay.

Produktiviteten rundt omkring på de danske hjemmearbejdspladser er ikke faldet. I mange tilfælde er den faktisk steget en smule. Zoom-møderne og Teams-funktionerne har gjort det relativt nemt for folk at vænne sig til den nye hverdag på trods af, at vi alle sammen snart er tilbage på pinden igen.

Turbotilvænningen til hjemmearbejdspladsen kommer med al sansynlighed til at have virkninger, som rækker langt ud i fremtiden, for med hjemmearbejdspladserne kommer også en uset fleksibilitet, som mange medarbejdere er kommet til at elske. Og det er sådan set meget godt, for nu ved vi, at virksomhederne kan opretholde driften, selvom medarbejderne ikke sidder på samme kontor hver eneste dag.

Der er dog ét problem. Et stort problem faktisk.

IT-sikkerhedshuller.

Hjemmearbejdspladser giver for IT-sikkerhedshuller

Med hjemmearbejdspladserne er der nemlig også opstået et hidtil ukendt land af risici, når vi taler om IT-sikkerhed. Selvom vi alle har lært at navigere i Zoom og Skype, så er vi slet ikke vant til at håndtere – og huske – IT-sikkerheden, når vi sidder i hjemmets trygge rammer med en kop filterkaffe i hånden og havedøren på klem.

Vi er ikke vant til på samme måde at skulle være opmærksomme på de trusler – de IT-sikkerhedshuller – der ligger på lur lige på den anden side af VPN-hækken, når vi sidder i vores egen stue.

I isolationen har vi end ikke den sædvanlige sociale kontrol fra kollegerne, som konstant kan minde os om at låse computeren, når vi går fra den, og forresten kun bruge software, der er godkendt af IT-afdelingen – også selvom det ville være lidt lettere bare lige at dele datasættet med Tove over WeTransfer.

Den nye virkelighed efter COVID-19-tiden betyder altså stadig sænkede parader for rigtig mange medarbejdere.

Derfor må du som IT-chef dels være ekstraopmærksom på din rolle som coachen i ringhjørnet, der konstant råber “Op med armene – beskyt hovedet!” og dels tage nogle ekstra sikkerhedsmæssige forbehold for at holde ubudne gæster ude af jeres IT-systemer.

Som IT-chef må du tage affære, og vores anbefaling er, at du holder et ekstra vågent øje med følgende 5 punkter:

1. COVID-phishing – hackernes nye og foretrukne strategi

Du skal vide, at hackerne ikke lukker biksen i post-corona-sympati. Nej, tværtimod. Som ved alle tidligere katastrofer og kriser sidder de kriminelle på spring til at udnytte situationen.

Vi så det i 2001, da World Trade Center bragede sammen; vi så det under tsunamien i 2004, og da finanskrisen fik fat i 2007-08. Og vi ser det også nu:

Hackerne udnytter den globale forvirring og øger aktiviteten med kaskader af corona-relaterede phishing-mails, og de skyr altså ingen midler for at få fat i dine brugeres loginoplysninger.

De corona-relaterede phishing-mails kommer i forskellige forklædninger:

  • Sundhedsmyndighederne, SKAT og andre offentlige myndigheder
  • Non-profit- og hjælpeorganisationer
  • Finansielle institutioner
  • Underleverandører (der fx tilbyder finansielle håndsrækninger)

2. Tillad ikke private computere

De fleste større virksomheder og organisationer har styr på dette punkt. Straks, da Mette Frederiksen lukkede landet, blev der lagt bestillinger på ekstra bærbare pc’er fra rigtig mange af landets IT-afdelinger.

Alle medarbejdere skulle udstyres med laptops, så hjemmearbejdspladsen kunne foregå i et kontrolleret, interaktivt miljø, som IT-afdelingen kunne skrive under på.

For hele laget af små- og mellemstore virksomheder er situationen dog lidt en anden. Øvelsen med pludselig at skulle indkøbe en række nye bærbare computere, for at alle medarbejdere kan tage jobbet med hjem, er nemlig en bekostelig affære for en virksomhed, der måske i forvejen så ind i en periode med enorm usikkerhed omkring kunderne og omsætningen.

Ikke ligefrem en kærkommen opgave, når man samtidig gerne vil holde lidt på pengene.

Opdelingen af privat og erhverv er vigtig for sikkerheden

Alligevel er det alfa og omega, at der holdes en skarp opdeling mellem privat og erhverv, hvis IT-sikkerhedshullerne skal minimeres. Private computere til private sager, arbejdscomputere til arbejdet.

Hvis du tillader, at dine medarbejdere (om end midlertidigt) kan arbejde fra deres private computere, mister du fuldstændig kontrollen med, om deres computere er sikret, hvilke versioner af Windows eller MacOS, de bruger, og i det hele taget hvad computeren bliver brugt til.

Det er altså ikke godt nok at installere en VPN-klient på medarbejdernes private pc’er, for hvad sker der, hvis de uforvarende kommer til at installere en trojansk hest, som bare sidder og venter på, at de taster deres loginoplysninger ind?

Uagtet at det koster nogle penge, bliver du altså nødt til at indkøbe bærbare pc’er til alle medarbejdere, hvis du vil have dem til at arbejde hjemmefra. Der er ingen vej udenom, hvis du fortsat vil have kontrol.

3. Flere login betyder flere risikozoner

Lidt ligesom vi er blevet rådet til at holde os inden døre for ikke at blive smittet med virussen, gælder det også, at jo flere gange vi skal logge ind i sikrede systemer, desto flere chancer har hackeren for at opsnappe et kodeord.

Når alle er på distancen, stiger antallet af logins – på VPN, på mail, på Teams og, ja, på alle de sociale medier, som giver det daglige sociale fiks i frokostpausen (og på alle mulige andre tidspunkter – who are we kidding?).

Hackerne får altså enormt mange chancer på bare en enkelt arbejdsdag.

Derfor er det også endnu vigtigere nu, at dine medarbejdere bruger forskellige koder og brugernavne til de forskellige services, som de tilgår.

Brug forskellige kodeord overalt

Det er ikke nok at skifte kodeordet ud én gang i kvartalet – nej, den sikreste tilgang er ganske enkelt, at alle de kodeord, den enkelte medarbejder har, er forskellige.

Som IT-chef bør du derfor presse på for, at dine medarbejdere installerer og bruger en kodehusker. Med en kodehusker (som fx LastPass) kan medarbejderne nemlig have forskellige, komplekse koder til alle de forskellige services, de tilgår, uden at skulle have dem alle sammen i hovedet.

Der er ikke mange, der bruger disse kodehuskere taget i betragtning af, hvor mange mennesker der dagligt tilgår topsikrede systemer, og som IT-chef må du ganske enkelt sikre, at der ikke er sammenfald mellem dine medarbejderes login til Facebook, Gmail og katteforum.dk og jeres sikrede IT-systemer.

4. Hold børnene ude af arbejdsmaskinerne

Jeg kender flere, hvis eneste computer er den, de har fået udleveret af arbejdet.

Det er der som sådan ikke noget galt i, men problemet opstår, lige så snart Malthe på ni år skal underholdes med YouTube-film eller computerspil. Så bliver arbejdscomputeren pludselig til en familiecomputer, og det er ikke sikkert, at Malthe på ni er lige så opmærksom på mistænkelige links, og at han nok næppe lige har vundet 100.000 kr., fordi han var hjemmesidebesøgende nummer 35.

Børnenes aktiviteter på arbejdscomputeren udgør derfor en seriøs risiko, og når forældrene pludselig arbejder hjemme hele dagen, bliver denne risiko mangedoblet, fordi arbejdscomputeren bliver så meget mere tilgængelig – den er jo allerede tændt.

Du må som IT-chef derfor gøre det fuldstændig klart, at arbejdscomputeren er til arbejde og ikke til ulvetimeunderholdning.

Får du mistanke om overdrevet familiebrug af arbejdscomputerne, kan du vurdere, om det giver mening at monitorere aktiviteten på udvalgte domæner (fx YouTube) for at holde øje med, om tingene eskalerer.

5. Skygge-IT kan vinde større indpas

Er der noget mere irriterende for dit arbejde end en langsom computer? Vi kender alle sammen problematikken, og vi har alle sammen arrigt lukket browsere ned eller trykket på refresh i et desperat forsøg på at få loadhastigheden i vejret.

Når alt arbejde på dine servere skal foregå over VPN, er det enormt vigtigt, at dine servere og jeres VPN-løsning er gearet til at håndtere den øgede trafik.

Hvis du ikke gør dit ypperste for at holde brugernes arbejdshastighed oppe, risikerer du nemt, at brugerne finder andre løsninger og pludselig deler filer og data uden om jeres sikrede systemer.

Services som Dropbox, WeTransfer og sågar filoverførsler på Facebook Messenger er fristende muligheder, hvis man igen bliver fanget i et loading-loop, eller hvis man igen og igen bliver smidt af VPN’en.

Hastigheden på dine systemer er afgørende

Hvis du vil begrænse brugernes brug af såkaldt skygge-IT, må du sikre dig, at brugerne kun minimalt mærker, at de sidder på distancen.

Du må sikre dig, at systemerne er lean og loader hurtigt, så brugerne ikke falder for fristelsen til at flytte videosamtalen fra et overbelastet Teams til en brugervenlig Messenger-chat, consumer-grade Zoom-opkald eller lignende.

Forsøg at gøre den rigtige løsning til den nemmeste løsning. Det er ikke let, men det vil forhindre, at jeres data pludselig finder vej til obskure delingsplatforme og ender med at blive spredt for alle vinde på ukendte servere.

Opsummering

Summa summarum, så handler meget af det her om at træne dine kolleger. De er ikke vant til at skulle håndtere IT-sikkerhed, når de sidder derhjemme, og derfor bliver du som IT-chef nødt til at hjælpe dem med at overkomme den nye situation.

Sørg for at:

  1. Du håndterer den øgede phishingtrussel
  2. Medarbejderne kun bruger arbejdscomputere, når de sidder hjemme med arbejdet
  3. Medarbejderne bruger forskellige koder til alle services
  4. Arbejdscomputerne kun bruges til arbejde og ikke til fx YouTube til ungerne
  5. Din systemhastighed er høj nok til at undgå fildeling via ukendte tredjepartsservices

Selvom mange efterhånden er tilbage på arbejdspladsens lukkede, sikrede ethernet, kan du altså godt forvente, at flere medarbejdere i fremtiden vil vælge at tage en hjemmearbejdsdag om ugen, eller måske snuppe en måneds working holiday på Bali for at kunne drikke regnbuedrinks, når klokken har slået fyraften.

De tiltag, du gør for at sikre hjemmearbejdspladserne nu, bliver altså ikke overflødige, når vi vender tilbage til “normalen”.

Tværtimod kan du nok forvente, at den normal, vi alle sammen taler om, er en helt anden og meget mere fleksibel normal, end vi kom fra før coronaen.


Rikke Borup

Chief Marketing Officer

Har været ansat hos CapaSystems siden 2009 og siddet med kommunikation og marketing siden da.

Rikkes spidskompetencer ligger i tekstforfatning, hvilket også giver god mening, da hun har en baggrund som journalist.