Kvinde ved bærbar computer arbejder hjemmefra

Hjemmearbejdspladser har fået et stort gennembrud under coronakrisen. Men vær opmærksom. Hjemmets fire vægge og de private wi-fi-netværk udgør en trussel mod virksomhedens it-sikkerhed på flere forskellige måder – og det ved de it-kriminelle udmærket godt.

Der blev vendt op og ned på normalt og unormalt, da coronakrisen ramte Danmark i foråret. Blandt andet blev hundredtusindvis af danskere henvist til at arbejde hjemmefra henover natten. Senest er mange medarbejdere igen blev bedt om at arbejde hjemmefra for at nedsætte smitterisikoen.

Den form for omskiftelighed i rutinerne bliver med stor sandsynlighed en del af hverdagen i de kommende måneder. Den nye virkelighed med mere hjemmearbejde for medarbejdere, der ikke har været vant til at arbejde hjemme, kræver, at både medarbejdere og virksomheder er opmærksomme på nye it-sikkerhedsudfordringer fra nye angrebsflader. 

Sådan lyder advarslen fra Anders Ahlgreen Pedersen, sikkerhedsekspert i KMD. Sammen med kollegaerne har han kigget nærmere på tre store trusler mod hjemmearbejdspladser.

 

Manglende sikkerhedsinfrastruktur

“Det første, virksomheder skal være opmærksomme på, er, at de ikke automatisk har samme kontrol over enheder og netværk på en hjemmearbejdsplads, som når en medarbejder befinder sig fysisk på virksomhedens adresse. Et virksomhedsnetværk er sat op af sikkerhedseksperter, der har aktiveret en lang række sikkerhedsindstillinger, som automatisk beskytter medarbejderens enheder og det netværk, trafikken løber igennem. Derfor er det afgørende, at de sikkerhedsmekanismer, som er implementeret i infrastrukturen, forlænges hele vejen ud til hjemmearbejdspladserne,” siger Anders Ahlgreen Pedersen. 

 

Det første, virksomheder skal være opmærksomme på, er, at de ikke automatisk har samme kontrol over enheder og netværk på en hjemmearbejdsplads, som når en medarbejder befinder sig fysisk på virksomhedens adresse.

Anders Ahlgreen Pedersen, Sikkerhedsekspert i KMD

Svage private netværk

En anden risikofaktor ved hjemmearbejdspladser er, at it-kriminelle kan udnytte sårbarheder i private netværk og enheder til at skaffe sig adgang til virksomhedsnetværket og dermed potentielt en masse beskyttet data.

“Når man logger på et privat wi-fi-netværk, agerer det netværk infrastruktur for samtlige enheder, der er koblet op på netværket. Det kan være alt fra en espressomaskine, en robotstøvsuger eller børnenes gaming-enhed. De enheder har ikke samme sikkerhedsforanstaltninger som vores arbejdscomputer. Det betyder, at trusler potentielt kan infiltrere én af de usikre enheder, sprede sig fra enhed til enhed og derigennem udgøre en sårbarhed for virksomhedens data. Det er det, vi i fagsprog kalder lateral movements.” 

 

Det betyder, at trusler potentielt kan infiltrere én af de usikre enheder, sprede sig fra enhed til enhed og derigennem udgøre en sårbarhed for virksomhedens data. Det er det, vi i fagsprog kalder lateral movements.

Anders Ahlgreen Pedersen, sikkerhedsekspert i KMD

Sænkede it-sikkerhedsparader

Den tredje risikofaktor er, at it-kriminelle forsøger at udnytte, at vi har en tendens til at sænke vores it-sikkerhedsparader, når vi befinder os i hjemmet.

“Vi slapper mere af derhjemme, hvilket smitter af på vores adfærd online. Derudover har vi ingen mulighed for sparring omkring eksempelvis mistænkelige e-mails med kollegerne fra hjemmearbejdspladsen. Derfor er det vigtigt, at virksomhedens ledelse træffer beslutning om, hvilke kommunikationskanaler man benytter til at distribuere viden. Og at disse beslutninger kommunikeres klart ud til virksomhedens ansatte, så de bliver opmærksomme på eventuelle uregelmæssigheder. Lige nu gælder det særligt opdateringer om COVID-19, fordi det er en populær angrebsvinkel for it-kriminelle,” siger Anders Ahlgreen Pedersen

 

Det er vigtigt, at virksomhedens ledelse træffer beslutning om, hvilke kommunikationskanaler man benytter til at distribuere viden. Og at disse beslutninger kommunikeres klart ud til virksomhedens ansatte, så de bliver opmærksomme på eventuelle uregelmæssigheder.

Anders Ahlgreen Pedersen, sikkerhedsekspert i kmd

Mulige løsninger på de mange udfordringer 

En kombination af gode tommelfingerregler, målrettede uddannelsesforløb og sikkerhedsværktøjer kan imidlertid være med til at reducere risikoen for at blive ramt af angreb fra it-kriminelle.

  • Etablér en VPN-forbindelse. Sørg for, at der er en VPN-forbindelse, der kan kryptere trafik mellem hjemmet og arbejdet, så andre ikke kan lytte med. Det er vigtigt, at virksomheden forholder sig til, hvilken trafik der skal gå gennem virksomhedens VPN-forbindelse, og hvordan man styrer og håndhæver trafikken. Nogle organisationer vælger eksempelvis, at al trafik til og fra Office 365 ikke behøver at gå gennem en VPN-forbindelse. Det kan være helt ok – specielt hvis man aktiverer multifaktor-autentificering på Office 365. Det er bare vigtigt, at ledelsen tager stilling til det ønskede sikkerhedsniveau
  • Brug EDR-løsninger. Endpoint Detection and Response-løsninger (EDR) giver virksomheder et overblik over aktive processer på en arbejds-pc, der er forbundet til virksomhedens netværk. EDR-agenten giver information til virksomhedens sikkerhedsteam om mistænkelig adfærd – eksempelvis hvis den er kompromitteret eller under angreb fra andre enheder på hjemmenetværket. Kombineret med en god antivirus vil en EDR-løsning højne sikkerhedsniveauet på en hjemmearbejdsplads
  • Foretag awareness-kampagner. Medarbejderne uddannes og trænes i sikker adfærd online og derhjemme. Det handler eksempelvis om at huske at låse computeren, når man forlader den – også i hjemmet – ikke at have fortroligt materiale liggende fremme, at være opmærksom på ikke at føre fortrolige samtaler i det offentlige rum osv. Læs mere i vores artikel om awareness her.
  • Hold det private og professionelle adskilt. Undgå at benytte en arbejds-pc til private aktiviteter. Brug i stedet private enheder til de formål
  • Kryptér harddisken. Sørg for, at pc’ens harddisk er krypteret, hvis den skulle blive stjålet.

Læs mere om IT-sikkerhed

Vil I vide mere om, hvordan I kan øge it-sikkerheden på medarbejdernes hjemmearbejdspladser? Og vil I have vide, hvordan I med en helhedsorienteret tilgang til it-sikkerhed kan balancere forholdet mellem agil forretningsdrift og sikkerhed på tværs af it-miljøet? Læs mere her eller kontakt os. Vi sidder klar til en uforpligtende snak. 

Læs mere om mulighederne her

Hold dig opdateret

Tilmeld dig vores nyhedsbrev og få de seneste nyheder, indsigter og invitationer fra den offentlige sektor direkte i din indbakke.

Tilmeld dig her

Seneste indsigter