Γράφει η Ιωάννα Τσακαλάκου
Η ραγδαία μετάβαση στην υβριδική εργασία, αποτέλεσμα της πανδημίας του COVID-19 αλλά και των μεταγενέστερων αναπροσαρμογών στον τρόπο λειτουργίας των επιχειρήσεων, έφερε ραγδαίες αλλαγές στο τεχνολογικό και οργανωτικό τοπίο. Συνάμα, εργαζόμενοι πλέον μοιράζουν τον χρόνο τους μεταξύ του φυσικού χώρου εργασίας και της οικίας τους, δημιουργώντας ένα νέο, σύνθετο περιβάλλον για την ασφάλεια των πληροφοριακών συστημάτων. Σε αυτό το πλαίσιο, η κυβερνοασφάλεια αποκτά μια νέα διάσταση καθώς η «περίμετρος» προστασίας των εταιρικών δεδομένων δεν περιορίζεται πια σε καλά οχυρωμένα εταιρικά δίκτυα αλλά εκτείνεται στα πολύ πιο ευάλωτα οικιακά δίκτυα των εργαζομένων.
Η παραδοσιακή θεώρηση της κυβερνοασφάλειας στηριζόταν στη λογική του «τείχους»: ισχυρά firewalls, ελεγχόμενη πρόσβαση, φυσική ασφάλεια και εξειδικευμένο προσωπικό υποστήριξης. Ωστόσο, με την υβριδική εργασία, αυτό το μοντέλο έχει αποδυναμωθεί καθώς οι εργαζόμενοι χρησιμοποιούν προσωπικές ή λιγότερο προστατευμένες συσκευές, συνδέονται σε Wi-Fi δικτυακές υποδομές που συχνά δεν διαθέτουν τις απαραίτητες ρυθμίσεις ασφαλείας και πολλές φορές μοιράζονται τον ίδιο εξοπλισμό με άλλα μέλη της οικογένειας. Αυτή η νέα πραγματικότητα καθιστά τις οικιακές συνδέσεις το αδύναμο σημείο της αλυσίδας ασφαλείας.
Στις περισσότερες περιπτώσεις, τα οικιακά Wi-Fi λειτουργούν με προκαθορισμένες ρυθμίσεις όπως κωδικοί πρόσβασης που δεν αλλάζονται ποτέ ή τυπικά πρωτόκολλα ασφαλείας που έχουν πλέον ξεπεραστεί. Το γεγονός αυτό επιτρέπει σε hackers να αποκτήσουν πρόσβαση στο δίκτυο, αξιοποιώντας κενά όπως η ελλιπής κρυπτογράφηση ή οι ξεπερασμένοι αλγόριθμοι WPA. Επιπλέον, η παρουσία έξυπνων οικιακών συσκευών εντείνει τον κίνδυνο καθώς πολλές από αυτές παρουσιάζουν αδυναμίες ασφαλείας ή δεν ενημερώνονται τακτικά με τις τελευταίες αναβαθμίσεις. Έτσι, η σύνδεση ενός επαγγελματικού φορητού υπολογιστή σε ένα τέτοιο περιβάλλον δημιουργεί μια «γέφυρα» μεταξύ του οικιακού και του εταιρικού κόσμου μέσω της οποίας οι κυβερνοεπιθέσεις μπορούν να διεισδύσουν στους εταιρικούς πόρους.
Αδιαμφισβήτητα, η απουσία φυσικής εποπτείας και η έλλειψη άμεσης τεχνικής υποστήριξης στο σπίτι καθιστούν πιο δύσκολη την έγκαιρη διάγνωση και αντιμετώπιση ενός περιστατικού παραβίασης. Οι εργαζόμενοι μπορεί να μην είναι σε θέση να αναγνωρίσουν έγκαιρα ενδείξεις κακόβουλης δραστηριότητας. Επιπλέον, η έλλειψη εκπαιδευτικής κουλτούρας γύρω από την κυβερνοασφάλεια εντείνει το πρόβλημα καθώς η τεχνολογική εξοικείωση των εργαζομένων διαφέρει σημαντικά και συχνά περιορίζεται στη χρήση εφαρμογών και όχι στην κατανόηση των μηχανισμών που εξασφαλίζουν την ασφαλή λειτουργία τους.
Οι επιθέσεις τύπου phishing, ransomware και man-in-the-middle έχουν προσαρμοστεί στις νέες συνθήκες, εκμεταλλευόμενες την ψυχολογική κούραση, την πίεση χρόνου και την έλλειψη φυσικής αλληλεπίδρασης με συναδέλφους ή στελέχη πληροφορικής. Οι hackers γνωρίζουν ότι οι υβριδικοί εργαζόμενοι είναι περισσότερο απομονωμένοι και πιθανότατα λιγότερο προσεκτικοί. Επιπλέον, η χρήση εργαλείων απομακρυσμένης πρόσβασης όπως τα VPN ή οι πλατφόρμες απομακρυσμένου ελέγχου, αν δεν είναι σωστά ρυθμισμένες και ενημερωμένες δημιουργούν περαιτέρω προβλήματα στην ασφάλεια.
Ωστόσο, η λύση δεν μπορεί να είναι η επιστροφή σε καθαρά φυσικές μορφές εργασίας καθώς η ευελιξία που προσφέρει η υβριδική εργασία είναι πλέον ουσιώδης για τη διατήρηση της παραγωγικότητας, της ικανοποίησης των εργαζομένων και της προσέλκυσης ταλέντων. Αντιθέτως, απαιτείται μια ολιστική αναθεώρηση της προσέγγισης στην κυβερνοασφάλεια, με επίκεντρο τον άνθρωπο και την ενίσχυση της κουλτούρας ασφάλειας.
Ο πρώτος άξονας δράσης πρέπει να είναι η εκπαίδευση καθώς οι επιχειρήσεις οφείλουν να επενδύσουν σε συνεχή ενημέρωση και κατάρτιση εργαζομένων σε θέματα κυβερνοασφάλειας. Ως εκ τούτου, η συνειδητοποίηση του ρόλου τους στην προστασία των δεδομένων είναι καθοριστική. Ένας δεύτερος πυλώνας αφορά την τεχνική ενίσχυση των απομακρυσμένων περιβαλλόντων, όπου οι εταιρείες πρέπει να παρέχουν στους εργαζομένους ασφαλείς συσκευές με προεγκατεστημένα εργαλεία ασφαλείας, ενώ η χρήση cloud υποδομών πρέπει να συνοδεύεται από προηγμένα πρωτόκολλα αυθεντικοποίησης και παρακολούθησης. Η προσέγγιση Zero Trust, όπου κανένα σημείο πρόσβασης δεν θεωρείται ασφαλές εκ των προτέρων προσφέρει ένα αποτελεσματικό πλαίσιο για την αντιμετώπιση των κινδύνων της υβριδικής ασφαλείας. Τελευταίος πυλώνας αποτελεί η συνεργασία μεταξύ των τμημάτων πληροφορικής, διοίκησης και ανθρώπινου δυναμικού όπου είναι απαραίτητη για την υλοποίηση μιας συνεκτικής στρατηγικής. Η κυβερνοασφάλεια δεν είναι πλέον αποκλειστικά τεχνικό ζήτημα αλλά ζήτημα οργανωτικής ανθεκτικότητας και εταιρικής υπευθυνότητας.
Η μετάβαση στην υβριδική εργασία είναι αναπόφευκτη και μόνιμη. Συνάμα, ο μόνος τρόπος να αξιοποιηθεί με ασφάλεια αποτελεί η προσαρμογή του τρόπου σκέψης και δράσης σε ένα νέο περιβάλλον όπου το οικιακό Wi-Fi δεν αποτελεί απλώς τεχνολογική ευκολία αλλά κρίσιμο κρίκο στην αλυσίδα προστασίας των ψηφιακών μας δεδομένων.
Πηγές
Cisco. (2021). 2021 Cybersecurity Threat Trends: Phishing, Crypto Top the List. Cisco Security Reports.
ENISA. (2021). Cybersecurity for Remote Working. European Union Agency for Cybersecurity.
Gartner. (2022). Cybersecurity Mesh: A Top Strategic Technology Trend.
IEEE. (2020). Security and Privacy in IoT Devices.
McKinsey & Company. (2021). The future of remote work: A hybrid path forward.
NIST. (2016). SP 800-46 Rev. 2: Guide to Enterprise Telework, Remote Access, and BYOD Security. National Institute of Standards and Technology.
Verizon. (2024). Data Breach Investigations Report (DBIR).
The post Κυβερνοασφάλεια σε εποχή hybrid εργασίας: Όταν το Wi-fi του σπιτιού γίνεται η νέα «τρύπα» appeared first on CSIi – Cyber Security International Institute.
Πηγή : https://www.csii.gr/