W czasie wakacji praca z miejsca wypoczynkowego jest coraz bardziej popularnym zjawiskiem. Chwalą sobie to zarówno pracownicy, jak i pracodawcy, którym zależy na zadowoleniu kadry. Jednak aby to było bezpieczne dla firmy, konieczne jest odpowiednie przygotowanie zarówno pod kątem bezpieczeństwa cyfrowego, jak i organizacji.

fot. Sergii Sobolevskyi / / Shutterstock

Workation, czyli łączenie pracy z podróżami to coraz modniejszy trend i - zwłaszcza latem - znacznie przyjemniejszy niż praca stacjonarna w biurze lub zdalna z domu. W dodatku dobrze wpływa na efektywność oraz morale pracowników. Jednak trzeba pamiętać, że możliwość wykonywania swoich obowiązków z dowolnego miejsca na świecie może być równie wygodna, co niebezpieczna.

Coraz więcej zagrożeń w sieci

Wydawać by się mogło, że do pracy zdalnej potrzebny jest tylko sprawny laptop oraz szybkie łącze internetowe, np. poprzez hotelowe Wi-Fi, tymczasem w rzeczywistości pracownik korzystający z firmowego komputera w nadmorskiej restauracji lub na plaży ryzykuje utratę zarówno własnych danych, jak i tych należących do jego pracodawcy.

Jak twierdzi Chester Wisniewski z firmy Sophos, nowoczesne strategie bezpieczeństwa muszą zakładać, że każde urządzenie końcowe, z którego korzysta pracownik, zawsze znajduje się w niebezpieczeństwie.

– Nieodpowiednio chronieni pracownicy mogą napotkać wiele zagrożeń, m.in. fałszywe strony internetowe, rozsyłane przez przestępców złośliwe załączniki i linki czy ataki na sieci, z którymi łączą się urządzenia – mówi Wisniewski. – To tylko część cyberzagrożeń, które można łatwo odpierać, jeśli posiada się odpowiednio skonfigurowane mechanizmy obronne.

Istnieje ryzyko wycieku danych

Według raportu „Digital Security Sentiment” aż 59 proc. polskich firm z sektora MŚP padło w 2022 r. ofiarą cyberataku. To wynik braku zabezpieczeń przed hakerami. Dlatego budowanie strategii cyberbezpieczeństwa jest niezwykle ważne, choć nie jest to proste zadanie.

Według Macieja Stopierzyńskiego, CTO i współzałożyciela WorkTrips.com, obecnie coraz większa liczba firm zdaje sobie sprawę z konieczności zapewnienia bezpieczeństwa w sieci swoim pracownikom podczas podróży służbowych, w tym również podczas workation.

– Organizowanie podróży służbowych wiąże się z koniecznością rezerwacji noclegów, biletów oraz ubezpieczeń. Wszystko to wymaga podawania danych i logowania się do wielu serwisów, platform lub narzędzi, co niesie ze sobą większe ryzyko wycieku danych – uważa Maciej Sropierzyński. – W kontekście workation bezpieczeństwo staje się jeszcze bardziej istotne ze względu na korzystanie ze służbowego sprzętu, na którym znajdują się poufne informacje.

Istotna aktualizacja systemu

Najważniejszym, a często lekceważonym elementem skutecznej ochrony, jest korzystanie z najnowszych dostępnych wersji systemów operacyjnych i oprogramowania. Ich producenci na bieżąco łatają pojawiające się luki, które mogą wykorzystywać hakerzy. Stąd też warto dopilnować, aby na sprzęcie służącym do pracy zdalnej zawsze były zainstalowane najnowsze poprawki bezpieczeństwa.

Uwaga na publiczne Wi-Fi

Do pracy na wakacjach często wykorzystywane są publiczne sieci Wi-Fi. Jednak korzystając z nich, koniecznie trzeba trzymać się kilku żelaznych zasad. Po pierwsze należy zainstalować na swoim urządzeniu VPN (ang. Virtual Private Network), by korzystać z szyfrowanych połączeń z siecią. Do tego powinno się odwiedzać tylko bezpieczne strony internetowe, których adresy zaczynają się od https://. Lepiej też nie logować się z publicznej sieci do poczty e-mail czy kont bankowych.

Aby obniżyć ryzyko przechwycenia danych, warto rozważyć zakup lokalnej karty SIM ze sprawdzonego źródła. Na terenie Unii Europejskiej można korzystać z bezpłatnego roamingu.

Niezbędne silne hasło do komputera

Urządzenia najczęściej zabierane na workation, czyli laptop i telefon, mogą się zgubić lub zostać skradzione. Dlatego koniecznie trzeba zadbać, by w takich sytuacjach nikt postronny nie był w stanie uzyskać dostępu do znajdujących się w nich informacji.

W tym celu specjalista zaleca stosowanie długiego kodu blokady telefonu składającego się przynajmniej z 10 cyfr oraz silnego hasła do komputera. Kombinacje te powinny być unikalne i uniemożliwiać uzyskanie dostępu osobom niepowołanym do innych urządzeń lub systemów. Nie mogą też być takie jak PIN do karty kredytowej czy hasło do poczty e-mail. Warto również stosować zabezpieczenia biometryczne, czyli odcisk palca i rozpoznawanie twarzy.

Kopia zapasowa może się przydać

Możliwość utraty albo uszkodzenia urządzeń elektronicznych podczas podróży jest większa niż podczas pracy z biura lub z domu. Dlatego bardzo ważne jest regularne tworzenie kopii zapasowych i bezpieczne przechowywanie plików w więcej niż jednym miejscu. Warto wziąć to pod uwagę, jeśli nie zamierzamy być zmuszeni do niespodziewanego powrotu do biura, a co za tym idzie, skróceniem miłego wyjazdu.

Nie otwieraj e-maili i SMS-ów z nieznanych źródeł

Do najczęstszych cyberataków należy phishing, czyli próba wyłudzenia danych logowania przy użyciu fałszywych wiadomości e-mail i SMS. Dlatego należy wystrzegać się otwierania linków i załączników z nieznanych źródeł. Trzeba pamietać, że w przypadku urządzeń służbowych hakerzy mogą otrzymać dostęp zarówno do plików użytkownika, jak i zasobów firmy. Wystrzegać należy się także używania ogólnodostępnego sprzętu, np. komputera w hotelowym lobby. Jeśli nie ma wyboru, trzeba maksymalnie ograniczyć liczbę danych przesyłanych z pomocą takiego urządzenia.

Zhakowany komputer może umożliwić przestępcy dostęp do wszystkich posiadanych i wysyłanych danych, także tych znajdujących się w chmurze czy w firmowym systemie. Zainstalowane na urządzeniu złośliwe oprogramowanie może śledzić każde naciśnięcie klawisza, robić zrzuty ekranu i wykonywać dokładne kopie drukowanych za jego pomocą dokumentów.

Potrzebna cyberhigiena

Jednak odpowiedzialność za bezpieczną pracę zdalną leży nie tylko po stronie pracownika. Jak twierdzi hester Wisniewski, jednym z pierwszych kroków może być wdrożenie polityki bezpieczeństwa ZTNA (Zero Trust Network Access). Oznacza to konieczność weryfikacji i autoryzacji każdego użytkownika i urządzenia, zanim uzyskają dostęp do firmowych zasobów.

– Zapewnia to pracownikom możliwość bezpiecznego łączenia się zdalnie z aplikacjami i systemami, bez wglądu we wszystkie firmowe zasoby – mówi Chester Wisniewski. – Jednak taka polityka zadziała tylko wtedy, kiedy zatrudnieni stosować będą zasady cyberhigieny, a odpowiednio zabezpieczony będzie nie tylko system, ale i urządzenia końcowe.

Pomocna nawet sztuczna inteligencja

Według eksperta plan ochrony dla pracowników zdalnych musi umożliwiać monitorowanie, wykrywanie i reagowanie na ataki.

– Brakującymi elementami systemu ochronnego dla urządzeń pracowników zdalnych są najczęściej filtrowanie HTTPS i analiza treści internetowych – uważa Chester Wisniewski. – Istnieje jednak szereg innych rozwiązań zapewniających bezpieczeństwo, takie jak analiza behawioralna, sztuczna inteligencja, narzędzia zapobiegające utracie danych (DLP), narzędzia nadzoru punktów końcowych i rozszerzonego wykrywania oraz reagowania na zagrożenia (EDR i XDR). Dzięki nim atakujący będą musieli „przebić” się przez kilka warstw skutecznej ochrony i to nawet gdy ich cel, czyli pracownik, znajduje się poza biurem.