Najímáte na práci ve vaší firmě externisty, kteří pracují na dálku z vlastního zařízení, jež nepodléhá stejným bezpečnostním nárokům jako firemní počítače a notebooky? Nebo umožňujete vlastním zaměstnancům vycestovat a dlouhodobě pro firmu pracovat ze zahraničí?
Digitální nomádi jsou na jednu stranu velmi praktičtí spolupracovníci, u kterých nevznikají náklady jako u stálých zaměstnanců docházejících denně do kanceláře, představují však velké bezpečností riziko, které si ne každá organizace dokáže připustit. Tedy až do prvního vážného bezpečnostního incidentu.
„Na nomádech by asi nebylo nic špatného, pokud by pro ně platila stejná bezpečnostní pravidla jako pro zaměstnance v kanceláři,“ konstatuje Adam Paclt, generální ředitel bezpečnostní společnosti Appsec.
„V jejich případě ale firma nikdy nemůže stoprocentně ručit za bezpečnost jejich internetového připojení, zvlášť pokud využívají veřejné sítě a zejména ty volně přístupné. Komplikovaná je i ochrana jejich osobního zařízení, pokud tedy nepracují na firemním notebooku,“ dodává Paclt. Firma tak může mít velmi dobře zabezpečenou interní síť a koncová zařízení, ale pokud dá výjimku nomádům, může se jí to silně nevyplatit.
Slabé místo stejně jako u dodavatelského řetězce
Prostřednictvím napadeného osobního zařízení nomáda se útočník může dostat k citlivým firemním datům nebo přímo do interní firemní sítě, pokud se do ní nomád může vzdáleně připojovat. „Jde o analogickou situaci s různými úrovněmi zabezpečení u dodavatelských řetězců, které bývají rovněž Achillovou patou firemní kybernetické bezpečnosti,“ upozorňuje Adam Paclt.
Zatímco u stálých dodavatelů si ale firma bezpečností rámec většinou pohlídá, u vlastních lidí pracujících na dálku to už tak jednoznačné není. „O to nebezpečnější to je situace,“ varuje Paclt.
Firmy, které si nejsou jisté dostatečnou úrovní zabezpečení před útoky prostřednictvím nomádů, by měly absolvovat bezpečnostní audit a objevit tak svoje slabé stránky, které by mohly vést k fatálním situacím. Penetrační testy o několika úrovních dokáží odhalit potenciálně slabá místa a šetří tak testované firmě náklady, protože společnost se pak může soustředit na opravdu konkrétního problému a neřešit bezpečnost masivním nasazením bezpečnostního softwaru v rozsahu, který je zbytečný a velmi nákladný.
Zdroj: Appsec
