Dlaczego cyberprzestępcom nadal udają się ataki na pracowników zdalnych?

W pierwszym tygodniu kwietnia w życie weszły nowe przepisy dotyczące pracy zdalnej, regulujące m.in. wymogi w zakresie bezpieczeństwa i ochrony informacji. – To także okazja dla firm, aby przystosować swoje polityki bezpieczeństwa do aktualnego krajobrazu zagrożeń. Cyberprzestępcy wciąż przeprowadzają bowiem skuteczne ataki na pracowników zdalnych – zwracają uwagę specjaliści ds. cyberbezpieczeństwa.

Zgodnie z nowymi przepisami dotyczącymi pracy zdalnej, pracodawcy są zobowiązani m.in. do uaktualnienia procedur ochrony danych osobowych oraz uregulowania zasad instalacji, inwentaryzacji, konserwacji,  aktualizacji oprogramowania i serwisu powierzonych pracownikowi narzędzi pracy. W tych tematach, zdecydowanie lepiej zrobić więcej niż mniej – zwracają uwagę eksperci. Choć praca zdalna dla nikogo nie jest już nowością, cyberprzestępcy wciąż znajdują luki w postępowaniu firm i pracowników. Cyberzagrożenia wymierzone w nich wyglądają jednak nieco inaczej, niż jakiś czas temu – obecnie organizacje i ludzi gubi głównie rutyna oraz brak czujności.

– Ostatnie trzy lata wzmożonej pracy zdalnej to bez wątpienia także okres intensywniejszej aktywności cyberprzestępców. Nasze dane wyraźnie pokazują, że w tym czasie testowali oni różne metody ataków na pracowników zdalnych, poszukując zarówno luk technologicznych, jak i wykorzystując błędy ludzkie. Na początku pandemii bardzo wyraźny był np. wzrost liczby ataków na komputery wykorzystujące RDP (Remote Desktop Protocol, tzw. protokół pulpitu zdalnego, umożliwiający połączenie i pracę na komputerze zlokalizowanym fizycznie np. w biurze). W miarę upływu czasu organizacje coraz lepiej radziły sobie z technologiczną stroną pracy na odległość i związanymi z tymi wymogami bezpieczeństwa. Cyberprzestępcy zaczęli więc doskonalić także ataki wymierzone w ludzi, sięgając m.in. po zaawansowaną inżynierię społeczną – komentuje Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa ESET.

Jak wyglądają obecnie najpopularniejsze metody ataków na pracowników zdalnych i jak im zapobiegać?

1. Phishing i podszywanie się pod współpracowników
   Ataki phishingowe, polegające głównie na podszywaniu się w korespondencji pod inną osobę lub instytucję, to jedno z najczęstszych cyberzagrożeń. Te wymierzone w pracowników zdalnych często bardzo sprytnie wykorzystują fakt, że podczas pracy zdalnej porozumiewają się oni ze współpracownikami głównie za pośrednictwem komunikatorów i maili. Cyberprzestępcy mogą np. podszywać się pod pracodawcę lub kolegę z pracy, próbując uzyskać dostęp do poufnych informacji czy danych dostępowych. Wiadomość z prośbą o takie informacje może zostać wysłana z bardzo podobnego do prawdziwego adresu mailowego, ale np. z literówką albo nietypową drogą – np. za pośrednictwem komunikatora innego niż ten wykorzystywany w danej instytucji.
   • Co powinna zrobić firma?
     Z perspektywy organizacji bardzo ważne jest m.in. jasne ustalenie kanałów komunikacji, jakimi mogą posługiwać się pracownicy w ramach wykonywania obowiązków służbowych. Czy dopuszczalne są komunikatory, a jeśli tak to jakie? Czy organizacja decyduje się na jeden z nich i wszyscy zakładają tam firmowe konta, czy możliwe jest porozumiewanie się także za pośrednictwem kont prywatnych? Jak wyglądają ograniczenia w zakresie obiegu dokumentów i wrażliwych informacji w komunikatorach? Pracownicy powinni mieć jasność w tej kwestii. Warto także wdrożyć zaawansowane rozwiązania, dokładnie weryfikujące wiadomości e-mailowe przychodzące na firmowe skrzynki.
   • Co mogą zrobić pracownicy?
     Aby zabezpieczyć się przed takimi atakami, należy zachować ostrożność i nie klikać w podejrzane linki lub załączniki. Wszelkie nietypowe prośby od współpracowników, pracodawców czy kontrahentów lepiej zweryfikować raz jeszcze, innym kanałem komunikacji, np. telefonicznie.
2. Ataki ransomware wykorzystujące słabe zabezpieczenia i przeplatanie się życia zawodowego z prywatnym
   Ataki przy użyciu złośliwego oprogramowania, blokujące dostęp do sprzętu, danych i związane z żądaniem okupu to regularnie występujące zagrożenie. W przypadku pracy zdalnej furtką dla nich są często słabe lub naruszone wcześniej w wyniku wycieku dane uwierzytelniające. Także korzystanie przez użytkowników z tych samych sprzętów w celach prywatnych oraz zawodowych wciąż daje cyberprzestępcom wiele możliwości uzyskania dostępu i przeprowadzenia szantażu.
   • Co powinna zrobić firma?
     Po stronie pracodawcy leży przede wszystkim dbałość o odpowiednie polityki aktualizacji zabezpieczeń i zapewnienie pracownikom odpowiedniego serwisu sprzętu oraz oprogramowania. W obliczu wciąż zmieniających się cyberzagrożeń warto także pomyśleć o cyklicznym szkoleniu pracowników w zakresie cyberbezpieczeństwa, szczególnie, jeśli mają do czynienia z ważnymi z biznesowego punktu widzenia informacjami. W wielu, szczególnie mniejszych firmach obsługą IT zajmują się zewnętrzne, także pracujące zdalnie zespoły. Warto zadbać o to, aby działały one nie tylko reaktywnie, ale również proaktywnie.
   • Co mogą zrobić pracownicy?
     Bywa, że podczas pracy zdalnej trudno ustalić ostre granice między życiem prywatnym i zawodowym, dlatego m.in. wielu pracodawców zezwala na wykorzystywanie sprzętu firmowego w celach prywatnych. Warto jednak pamiętać, że to nie zwalnia od stosowania się do firmowych procedur bezpieczeństwa także w wolnym czasie. Aktualizowanie oprogramowania, wysoki poziom zabezpieczeń i nieklikanie w podejrzane linki – to uniwersalne reguły, których warto trzymać się zawsze.
3. Wykorzystywanie niezabezpieczonych połączeń internetowych
   Praca zdalna i hybrydowa często oznacza także działanie z różnych miejsc, takich jak kawiarnie, lotniska, czy inne lokalizacje, oferujące dostęp do publicznych sieci Wi-Fi. Tymczasem niewystarczająco zabezpieczone połączenia internetowe mogą narażać użytkownika na utratę prywatności i umożliwić cyberprzestępcom śledzenie jego aktywności w sieci.
   • Co powinna zrobić firma?
     Kluczowe dla organizacji jest jasne określenie, z jakich połączeń sieciowych mogą korzystać pracownicy i odpowiednie przekazanie im informacji na temat dobrych praktyk w tym zakresie. Do odpowiedniego zabezpieczenia sieci Wi-Fi z których korzystają pracownicy, konieczne jest natomiast przede wszystkim zastosowanie standardu co najmniej WPA2-PSK (to oznaczenie bezpiecznego sposobu szyfrowania danych), poza tym warto wyłączyć tzw. rozgłaszanie identyfikatora sieci (tzw. SSID, który pełni rolę nazwy sieci bezprzewodowej) oraz skonfigurować router, tak aby dostęp do sieci miały tylko i wyłącznie urządzenia ze znanymi adresami MAC (unikalnymi identyfikatorami przydzielanymi sprzętowi sieciowemu).
   • Co mogą zrobić pracownicy?
     Bez wątpienia należy unikać korzystania z niezabezpieczonych połączeń i przypadkowych, publicznych sieci Wi-Fi. Nigdy nie wiemy do końca, kto jest ich właścicielem i jakie ma zamiary. Zachęcające i przyjazne nazwy także mogą być pułapką.