Nasjonal Sikkerhetsmyndighet (NSM) med råd om hjemmekontor

Korona-pandemien har ført til at mange bedrifter har innført utstrakt bruk av hjemmekontor. Dette gir store muligheter for ansatte til å holde kontakten uten å være fysisk til stede på arbeidsplassen, og prosjekter og oppgaver kan fortsette, skriver Nasjonal sikkerhetsmyndighet i en aktuell anbefaling. De påpeker at hjemmekontor også har noen store sikkerhetsutfordringer. Her er en kortversjon med anbefalinger om tiltak.

Publisert: 3/19/2020

I mange virksomheter har ikke hjemmekontor vært vanlig praksis, og hverken virksomheten selv eller de ansatte har nødvendigvis det riktige utstyret eller kompetansen som skal til for å jobbe sikkert.

Som vi har skrevet om tidligere, er ondsinnet virksomhet i det digitale rom på ingen måte hindret av pandemien. Heller tvert om, de utnytter Korona-frykten og -interessen til å sende lure-eposter med Korona-tema for å hacke seg inn på PCen din.

NSM nevner flere områder som kan påvirke sikkerhetsnivået i feil retning. Det første er at påloggingsløsningene til virksomhetens kritiske systemer ikke er tilstrekkelig sikret, fordi man normalt aksesserer disse fra innsiden av bedriftens nettverk. I sistnevnte tilfelle er man til dels sikret mot ekstern inntrenging av bedriftens perimeterbeskyttelse. Når man derimot logger inn utenfra, gis det en åpning som kan hackes, og som dermed eksponerer de interne systemene. Skal man gi tilganger utenfra, bør eventuell mangelfull sikkerhet internt utbedres.

Et annet forhold er at utstyret som benyttes hjemmefra ofte ikke er styrt eller kontrollert av bedriften (også kalt skygge-IT), og at sikkerheten på utstyret på hjemmekontoret ofte er svakere enn på jobb. Er ruteren oppgradert? Er sikkerheten på trådløs Wifi bra nok? Er PC-en oppdatert? Er det andre på hjemmenettverket som har svak sikkerhet? Benyttes det minnepinner hjemmefra? Vet du status på disse?

Det beste er å benytte en "managed" PC med virksomhetens egne sikkkerhetsmekanismer og begrensninger når man skal logge på bedriftens nettverk.

Selv oppkoblingen mot virksomheten bør skje med sikker, kryptert forbindelse over VPN. Pålogging mot bedriftens nettverk bør skje med 2-faktor autentisering (f.eks. passord pluss SMS). Ukryptert oppkobling med bare brukernavn og passord frarådes!

Det siste tipset fra NSM handler om bevissthet om hvor data er lagret. Hvis du jobber på dokument som er konfidensielt, bør du ikke lagre det overalt! Ofte kan dokumenter ligge på PCen, i skyen (Dropbox, OneDrive osv) samt som vedlegg i en epost! Vær bevisst på hvor bedriftens data er lagret!

Det er svært gode grunner til å benytte hjemmekontor i disse dager, men ikke senk sikkerhetsbevisstheten når det er så mange andre ting å tenke på - den må heller skjerpes når man jobber hjemmefra.