Badanie Covid-19 OneLogin ujawniło szereg nieprawidłowości w pracy zdalnej

Przede wszystkim coraz częściej łączymy komputer firmowy z domowym i nie dbamy o hasła.

Pandemia wirusa COVID-19 wciąż trwa, a wiele ograniczeń związanych z wirusem wciąż istnieje i wpływa na życie publiczne ludzi. Jednym z bezpośrednich rezultatów trwającej pandemii jest to, że liczba ludzi pracujących zdalnie wzrosła gwałtownie. Ostatnio jedna z firm, która zajmuje się zarządzaniem tożsamością oraz dostępami w chmurze, o nazwie OneLogin, opublikowała raport, w którym opublikowała wyniki badania dotyczącego pracy zdalnej. Raport nazywa się COVID-19 OneLogin 2020.

Metodologia ankiety oparła się o odpowiedzi 5000 pracowników z całego świata, którzy pracowali zdalnie od 23 kwietn ia do 4 maja 2020 roku. Ich odpowiedzi doskonale ilustrują problemy z bezpieczeństwem, z jakimi się stykają na co dzień pracownicy, pracujący zdalnie.

Powód powstania tego raportu

Głównym powodem powstania tego raportu jest drastyczny wzrost liczby pracowników, którzy pracują zdalnie. Jeśli porównamy liczby i przyjrzymy się pracy zdalnej w samych Stanach Zjednoczonych, to pokaże się nam pewna prawidłowość, którą obserwujemy także w innych krajach. Przed wybuchem pandemii COVID-19 tylko 3,6% pracowników w USA deklarowało pracę zdalną w niepełnym lub pełnym wymiarze godzin, natomiast obecnie ta liczba zwiększyła się do 62%. W Polsce przed pandemią tylko jednostki pracowały zdalnie w pełnym wymiarze, natomiast teraz także liczba osób pracujących zdalnie zwiększyła się drastycznie. Wszystko to ma pełne przełożenie na bezpieczeństwo pracowników zdalnych, a ich bezpieczeństwo jest najważniejsze dla każdej organizacji.

Na początek przyjrzymy się praktyką haseł do sieci Wi-Fi

Dobre praktyki dotyczące haseł do sieci Wi-Fi maja kluczowe znaczenie dla osób, które pracują zdalnie, ponieważ ci pracownicy uzyskują dostęp do aplikacji i sieci organizacji za pomocą sieci Wi-Fi. Jednak, jak pokazano w ankiecie, wielu pracowników zdalnych wciąż stosuje kiepskie praktyki, jeśli chodzi o samo bezpieczeństwo sieci Wi-Fi. Natomiast jak się okazuje, przykładem dobrych praktyk są Stany Zjednoczone, gdzie zaledwie 37% pracowników twierdzi, że zmieniło hasło do Wi-Fi w ciągu ostatniego miesiąca, a 28% w ciągu ostatnich sześciu miesięcy.

Bardzo interesująca jest ogromna rozbieżność w tej kwestii w Stanach Zjednoczonych. Otóż na Zachodnim Wybrzeżu hasło w ciągu ostatniego miesiąca zmieniło około 50% przebadanych pracowników zdalnych, natomiast tylko 11% osób ze środkowego zachodu także poszło w ich ślady. Ciekawe jak to wygląda w Polsce np. u pani z ZUS czy skarbówki?

Higiena pracy zdalnej

Pracownicy zdalni ogólnie dosyć powszechnie stosowali złe praktyki, jeśli chodzi o higienę pracy zdalnej. W raporcie znalazło się kilka kryteriów, które określały ten współczynnik. Wśród głównych kryteriów znalazło się korzystanie z publicznej sieci Wi-Fi, udostępnianie komputerów służbowych członkom swoich rodzin, używanie prywatnych urządzeń do uzyskiwania dostępu do aplikacji służbowych oraz pobieranie aplikacji, które nie zostały zatwierdzone przez dział IT. To wszystko znacznie podnosiło ryzyko pracy zdalnej.

I tutaj znowu oprzemy się o stany Zjednoczone. Otóż w przeciwieństwie do poprzedniego kryterium, tutaj widać bardzo dobrze słabe praktyki bezpieczeństwa, jeśli chodzi o pracę zdalną. Zobaczmy jak to wyglądało w praktyce:

  • 23% korzystało z publicznej sieci Wi-Fi
  • 33% pobrało osobistą aplikację bez zgody IT
  • 36% korzystało z aplikacji służbowych na urządzeniach nie pracujących
  • 45% dzieliło swój komputer roboczy z małżonkiem lub dzieckiem
  • Tylko 16% twierdzi, że nigdy nie robiło nic z tych rzeczy

Korzystanie z aplikacji rozrywkowych

Jako dygresje powiem tylko, że kiedyś miałem niezły ubaw z osób w swojej byłej organizacji, które logowały takie zachowania, jak wchodzenie na Porhhub ze służbowego komputera. Potem okazało się, że ludzie tak po prostu robią. Ale wróćmy do badania.

Mimo że około 70% pracowników zdalnych korzysta z komputera firmowego do pracy zdalnej, to jak pokazały wcześniejsze punkty, granica pomiędzy komputerem osobistym a firmowym zaczyna się powoli zacierać. W przeprowadzonym badaniu zapytano oczywiście o to, jakie usługi, aplikacje i strony internetowe są otwierane z komputerów firmowych. Wyniki są imponujące, a ludzka głupota niezmierzona. Zobaczmy to liczbowo:

  • 50% korzysta z usług przesyłania strumieniowego, takich jak Netflix, Amazon, Hulu
  • 62% korzysta z YouTube
  • 37% korzysta z witryn hazardowych / gier online
  • 17% wchodzi na strony dla dorosłych
  • 15% korzysta z komputera tylko do pracy

Wdrażanie uwierzytelniania wieloskładnikowego (MFA)

Bardzo często już firmy i organizacje wdrażają uwierzytelnianie wieloskładnikowego. Dlaczego tak się dzieje? Otóż jak zauważyliśmy wcześniej, różnice pomiędzy sprzętem prywatnym a firmowym się powoli zacierają, a uzyskiwanie dostępu do osobistych aplikacji i stron internetowych z komputerów roboczych naraża je dodatkowo na ataki przestępców, którzy usiłują zdobyć zarówno nazwy użytkowników jak i hasła. MFA pozwala temu zapobiec, poprzez wdrożenie nowej metody uwierzytelniania, takiej jak sms, email, głos lub inne dane biometryczne. Jak to wygląda w USA?

  • 60% pracowników zdalnych w Stanach Zjednoczonych zgłasza, że ich organizacja wdrożyła MFA
  • 30% stwierdziło, że ich organizacja nie wdrożyła MSZ
  • 9% nie ma pewności

Pomoc finansowa od państwa

Wdrożenie pomocy makrofinansowej w Stanach Zjednoczonych jest silne, przy czym południowo-zachodni poziom realizacji pomocy makrofinansowej wynosi 65%, a środkowy zachód - stosunkowo przyzwoity 54%.

Niebezpieczeństwo hasła

Respondentów zapytano, czy któreś z ich kont internetowych zostało naruszone od czasu pracy zdalnej, a jeśli tak, to zmienili hasło. Zdumiewające jest to, że aż 62% stwierdziło, że do ich firmy lub na ich stację roboczą nastąpiło włamanie. Poniżej znajdują się odpowiedzi osób, do których komputera lub firmy się włamano:

  • 38% zmieniło hasło po włamaniu
  • 24% nie zmieniło hasła po włamaniu

Jest to przerażające z punktu widzenia bezpieczeństwa informacji - można się dowiedzieć, że niektórzy pracownicy uważają, że naruszenia nie są na tyle poważne, aby wykonać najprostsze działanie, jakie można podjąć, aby się chronić.

Przyszłość pracy

Wielu pracowników zdalnych zastanawia się, czy ta „nowa normalność” stanie się przyszłością pracy. Respondentów zapytano, czy uważają, że kultura pracy zmieni się na korzyść pracy zdalnej po COVID-19. Ich odpowiedzi mogą zaskoczyć wielu pracodawców:

  • 50%: uważa, że tak
  • 35%: uważa że nie
  • 15%: Nie jestem pewien
  • Wyobraź sobie, że to pytanie zostałoby zadane zaledwie rok temu, kiedy tylko 3,6% pracowników pracowało zdalnie! Nieco mniej zaskakujące jest to, jak na konieczność pracy zdalnej zareagowały różne regiony Stanów Zjednoczonych:

  • Zachodnie wybrzeże przoduje w kraju z 60%
  • Najmniej przekonane były stany południowo-wschodnie z 47%
  • Wniosek

    Wraz z ogromnym wzrostem liczby pracowników zdalnych w wyniku pandemii COVID-19, bezpieczeństwo pracowników zdalnych jest teraz ważniejsze niż kiedykolwiek. Wdrażając pracowników zdalnych, organizacje powinny wziąć pod uwagę następujące czynniki:

    • Zasady i oczekiwania dotyczące pracy zdalnej
    • Udostępnianie komputerów roboczych i innych urządzeń
    • Onboarding i offboarding pracowników
    • Dostęp do krytycznych aplikacji biznesowych
    • Dostęp do aplikacji do współpracy, takich jak Microsoft Teams
    • Dostęp do sieci / VPN
    • Bezpieczne możliwości logowania

    Źródła: