Εθνική Ομάδα Αντιμετώπισης Ηλεκτρονικών Επιθέσεων Κύπρου: Οδηγίες για την τηλεργασία

Οδηγίες για τον τρόπο με τον οποίο μπορείτε να εργαστείτε με μεγαλύτερη ασφάλεια από το σπίτι και ΠΑΝΤΑ μέσω του υπηρεσιακού σας υπολογιστή (ΟΧΙ προσωπικές συσκευές όπως κινητά, σταθερούς υπολογιστές κλπ… δίνει η Εθνική Ομάδα Αντιμετώπισης Ηλεκτρονικών Επιθέσεων. Όπως επισημαίνεται από την Εθνική Ομάδα Αντιμετώπισης Ηλεκτρονικών Επιθέσεων Κύπρου, πολλές εταιρείες ζητούν αυτή την περίοδο από τους εργαζομένους τους να εργαστούν εξ αποστάσεως, ωστόσο η απομακρυσμένη εργασία μπορεί να εισαγάγει νέες απειλές σχετικά με την ασφάλεια, ειδικά για άτομα που δεν έχουν συνηθίσει να εργάζονται εκτός γραφείου για αυτό και είναι αναγκαίο να εφαρμόζονται τα πιο κάτω:

Πολιτική Ασφαλείας

Κάθε οργανισμός πρέπει να έχει πολιτική ασφαλείας η οποία να καθορίζει πλήρως την διαδικασία απομακρυσμένης πρόσβασης στον οργανισμό, με ευθύνη του διαχειριστή.

Σωστή επιλογή χώρου εργασίας

Επιλέξετε τον χώρο εργασίας σας λαμβάνοντας όχι μόνο την άνεση του αλλά και την ασφάλεια που παρέχει ο χώρος δηλαδή:

1. Επιλέξτε ένα χώρο που να σας προσφέρει όση εμπιστευτικότητα θεωρείτε απαραίτητη για την εργασία σας. Εάν εργάζεστε από το σπίτι αυτό μπορεί να είναι πιο εύκολο από ότι εάν εργάζεστε σε μια καφετέρια ή βιβλιοθήκη. Επιλέξτε ένα μέρος όπου άλλα άτομα δεν μπορούν να βλέπουν την οθόνη της συσκευής που χρησιμοποιείτε. Συνιστάτε η τοποθέτηση φίλτρου εμπιστευτικότητας (Privacy Film).
2. Εάν έχετε τηλεδιασκέψεις σιγουρευτείτε ότι η πλατφόρμα που χρησιμοποιείτε είναι ασφαλής και ότι άλλα άτομα γύρω σας δεν παρακολουθούν την τηλεδιάσκεψη σας.
3. Μην επιτρέψετε στα μέλη της οικογένειας σας να χρησιμοποιούν τις συσκευές εργασίας σας. Εάν πρέπει να απομακρυνθείτε από τη συσκευή σας κλειδώστε τη συσκευή σας για να εμποδίσετε της πρόσβαση σε άλλα άτομα.
4. Χρησιμοποιήστε μόνο κρυπτογραφημένο Wi-Fi για να συνδεθείτε στο διαδίκτυο. Εάν εργάζεστε από το σπίτι, βεβαιωθείτε ότι το δίκτυο Wi-Fi του σπιτιού σας χρησιμοποιεί τις τελευταίες ανανεωμένες παραμετροποιήσεις ασφαλείας.
5. Εάν θέλετε να αποκτήσετε πρόσβαση σε διακομιστές ή εργαλεία που στεγάζονται στις εγκαταστάσεις του οργανισμού σας, χρησιμοποιήστε VPN (Virtual Private Network) για να συνδεθείτε στο δίκτυο του οργανισμού σας. Το VPN δημιουργεί κρυπτογραφημένη σήραγγα για τη ροή της κίνησης του δικτύου σας και δυσκολεύει τους άλλους να υποκλέψουν τα δεδομένα που ανταλλάσσονται κατά τη μεταφορά.

Ασφάλεια δεδομένων

Υπάρχουν ορισμένες παραμετροποιήσεις που μπορείτε να εφαρμόσετε στις συσκευές σας για να μειώσετε τα δεδομένα στα οποία μπορούν να έχουν πρόσβαση επιτιθέμενοι ή αν η συσκευή σας κλαπεί.

1. Χρησιμοποιήστε ισχυρό έλεγχο ταυτότητας για να αποκτήσετε πρόσβαση στη συσκευή σας, όπως το Windows Hello. Είτε PIN ή αναγνώριση προσώπου, εάν η συσκευή σας το υποστηρίζει.
2. Χρησιμοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων (2FA) για να αποκτήσετε πρόσβαση σε οποιουσδήποτε εργαλεία βασίζονται στο cloud. Το 2FA χρησιμοποιεί δύο “παράγοντες”, όπως έναν κωδικό πρόσβασης και έναν αριθμό PIN που θα σταλεί στην κινητή συσκευή σας. ή ένα PIN και μια σάρωση προσώπου ή αποτύπωμα, προκειμένου να ελεγχθεί η ταυτότητά σας (εάν αυτό υποστηρίζεται από την συσκευή)
3. Τώρα είναι η κατάλληλη στιγμή για να σκεφθείτε τους κωδικούς πρόσβασης που χρησιμοποιείτε. Εάν χρησιμοποιείτε απλούς κωδικούς πρόσβασης, είναι η κατάλληλη στιγμή για να τους αναβαθμίσετε σε ασφαλέστερους κωδικούς πρόσβασης.
   • Κατευθυντήριες γραμμές επιλογής κωδικών πρόσβασης:
     1. Το ελάχιστο 10 χαρακτήρες
     2. Το ελάχιστο ένα (1) αριθμό
     3. Το ελάχιστο ένα ειδικό χαρακτήρα )!@#$%^&*(
     4. Το ελάχιστο ένα κεφαλαίο γράμμα

1. Βεβαιωθείτε ότι είναι ενεργοποιημένη η κρυπτογράφηση τοπικής μονάδας δίσκου, όπως το BitLocker. Με αυτόν τον τρόπο, εάν η συσκευή σας χαθεί ή κλαπεί, θα είναι δύσκολη η πρόσβαση σε τοπικά δεδομένα.
2. Βεβαιωθείτε ότι η συσκευή σας είναι ενημερωμένη με όλες τις ενημερώσεις ασφαλείας και ότι έχετε ένα πρόγραμμα προστασίας από λογισμικό κακόβουλης λειτουργίας, όπως το Windows Defender, το οποίο εκτελείται ενεργά.

Ανοιχτή επικοινωνία με τον οργανισμό

1. Μείνετε σε επαφή με τον οργανισμό σας ενώ εργάζεστε απομακρυσμένα. Το τμήμα IT μπορεί σχετικές οδηγίες χρήσης ή να σας κάνει διαθέσιμα νέα εργαλεία ασφάλειας. Εάν υποψιάζεστε ότι η συσκευή σας ή τα δεδομένα σας έχουν παραβιαστεί με οποιονδήποτε τρόπο, ειδοποιήστε τους του υπευθύνους που έχουν καθοριστεί από τον οργανισμό σας ώστε να μπορούν να διερευνήσουν την κατάσταση και να λάβουν μέτρα για την αποτροπή περαιτέρω απωλειών.
2. Τώρα, περισσότερο από ποτέ, αντισταθείτε στον πειρασμό να χρησιμοποιήσετε μη εγκεκριμένα εργαλεία ή να αποθηκεύσετε δεδομένα εκτός των κατευθυντήριων γραμμών του οργανισμού σας. Εάν χρειάζεστε κάποιο εργαλείο που δεν έχετε για να ολοκληρώσετε τη δουλειά σας, επικοινωνήστε με τους υπευθύνους που έχουν καθοριστεί από τον οργανισμό σας. Είναι απολύτως πιθανό ότι θα ανακαλύψετε συστήματα που δεν λειτουργούν όπως θα περιμένατε όταν βρίσκεστε στο γραφείο. Τώρα είναι η κατάλληλη στιγμή για να ενημερώσετε τους υπευθύνους που έχουν καθοριστεί από τον οργανισμό σας πριν προβείτε σε δικές σας ενέργειες.
3. Να είστε σε εγρήγορση για μηνύματα ηλεκτρονικού “ψαρέματος”. Οι κακόβουλοι χρήστες προσπαθούν να εκμεταλλευτούν το φόβο και την αβεβαιότητα στέλνοντας μηνύματα ηλεκτρονικού ταχυδρομείου που φαίνεται να προέρχονται από αρχές ή στελέχη γνωστών οργανισμών, σε μια προσπάθεια να σας δελεάσουν να κάνετε κλικ σε κακόβουλες συνδέσεις ή να διαβιβάσετε τα προσωπικά σας στοιχεία. Ποτέ μην ανοίξετε συνημμένα αρχεία που δεν περιμένατε να λάβετε, ακόμα και αν φαίνεται να προέρχεται από κάποιον που γνωρίζετε. Είναι πάντα προτιμότερο να ελέγχετε με το άτομο που σας έστειλε το αρχείο για να βεβαιωθείτε για την εγκυρότητα του.
4. Προτεινόμενα εργαλεία για έλεγχο ιστοσελίδων και αρχείων
   • UrlScan – https://csirt.cy/tooling/#urlscan
   • VirusTotal – https://csirt.cy/tooling/#virustotal
   • HaveIbeenPwned – https://csirt.cy/tooling/#haveibeenpwned
   • DomainTools – https://csirt.cy/tooling/#whois-domaintools
   • BitLocker – https://csirt.cy/tooling/#bitlocker
5. Οι χρήστες με απομακρυσμένη πρόσβαση δεν θα πρέπει να έχουν δικαιώματα διαχειριστή.

Η απενεργοποίηση όλων των θυρών USB που χρησιμοποιούν οι χρήστες είναι όχι μόνο αναγκαία για την ασφάλεια τις συσκευής, αλλά και απαραίτητη προϋπόθεση ασφαλής λειτουργείας τις υποδομής.