Stjórnun upplýsingaöryggis í fjarvinnu vegna COVID-19

Owned by Vigfús Gíslason (Unlicensed)
Last updated: okt. 25, 2023 by Sigurjón Þráinsson

Meðal helstu mótvægisaðgerða stofnana í því ástandi sem COVID-19 faraldurinn hefur skapað, er að gera starfsmönnum kleift að vinna heima.

Þó fyrirkomulagið geti verið góð leið til að raska sem minnst starfsemi stofnana, gerir það jafnframt auknar kröfur til þess að hugað sé vel að upplýsingaöryggi. 

Hér á eftir er farið yfir nokkur atriði sem hjálpa stofnunum að takast á við þessar áskoranir.

Stefna

Farið yfir núverandi upplýsingaöryggi og tengdar stefnur og athugið hvort til séu sérstakar öryggisleiðbeiningar fyrir fjarvinnu og fjaraðgang að ykkar upplýsingakerfum.  Sumar stofnanir kunna að hafa stefnur sem eru sérstaklega gerðar fyrir fjarvinnu starfsmanna, á meðan aðrir hafa sett fram reglur varðandi fjarvinnu í neyðartilfellum eða stefnu um BYOD (notkun eigin tækja) svo dæmi sé tekið.

Ef engar viðeigandi viðbragðsáætlanir eða stefnur eru til staðar, þá er tilvalið að semja grunnviðmið um fjaraðgang að upplýsingakerfum stofnana og notkun starfsmanna á eigin tækjum.

Samskipti

Stjórnendur ættu að þekkja viðeigandi öryggisreglur, viðbragðsáætlanir og stefnur og tryggja að viðeigandi upplýsingar séu kynntar starfsmönnum. Það er nauðsynlegt að skipulag og upplýsingaflæði um slík atriði nái til allra starfsmanna. Mikilvægt er að hafa í huga að margir starfsmenn vinna ekki að öryggismálum dagsdaglega og sumir hafa kannski aldrei áður unnið í farvinnu. Því er mjög áríðandi að leiðbeina öllum starfsmönnum.

Undirbúningur

Stofnanir ættu að fara yfir viðbragðsáætlanir vegna gagnaleka og mögulegra öryggisatvika til að tryggja rétt og hröð viðbrögð ef slíkar aðstæður koma upp. Það þarf að uppfæra þessar áætlanir eftir þörfum, þ.m.t. lista yfir þá tengiliði sem skal hafa samband við ef atvik koma upp.  Fjarvinnsla eykur þörf fyrir samræmda áætlun ef eitthvað fer úrskeiðis.

Nokkur ráð vegna fjarvinnu

  • Minnið starfsmenn á hvaða upplýsingar eru viðkvæmar og nauðsynlegt að standa vörð um.  Það geta verið upplýsingar er varða starfsemi stofnunarinnar, viðskiptasamninga, réttarvarin hugverk, vinnuafurðir, upplýsingar um skjólstæðinga, viðskiptavini eða samstarfsaðila, upplýsingar um starfsmenn og aðrar persónugreinanlegar upplýsingar.

  • Viðkvæmar upplýsingar, svo sem ákveðnar tegundir persónuupplýsinga (t.d. starfsmannalistar, gögn um heilsufar eða fjárhagslegar upplýsingar), sem geymdar eru á eða sendar til eða frá vinnutölvum, skulu vera dulkóðaðar bæði í flutningi og geymslu. Þetta á jafnframt við geymslu á miðlum sem þeim tengast (s.s. USB-drifi og netdrifum). 

  • Það þarf að upplýsa og þjálfa starfsmenn í því að greina og bregðast við netárásum eins og stuldi á notendanafni og lykilorði (e. phishing attacks) og öðrum tegundum netárása sem beinast að því að komast inn í tölvukerfi stofnana.  Því miður má greina aukinn fjölda árása dulbúnar sem COVID-19 aðgerðir. Póstur getur t.d. komið frá sendanda sem virðist vera yfirmaður stofnunar eða annar opinber aðili, samstarfsmaður eða  þjónustuaðili sem móttakandi þekkir. Oft þykist sendandi hafa áhyggjur af heilsu móttakanda eða almennings og óskar eftir upplýsingum sem hann getur nýtt sér til að yfirtaka búnað starfsmanns.

  • Það skal ekki leyfa samnýtingu á vinnutölvum og öðrum tækum eða búnaði.  Þegar starfsmenn fara með vinnutæki heim mega þeir ekki að deila þeim með öðrum á heimilinu.  Slíkt bann dregur úr hættu á óviðkomandi eða óheimilum aðgangi að viðkvæmum upplýsingum.

  • Sýndareinkanet (VPN) tryggja dulkóðaða internetumferð, sérstaklega ef vinnutæki eru tengd við þráðlaust almenningsnet eða net á heimilum.  Ef stofnunin er með þannig tengingu er nauðsynlegt að ganga úr skugga um að starfsmenn noti eingöngu VPN þegar þeir sinna vinnutengdum málum og hafa aðgang að innri upplýsingakerfum stofnunarinnar.

  • Viðkvæmar upplýsinga ættu aldrei að vera sóttar eða geymdar á tækjum í eigu starfsmanna eða fjölskyldna þeirra, svo sem heimatölvu, USB-drifi eða í almennri skýjaþjónustu, svo sem á persónulegum Google Drive aðgangi eða Dropbox reikningum.

  • Tryggja þarf að þau tæki sem starfsmenn taka með sér heim séu með nýjustu uppfærslum, þ.m.t á stýrikerfum, skrifstofuhugbúnaði, vöfrum og ýmsum öryggishugbúnaði.

  • Skoða þarf sérstaklega hvort banna eigi aðgang að innri upplýsingakerfum stofnana ef nettenging er á almennu þráðlausu neti.  Starfsmenn kunna að freistast til að vinna á kaffihúsum eða öðrum almenningsstöðum.  Vinna án VPN-tengingar stofnunar getur leitt til verulegra öryggisáhættu.

  • Brýnið fyrir starfsmönnum að þeir viti alltaf hvaða þráðlausa neti þeir tengja vinnutölvur sínar og að lykilorð á heimanet séu ekki fyrirsjáanleg.

  • Þar sem "Munið lykilorð" hjálp er til staðar í upplýsingakerfum ætti að slökkva á þeim.  Mikilvægt er að starfsmenn muni lykilorðin sín og slái þau inn í hvert skipti sem þeir fara inn í upplýsingakerfi stofnunarinnar.

  • Stofnanir ættu að leitast við að innleiða og framfylgja tveggja-þátta eða fjölþátta auðkenningu (e. Multi-Factor Authentication – MFA), t.d. þar sem starfsmaður fær SMS með kóða til þess að ljúka innskráningu. Hafi stofnunin ekki nú þegar kveikt á slíkri virkni er rétti tíminn til að gera það. Innskráning í Microsoft 365 umhverfi ríkisins er dæmi um þar sem fjölþátta auðkenningu er beitt.

  • Takmarka ætti aðgang starfsmanna við þær upplýsingar sem nauðsynlegar eru til að þeir geti sinnt starfi sínu á því tímabili sem þeir vinna heima.

  • Þar sem því verður við komið ættu stofnanir að setja upp stjórnun á þeim búnaði sem starfsmaður hefur (Mobile Device Management - MDM). Þessar lausnir geta hjálpað til við að stjórna farsímum, fartölvum, spjaldtölvum og forritum. Það gerir stofnunum kleift að innleiða fjölda öryggisráðstafana, þ.m.t. dulkóðun gagna, skönnun á spillikóða (e. malware) og eyðing gagna á stolnum tækjum.  Þær stofnanir sem eru með Microsoft 365 hafa þennan möguleika.

  • Huga skal að mönnun notendaþjónustu og að því að gera tengiliðalista skýra.  Þegar starfsmenn vinna heima þurfa þeir oft meiri upplýsingatækniaðstoð en annars og því mikilvægt fyrir þá að vita hvar slíka hjálp er að finna.

  • Stofnanir skulu hafa í huga að lagaumhverfi þeirra er óbreytt þrátt fyrir óvenjulegt ástand. Lög um persónuvernd - GDPR eru í fullu gildi óháð stað og stund. Þá eru réttindi starfsmanna óbreytt og þau sömu og þeir væru að vinna á sinni hefðbundnu starfsstöð. Kannið heimasíðu Persónuverndar, sem m.a. fjallar um COVID-19 og persónuvernd.

Verum vakandi! – munið að upplýsingaöryggi er ekki ónæmt fyrir COVID-19.

Þetta efni er byggt á leiðbeiningum Mintz, Levin, Cohn, Ferris, Glovsky og Popeo hjá The National Law Review