Säkerhetsexpertens tips för arbete utanför den normala kontorsmiljön

Att arbeta mobilt innebär en större frihet och flexibilitet under arbetsdagen, då nya möjligheter öppnas upp och arbetet kan utföras överallt – när man vill. Däremot har utvecklingen kring den mobila arbetsplatsen gått fort och samtidigt har cyberbrottsligheten ökat. Ett av de vanligaste sätten att attackera en användare är genom phisingmejl. Det kan både orsaka stor skada för den anställde som utsatts för attacken och även påverka hela organisationen negativt. Det är därför viktigt att skydda känslig information från att hamna i fel händer, samtidigt som det ska vara enkelt för användaren att göra rätt.
Om omständigheterna inte tillåter närvaro på kontoret – hur kan din organisation stötta arbetsstyrkan att arbeta säkert och samtidigt effektivt? Nedan följer tips att tänka på när hela eller större delar av arbetsstyrkan går över till att arbeta mobilt.

Mobila enheter
Den första frågan som organisationen måste besvara är: Vilken typ av enhet behöver medarbetarna för att kunna arbeta utanför den ordinarie arbetsplatsen? Olika typer av enheter innebär olika möjligheter och utmaningar som kan behöva tas hänsyn till när du väljer din säkerhetslösning.

Tips
För att minska risken för attacker vid mobilt arbete rekommenderas en surfplatta eller smartphone som är krypterad via ett säkert VPN, som dessutom automatiskt alltid är påslaget i bakgrunden. Anledningen till att VPN:et alltid ska vara på är för att säkerställa att man aldrig arbetar utan skydd. Detta kan hjälpa dig att undvika flera av riskerna som beskrivs nedan.
Risker med mobila enheter
Mobila enheter är av förklarliga skäl lättare att tappa bort än stationära, vilket gör att de utsätts för andra typer av risker.

Applikationer och annan nedladdad data
En av de största säkerhetsriskerna är applikationer och data som är nedladdad till enheten. Dessa kan innehålla skadlig kod som kan tillåta att enheten avlyssnas. Det kan exempelvis vara att mikrofon och/eller kamera slås på utan att användaren vet om det eller genom att data skickas till oavsedda mottagare. En ännu större risk i sammanhanget är att app-leverantören kan samla in information om ditt beteende online och sedan sälja vidare data om dig.

Tips
Du kan minimera risken genom att endast tillåta applikationer som granskats ur säkerhetssynpunkt med hjälp av svart- och vitlistning. Om det är viktigt för användaren att ha en större valfrihet kring nedladdning av applikationer, kan du skydda arbetsrelaterad information i en specifik arbetsyta som är avskild från en eventuell privat del på enheten.

Användarens lagring av data
Om det finns information lagrad på enheten blir den dels oåtkomlig för användaren om den blir borttappad eller stulen, och dels finns det en risk att utomstående personer kan komma åt eventuell känslig information.

Tips
Med säkerhetspolicys som hindrar användaren från att arbeta med lokalt sparad data kan riskerna med att data hamnar i fel händer minimeras. Om information lagras krypterad på enheten säkerställer det att information och dokument inte kan öppnas eller läsas av fel person. Det är därför viktigt att välja en säkerhetsnivå på krypteringslösningen som är i balans med de säkerhetshot som du kartlagt.

Det är även viktigt att överväga om organisationens anställda endast ska arbeta mot en central server, vilket förstås kan innebära en viss flexibilitetsförlust där nätverkstäckningen är bristfällig och tillgängligheten mot servern därmed låg, eller om det är tillåtet att spara information lokalt. En effektiv lösning för att förhindra att information på en enhet kommer i fel händer är att tillämpa fjärradering.

Avlyssning
Mobila enheter ansluter sig vanligtvis till tidigare använda trådlösa nätverk. När enheten kopplas upp mot ett nätverk som du inte själv kontrollerar riskerar du att avlyssnas eller att utsättas för en så kallad man-in-the-middle-attack (MITM). Om du kopplar upp dig på ett öppet WiFi-nät på ett café till exempel, kan vem som helst i närheten avlyssna din trafik. Dessutom kan en angripare lura din enhet att koppla upp sig till en illasinnad basstation som utger sig för att vara caféets WiFi. Då kan angriparen både avlyssna och modifiera trafiken, oavsett om WiFi-nätet är öppet eller krypterat.

Tips
Med ett end-to-end VPN som säkrar din data (“data in motion”) och krypterar/avkrypterar vid sändning och mottagning, kan du minska risken för såväl avlyssning som MITM. För att ett VPN ska fungera bra i en mobil lösning krävs det att det hanterar roaming (förflyttning mellan nät) på ett bra sätt så att inte användaren upplever ojämn tillgänglighet eller krävs på upprepade inloggningar. Detta för att arbetet ska bli så effektivt som möjligt, samtidigt som informationen är säker.

Varför skydda känslig information?
Anledningen till att organisationer behöver ha en tydlig policy kring hur känslig eller säkerhetsklassad information ska hanteras är för att det finns aktörer som skulle vara intresserade av att komma åt den. Om du arbetar inom samhällskritisk verksamhet, som myndigheter, vatten- och energiförsörjning, transportindustrin eller den finansiella sektorn för att nämna några, är det inte omöjligt att resursstarka, högmotiverade aktörer såsom främmande makt är intresserad av den information din organisation hanterar. Detta även om den inte är säkerhetsklassificerad. Den kan utgöra en bit i det pussel man lägger för att avgöra Sveriges motståndskraft mot samhällspåverkande insatser som desinformation och sabotage. Om du arbetar inom högteknologiska sektorer är industrispionage troligen det främsta hotet.

Lätt att göra rätt
Sammanfattningsvis ska det poängteras att det viktigaste är att de anställda inom organisationen känner sig trygga med att förmedla känslig information på sin mobila arbetsplats. För att det ska vara möjligt är det viktigt att se över säkerhetsrutiner och policys i förhållande till säkerhet under mobilt arbete – tydliga säkerhetsrutiner och riktlinjer är A och O.