Все мы помним весну 2020 года: разгар первой волны COVID-19, локдаун и массовый перевод сотрудников крупных и малых организаций на удаленный режим работы. Тогда было страшно, казалось, что система трудовых взаимоотношений не готова к такой резкой трансформации и экономику ждет коллапс. Однако катастрофы не случилось. Напротив, диджитализация начала стремительно проникать во все сферы жизни и менять устоявшиеся, как тогда казалось, модели ведения бизнеса. Одной из таких моделей была привычная всем офисная работа.
Какие преимущества, а также угрозы несет в себе совмещенное с домом или пляжем рабочее место, выяснили специалисты международного разработчика программ компьютерной безопасности ESET.
Ведь прошло уже полтора года после начала пандемии, вот только сотрудники не торопятся возвращаться в офисы, а работодатели их особо и не принуждают. По данным консалтинговой компании McKinsey & Company, 90% организаций по всему миру (53% — в России) готовы перевести своих сотрудников на гибридный режим работы на постоянной основе, вне зависимости от эпидемиологической ситуации. Такой формат дает возможность совмещать удаленную и офисную работу в зависимости от специфики деятельности и задач. Теперь предстоит разобраться с тем, насколько эффективен и безопасен гибридный офис в долгосрочной перспективе.
Работа = свобода
Преимущества удаленного или совмещенного офиса над традиционным очевидны.
- Сотрудникам такой формат помогает достичь оптимального баланса между работой и личной жизнью, снизить уровень стресса, повысить комфорт, эффективность и мобильность, сократить контакты во время пандемии, сэкономить время и деньги на поездках от дома до работы,
- Для компаний гибридная модель позволяет значительно расширить географию поиска сотрудников, оптимизировать штат и расходы на аренду помещений.
Впрочем, не обошлось и без «ложки дегтя»:
- Гибридный формат работы требует от сотрудников куда большей самодисциплины, ответственности, пунктуальности и технической грамотности,
- Организациям сложнее контролировать рабочие процессы, поддерживать корпоративную культуру и обеспечивать централизованную защиту компьютеров и других устройств персонала, что ставит под угрозу сохранность конфиденциальной информации бизнеса.
Кибербезопасность является ключевым барьером в распространении гибридного формата работы, поэтому на ней и остановимся подробнее.
Что могло пойти не так?
Согласно глобальному исследованию компании ESET, 73% руководителей, у которых в штате есть удаленные сотрудники, считают киберугрозы вполне реальной опасностью для их бизнеса. При этом половина организаций уже подвергалась хакерским атакам ранее. Тут можно выделить несколько слабых мест, которыми спешат воспользоваться злоумышленники:
- Разнообразие личных устройств. Когда команда работает внутри своей корпоративной сети с настроенным файерволом, VPN, политиками и ограничениями, то ситуацию удается держать под контролем. Но как только сотрудники покидают стены офиса и подключаются к корпоративным ресурсам с менее защищенных личных устройств, то это кратно увеличивает киберриски,
- Человеческий фактор. В первые недели локдауна люди, запертые по домам, активно искали информацию о COVID-19, переходили по сомнительным ссылкам, позабыв о правилах кибербезопасности. Это привело к всплеску фишинга, спама, проникновения нежелательного ПО и кражи данных. С домашних компьютеров, ноутбуков и планшетов вредоносные программы устремились в периметры компаний,
- Облачные инструменты и удаленная коммуникация. Доступ к корпоративным ресурсам из любой точки мира, а также онлайн-конференции оказались спасением в период пандемии. Сервис Zoom фиксировал двадцатикратный прирост активной аудитории в I квартале 2020 года. Однако нужно понимать, что, применяя облачные решения, компании фактически передают контроль сохранности своих данных в руки сторонних организаций и конечных пользователей. А слабые настройки безопасности, уязвимости ПО и устройств, ненадежные пароли от облачных хранилищ, бэкдоры, использующие бреши в конфигурации RDP (удаленное администрирование), и социальная инженерия дают злоумышленникам дополнительные возможности для взлома и перехвата трафика.
Делаем гибридный офис безопасным
Используя накопленный опыт и данные исследований, можно выделить ряд принципов, которые помогут построить защищенный гибридный офис:
- Модель «нулевого доверия». Если раньше IT-команда могла создать доверенную зону внутри компании, где каждый участник имел примерно равные права доступа, то концепция гибридного офиса подразумевает работу в «дикой среде». Там никому нельзя доверять, и всех надо проверять. На помощь приходят системные подтверждения подлинности пользователей и устройств, отношение ко всем сетям как к ненадежным по умолчанию и ограничение привилегий доступа. Для небольшого бизнеса, где нет собственной команды айтишников, существуют готовые решения с простой настройкой актуальных требований безопасности;
- Политики кибербезопасности. Их нужно менять и больше обращать внимание на следующие вещи: тщательный отбор поставщиков цифровых услуг, ограничение прав доступа для снижения фишинговых угроз, настройка сегментации сети, использование сквозного шифрования и двухфакторной аутентификации, подключение VPN при работе в домашних и общественных сетях Wi-Fi;
- Безопасность устройств. Любой ноутбук или смартфон, использующийся для удаленного подключения к корпоративным ресурсам, должен регулярно обновляться. Это касается и операционной системы, и установленного программного обеспечения. Когда в компании пара десятков сотрудников, то задача не представляется сложной. Но для больших организаций со сложной структурой администрирования нужна комплексная защита с централизованным управлением;
- Обучение сотрудников. Все старания IT-отдела могут пойти насмарку из-за недостаточной осведомленности сотрудников и недобросовестного исполнениями ими правил кибербезопасности. Обязательной рутиной должны стать тестирования на знание политик, регулярные смены паролей, тренинги по безопасному использованию облачных хранилищ, почтовых клиентов, мессенджеров.
Сегодня все больше компаний и соискателей смотрят в сторону гибридного рабочего места, а значит, подход к организации рабочего процесса стремительно меняется. Вместо пропуска на пункте охраны — двухфакторная аутентификация, вместо сигнализации в офисе — панель управления корпоративной сетью, вместо пунктов «ответственный» и «исполнительный» в резюме — графа «цифровая грамотность».
