
Covid-19 krisen har ført til historisk høy bruk av hjemmekontor. Mange har på kort varsel kastet seg ut i bruk av nye digitale kommunikasjonsløsninger for å opprettholde driften under koronautbruddet. Men hvordan sikrer man at krav til cybersikkerhet og personvern overholdes når ansatte jobber hjemmefra?
Hjemmekontor krever like høy sikkerhet som på jobben
Norske bedrifter har etter personvernforordningen (GDPR) ble innført vært flinke til å dokumentere at de følger krav til cybersikkerhet (datasikkerhet) når arbeidet utføres på arbeidsplassen. Men har krav til informasjonssikkerhet og personvern blitt tilpasset hjemmekontoret? Her ser vi ofte både kunnskapshull og sikkerhetshull – og det uavhengig av koronakrisen.
Sikkerhetsbrudd på hjemmekontoret er alvorlig. Det kan være brudd på virksomhetens krav til cybersikkerhet som kan føre til økonomisk ansvar. Under koronakrisen vil strenge krav til GDPR kunne lempes, men brudd på sikkerhetskrav kan likevel føre til omdømmetap og fare for at bedriftshemmeligheter kommer på avveie.
Mange bedrifter har oppdaget at ansatte manglet riktig utstyr og kompetanse for å ivareta tilstrekkelig cybersikkerhet når virksomheten ble flyttet til den ansattes private hjem. På kort tid skulle jobben gjøres hjemmefra og ofte med den ansattes private utstyr. Bedriftsledelsen måtte ta raske beslutninger når nye møteformer med videokonferanser og nye systemer ble tatt i bruk for å sikre driften. I den forbindelse melder det seg spørsmål som: Er ansatte på hjemmekontoret opplært og utstyrt til å håndtere sensitiv informasjon for bedriften eller om andre personer? Og hvem har egentlig ansvaret for datasikkerheten på hjemmekontoret?
Cybersikkerhet er ledelsens ansvar. Mange tenker at sikkerhetsbrudd er angrep utenfra (dataangrep og hackere), men de fleste sikkerhetsbrudd er forårsaket av egne ansatte som ikke følger sikkerhetsrutinene. Ledelsen må følgelig sørge for at hjemmekontoret tas i bruk på en sikker nok måte, bl.a. ved å lære opp de ansatte om hvordan bruke trygge nok systemer og utøve gode sikkerhetsrutiner.
Hvordan ha kontroll når ingen er på kontoret?
Kort forklart skal bedriftens sikkerhetsrutiner og kommunikasjonsverktøy være kjent for den ansatte, dette er en del av bedriftens internkontroll. Etter at GDPR ble innført i juli 2018 skal bedrifter for aktiviteter som de har behandlingsansvar for, vise at de har gjennomført egnede tekniske og organisatoriske tiltak for å sikre og dokumentere at behandlingen utføres i samsvar med kravene i GDPR.
Et eksempel på organisatorisk tiltak er at alle ansatte vet hvem de skal kontakte ved feil, f.eks. om den ansatte på hjemmekontoret oppdager datavirus, hacking eller annet sikkerhetsbrudd. De ansatte bør også vite hvordan beslutninger og informasjonsflyt henger sammen i virksomheten, f.eks. hva de skal gjøre hvis en nøkkelperson eller leder er syk eller indisponert. Internkontrollen kan sammenlignes med et bedriftskart med tydelig struktur og retningslinjer – slik at alle ledd som behandler bedriftens sensitive data er kjent med virksomhetens sikkerhetskrav og raskt kan finne gode løsninger om sikkerhetsavvik oppdages.
Eksempler på tekniske tiltak vil kunne være å påse at bedriften eller dennes IT-tjenesteleverandør evner å detektere sikkerhetsavvik i systemene selv om det benyttes hjemmekontor.
Et annet eksempel er at virksomheten bør ha tilpasset BCP-planer (Business Continuity Plan) for dets virksomhet. Dette kan f.eks. være ulike planer som skal sikre forretningskontinuitet dersom bedriften rammes av datainnbrudd, terrorangrep eller løsepengevirus – og slike planer bør utvides til å omfatte de ansattes hjemmekontorløsninger. De ansatte bør få vite hvem som skal kontaktes under krisen, samt vite om utpekte stedfortredere for hver leder som blir indisponert under en krise.
Ledelsen må informere de ansatte om trusselbildet
Når hjemmekontor benyttes under covid-19 krisen, vil det i tillegg være vesentlig at ledelsen gjør de ansatte oppmerksomme på det aktuelle trusselbildet, samt utviklingen av det. En rekke aktører vil se på økt og plutselig hjemmekontorbruk i sammenheng med en pandemi som et mulighetsrom for å ulovlig tilegne seg både data og andre verdier.
Det har vært en vesentlig stigning i antall social engineering-angrep med Covid-19 temaer. Dette er angrep som kan gå ut på å overtale et individ til å følge en link, åpne en fil eller en applikasjon, under påskudd om at det er Covid-19 relatert. Gitt at man i dagens situasjon naturlig nok vil søke informasjon om spredningen av viruset og hvilke beskyttelsestiltak som anbefales, kan resultatet fort bli at man ser bort fra vanlige forholdsregler hva gjelder cybersikkerhet, og utsetter seg selv og bedriften for kompromittering.
Siden trusselaktører også evner å tilpasse seg situasjonen og målene, vil det være viktig å følge med på utviklingen av slike angrep. Jo mer bevisste og kunnskapsrike de ansatte er om de aktuelle risikoene, jo bedre beskyttet er virksomhetens data.
Hvilke krav gjelder for ansattes hjemmekontor?
Siden bruk av hjemmekontor åpner for en rekke sårbarheter, anbefaler vi at cybersikkerhet er en integrert del av virksomhetens hjemmekontorløsning fra starten av og uavhengig av koronautbruddet. Bedriften må gjennomføre risikovurderinger – også av leverandørers løsninger som hjemmekontoret bruker.
Hva er de 6 viktigste kravene til cybersikkerhet etter GDPR som også gjelder for hjemmekontoret?
Disse seks kravene henger nøye sammen. Et eksempel er at endrede brukervilkår eller standardinnstillinger for hjemmekontorets anbefalte videoløsning, kan føre til at bedriften må foreta nye risikovurderinger. Hvis løsningen ikke lenger oppfyller krav om innebygd personvern, kan det føre til at ny personvernkonsekvensanalyse må foretas for å finne ut hvilke nye risikoreduserende tiltak bedriften må implementere.
Følg tips om sikkerhetstiltak fra NSM
Nasjonal sikkerhetsmyndighet (NSM) har publisert god informasjon om hvordan virksomheter bør sikre seg mot de risikoer som følger med hjemmekontorbruk under Covid-19 krisen, f.eks. at bedriften vurderer bruk av riktig utstyr på hjemmekontoret og sikrer tilganger med VPN og 2-faktor autentisering.
Vi mener de gode rådene fra NSM for hjemmekontorløsninger også bør gjelde etter at krisen er over. Tilbake i 2018 hadde 36% av norske ansatte mulighet for pålogging til jobben via mobil- og hjemmekontorløsninger (FaFo). Denne andelen har økt kraftig under koronakrisen, og den forventes å øke ytterligere fremover.
Norske bedrifter er gode på brannøvelser, alarmer og fysiske sikkerhetstiltak på arbeidsplassen. Nå bør de digitale sikkerhetstiltakene få samme fokus – både på kontoret og hjemmekontoret. Verdiskapning og cybersikkerhet går hånd i hånd og trygger både kunder, ansatte og bedriften.
Artikkelen er også publisert på digi.no