Podle dlouhodobého výzkumu společnosti Tessian se přibližně 56 % vedoucích IT pracovníků domnívá, že jejich zaměstnanci si v době pandemie osvojili špatné chování v oblasti kybernetické bezpečnosti. A to právě proto, že pracovali, případně pracují z domova. A protože se naučených návyků lidé nezbavují zrovna snadno, ti, kteří už z domova nepracují, si toto chování přinesli s sebou do kanceláří. Podle výzkumu se tak špatné bezpečnostní chování do firem dostává skoro jako nějaký parazit, přes člověka, z vnějšku.
Problematická je tato zpráva především v kontextu plánů, kterými se mnohé organizace připravují na nástup postpandemické formy hybridní práce. Ukazuje se, že chování koncových uživatelů je v těchto plánech významnou proměnnou a je třeba s ní počítat a takzvanou bezpečností hygienu zaměstnanců před nástupem hybridu výrazně zlepšit.
Problémem ale je, že investice do bezpečnosti v mnoha případech s takovou položkou nepočítají a také nejde o jednorázové řešení. Vzdělávat a školit zaměstnance v tom, jak se mají chovat při práci na dálku, je třeba pravidelně.
Vedoucí firem jsou každopádně ohledně návratu do kanceláří optimističtí a 70 % z nich věří, že zaměstnanci budou dodržovat vyšší firemní bezpečnostní zásady. Totéž si ale podle toho samého průzkumu myslí jen 57 % zaměstnanců.
Na 39 % respondentů uvedlo, že pochybné chování, které praktikují při práci z domova, se liší od chování v kanceláři. Polovina z nich přiznala, že je to proto, že mají pocit, že jsou sledováni IT oddělením, a tak si dávají na chyby pozor.
Kterých chyb v bezpečnosti se zaměstnanci pracující na dálku nejčastěji dopouštějí?
Používání nechráněných zařízení: 54 % vedoucích IT pracovníků se obává, že zaměstnanci přinesou na pracoviště infikovaná zařízení a s nimi malware. A jejich obavy jsou oprávněné. Více než 40 % zaměstnanců tvrdí, že při práci z domova pracují z jakýchkoliv zařízení, která mají po ruce.
Připojování z neznámých sítí: Pracovat na home officu neznamená pracovat vždy z domova a na 69 % dotázaných zaměstnanců přiznalo, že se k firemní síti na dálku připojovali z nechráněných, často veřejných sítí bez hesla a jakéhokoliv ověření. Přibližně polovina se k takovým sítím připojovala opakovaně i skrz zařízení bez jakékoliv ochrany.
Ignorování aktualizací aplikací i firmwaru: Téměř všichni dotázaní zaměstnanci přiznali, že odkládali aktualizace operačního systému klidně i několik týdnů, a v případě pracovních aplikací byla situace podobná. Nejtragičtějším výsledkem ale byly aktualizace firmwaru síťových prvků, třeba routeru. Na 85 % dotázaných uvedlo, že pokud aktualizace nejsou zcela automatické (po oznámení nové verze vyžadují například manuální stažení), pak takové aktualizace ignorují.
Neschopnost či strach nahlásit pochybení: Více než tři čtvrtiny zaměstnanců přiznávají, že se při práci z domova dopustili vědomých bezpečnostních chyb. Stáhli si pirátský software, opakovaně navštěvovali nebezpečné weby, reagovali na pochybnou reklamu, kliknuli na link v nevěrohodném e-mailu a podobně. Asi čtvrtina z nich pak pocítila následky v podobě malwaru, ale problém nikdy neohlásili. Na 27 % respondentů tvrdí, že se obávali disciplinárního řízení nebo dalšího nutného bezpečnostního školení. Navíc jen polovina zaměstnanců tvrdí, že nahlásí IT oddělení, když obdrží phishingový e-mail nebo na něj kliknou. Situaci raději řeší sami, nebo dají zařízení do opravy.
Je obtížné předpokládat, že se chování zaměstnanců výrazně zlepší. Před IT odděleními firem stojí nelehký úkol najít rovnováhu mezi dozorem a kontrolou sítí a zaměstnanců, tedy bezpečností na jedné straně a svobodou práce na straně druhé. Najít ji naštěstí mohou s pomocí odborníků.