Hjemmearbejdspladser er en risiko for informationssikkerheden
Udgivet: 4. juni 2021Corona-krisen har fået hjemmearbejdet til at eksplodere, og de gode erfaringer får danske virksomheder til at etablere permanente hjemmearbejdspladser til medarbejderne. Men hjemmearbejdet udgør en ny risiko for informationssikkerheden – herunder it-sikkerheden, cybersikkerheden og awareness samt fysisk sikring.
Øget produktivitet til virksomhederne og fleksibilitet til medarbejderne. Corona-krisen har været en øjenåbner for både arbejdsgivere og medarbejdere i forhold til hjemmearbejde, og meget tyder da også på, at hjemmearbejdet vil fortsætte på et højt niveau, når krisen er forbi.
Med formaliseringen af hjemmearbejdet følger etableringen af egentlige hjemmearbejdspladser, der opfylder kravene i arbejdsmiljøloven. Men det er ikke kun ergonomien, der skal være i orden i medarbejdernes hjem. Det skal informationssikkerheden også.
- Den informationssikkerhed, der er i virksomheden, skal også være derhjemme. Hvis en virksomhed har to afdelinger i domicilet, har den i princippet 102 afdelinger, hvis 100 medarbejdere arbejder hjemmefra, forklarer Jesper Florin, der er leder af sikringsafdelingen hos DBI.
»Den informationssikkerhed, der er i virksomheden, skal også være derhjemme. «Jesper Florin, leder af sikringsafdelingen hos DBI
Ifølge ham opstår udfordringerne, fordi arbejde og privatliv blandes sammen. Både den tekniske og menneskelige faktor er sværere at kontrollere hjemme end på arbejdspladsen. Det er en risiko, som skal tænkes ind i både it-sikkerhedspolitikken og it-beredskabsplanen, selvom det kan være svært at etablere en sikker hjemmearbejdsplads efter it-sikkerhedspolitikkens forskrifter og at håndhæve en it-sikkerhedspolitik i private hjem. Første skridt er at se på it-sikkerheden.
- Hvis ikke medarbejderne har bærbare computere, som kan tages med hjem, skal de have dedikerede arbejdscomputere hjemme. Og de skal sikres og administreres som virksomhedens øvrige computere mht. sikkerhedssoftware, kryptering af harddisk, password-adgang og løbende udskiftning af password. I dag har mange it-afdelinger desuden fjernet muligheden for at downloade software og besøge bestemte hjemmesider, og det giver ekstra god mening på hjemmearbejdspladser, hvor man ikke kan styre, om andre i hjemmet får lov at bruge arbejdscomputerne – selvom it-sikkerhedspolitikken ikke tillader det, siger Jesper Florin og tilføjer:
- Som virksomhed bør man også være opmærksom på, at medarbejdernes awareness over for f.eks. phishing-angreb kan være lavere hjemme, fordi de sænker paraderne i den hjemlige sfære.
VPN er ikke nok
Netværket hjemme er typisk en udfordring for it-sikkerheden. Som regel er det medarbejderens eget krypterede wifi-netværk, der benyttes ved hjemmearbejde – måske endda uden at have udskiftet det password, som sidder på labelen under routeren! For at øge sikkerheden bliver nogle medarbejdere udstyret med en VPN-forbindelse, når virksomhedens systemer tilgås.
»Medarbejdernes awareness over for f.eks. phishing-angreb kan være lavere hjemme, fordi de sænker paraderne i den hjemlige sfære. «Jesper Florin, leder af sikringsafdelingen hos DBI
- Men den er ingen garanti for sikkerheden. Hvis man stadig deler wifi-netværk med resten af familien, når man er logget af VPN-forbindelsen, kan arbejdscomputeren blive kompromitteret via en sikkerhedsbrist i en af de andre enheder på wifi-netværket, siger Jesper Florin, der anbefaler, at wifi-netværket deles op, så arbejde og familieliv har hvert sit krypterede netværk med separat adgangskode – ligesom der også findes arbejds- og gæsteadgang i virksomheder.
Hjemme er udfordringen dog ikke kun, hvem der potentielt kan kigge med udefra. Det er også, hvem der kan lytte med indefra.
- Vi får flere og flere IoT-enheder i vores hjem med virtuelle assistenter, som man kan tale til. Sådan en enhed ville jeg ikke have stående i et rum, hvor jeg har forretningskritiske samtaler, siger Jesper Florin. Et andet aspekt af informationssikkerhed er den fysiske sikkerhed i medarbejdernes hjem.
- De fleste virksomheder har godt styr på, hvem der kommer og går, ligesom de har alarmsystemer tilkoblet, når medarbejderne ikke er på arbejde. Men de kan ikke stille de samme krav til medarbejdernes private hjem. Alene hjemmearbejdspladsens hardware kan jo øge risikoen for indbrud. En god start kunne være et tilbyde medarbejderne et sikkerhedstjek i stil med det, som nogle forsikringsselskaber tilbyder, så de ved, hvor sikringen af hjemmet halter, siger Jesper Florin og nævner også, at der ultimativt kan være medarbejdere, som aldrig bør få lov til at arbejde hjemmefra, fordi det er for stor en risiko.
Hvis skaden sker
Hjemmearbejdspladser kan også være en udfordring, hvis skaden sker, og centrale dele af en virksomheds it-systemer bliver lagt ned. Når medarbejderne er samlet på arbejdspladsen, kan man om nødvendigt bevæge sig rundt og kommunikere direkte med medarbejderne. Men hvad gør man, når de samme medarbejdere sidder spredt rundt på hjemmearbejdspladser og er ‘blinde’, fordi virksomhedens netværk ikke kan tilgås?
- Det er vigtigt på forhånd at etablere en alternativ kommunikationskanal. F.eks. kan DBI’s Digitalt Beredskab anvendes som kommunikationsplatform under et it-angreb, så man kan kommunikere med medarbejderne via sms og anvise, hvad de skal gøre – eller ikke må gøre, forklarer Jesper Florin, leder af sikringsafdelingen hos DBI.
Zero trust hos Energinet
Sådan er det f.eks. hos Energinet. Selvom den selvstændige offentlige virksomhed under Klima-, Energi- og Forsyningsministeriet er ved at etablere permanente hjemmearbejdspladser til alle 1.200 medarbejdere, er der funktioner, der er så forretningskritiske, at de ikke må varetages hjemmefra, men kræver fysisk fremmøde på en lokation.
- Det gælder vores driftskritiske personale, for vi kan ikke bede folk om at sætte en kodelås på deres dør hjemme, siger Kewin Peltonen, der som Energinets it-sikkerhedschef forklarer tilgangen til de øvrige medarbejderes hjemmearbejdspladser:
»Det er ‘zero trust’. Vi styrer downloads, blokerer adgang til skadelige hjemmesider og har nogle ekstra filtre, når medarbejderne tilgår vores netværk. «Kewin Peltonen, Energinets it-sikkerhedschef
- Det er ‘zero trust’. Vi styrer downloads, blokerer adgang til skadelige hjemmesider og har nogle ekstra filtre, når medarbejderne tilgår vores netværk. Det handler om brugerdialog og om at kende sine brugere.
Energinet holder med andre ord it-sikkerheden ‘tæt til kroppen’, fordi man ikke kan være sikker på, hvilke omstændigheder medarbejderne arbejder under derhjemme. På den måde kræver hjemmearbejdspladserne heller ikke et nyt afsnit i it-sikkerhedspolitikken, for den er en videreføring af forholdsreglerne ved rejsende medarbejdere – herunder opkobling til tvivlsomme netværk – ligesom medarbejderne også skal være opmærksomme på, hvem der kan lytte med derhjemme i stedet for i lufthavnen eller i toget.
Som led i etableringen af hjemmearbejdspladserne har alle medarbejderne fået nye bærbare pc’er med opdateret sikkerhedssoftware, og de kan låses og slettes remote i tilfælde af tyveri. Således er standardisering og styring med til at øge it-sikkerheden på hjemmearbejdspladserne. I den forbindelse har Kewin Peltonen endnu et godt råd:
- Vi har valgt kun at have én samarbejdsplatform til online-møder, fordi vi så kun skal forholde os til én leverandør – inkl. hvad der måtte blive gemt i skyen. Og vi opfordrer medarbejderne til at få eksterne samarbejdspartnere til at holde mødet på vores platform – Microsoft Teams – og ellers skal medarbejderne holde mødet via en browserbaseret løsning, siger Kevin Peltonen.
Hjemmearbejde er kommet for at blive
Hjemmearbejdet i Danmark blev fordoblet i 2020. Det viser Arbejdskraftundersøgelsen 2020 fra Danmarks Statistik. Hvor det i 2018 og 2019 var 8%, som arbejdede hjemme regelmæssigt, steg det til 17% i 2020. Og der var stigning i alle brancher.
Årsagen behøver næppe nogen nærmere forklaring, men hvor pandemien forhåbentlig snart er en saga blot, er hjemmearbejde kommet for at blive. Det viser f.eks. en undersøgelse fra Microsoft, hvor 90% af de adspurgte danske chefer svarede, at de forventer, at mere end en tredjedel af medarbejderne i et eller andet omfang vil arbejde hjemmefra efter pandemien. Det er i tråd med en undersøgelse fra Deloitte og Kraka, hvor halvdelen af de adspurgte lønmodtagere svarede, at de både ønsker og forventer mere hjemmearbejde efter Covid-19-krisen.