ΕΑΔ: Οδηγός ασφαλούς τηλεργασίας και προστασίας από τεχνικές εξαπάτησης

Πρακτικές Συμβουλές για την ενίσχυση της ασφάλειας κατά την Τηλεργασία

0

Ολόκληρος ο κόσμος βιώνει τις τραγικές συνέπειες της πανδημίας του Covid-19 στη δημόσια υγεία, την οικονομία αλλά και την ψυχολογία των ανθρώπων. Σε αυτές τις κρίσιμες στιγμές, δυστυχώς εμφανίζονται, νέες μορφές απάτης και εγκληματικότητας από διάφορους επιτήδειους, με σαφή πρόθεση την εκμετάλλευση των πιο αδύναμων πολιτών.

Η Εθνική Αρχή Διαφάνειας σε συνεργασία με τη Δίωξη Ηλεκτρονικού Εγκλήματος της ΕΛ.ΑΣ προχώρησε στην έκδοση Οδηγιών Ασφαλούς Τηλεργασίας για εργαζόμενους και Οδηγιών Ασφαλούς Τηλεργασίας για εργοδότες καθώς και σε έναν «Πρακτικό Οδηγό προστασίας από τεχνικές εξαπάτησης στην εποχή του COVID-19» με χρηστικές συμβουλές αναγνώρισης και αποφυγής των επιτήδειων που χρησιμοποιούν τον κορωνοϊό, ως μέσο εξαπάτησης των πολιτών.

Οι οδηγοί αυτοί βρίσκονται στον ιστότοπο της Αρχής καθώς και στα social media.

Ενδεικτικές Οδηγίες Ασφαλούς Τηλεργασίας από την ΕΑΔ για εργαζόμενους:

  • Μην ανοίγετε συνδέσμους ή επισυναπτόμενα αρχεία, όταν λαμβάνετε μηνύματα ηλεκτρονικού ταχυδρομείου [e-mails] από αποστολείς που δεν γνωρίζετε.
  • Μην δίνετε κωδικούς πρόσβασης ή προσωπικές πληροφορίες. Κανένας δημόσιος Οργανισμός (Ε.Ο.Δ.Υ, Υπ. Υγείας, ΟΑΕΔ, Παγκόσμιος Οργανισμός Υγείας) δεν πρόκειται να σας ζητήσει προσωπικούς κωδικούς πρόσβασης.
  • Χρησιμοποιείτε ισχυρούς κωδικούς (password managers ή two-step verification )
  • Χρησιμοποιείτε τις προσωπικές σας συσκευές ή τις συσκευές που σας παρέχει η εταιρεία/ο φορέας σας. Σε κάθε περίπτωση σιγουρευτείτε ότι το λειτουργικό σύστημα και οι εφαρμογές σας είναι ενημερωμένες, ότι έχετε εγκαταστήσει τα κατάλληλα antivirus προγράμματα και ότι η σύνδεσή σας στο διαδίκτυο είναι ασφαλής.
  • Ενδεικτικές Οδηγίες Ασφαλούς Τηλεργασίας από την ΕΑΔ για εργοδότες:
    1. Δημιουργήστε εσωτερικές πολιτικές και διαδικασίες και κάντε δοκιμές (tests) πριν τεθούν σε επιχειρησιακή λειτουργία. Είναι σημαντικό να έχετε ξεκάθαρες πολιτικές για την πρόσβαση σε εσωτερικές δομές / συστήματα καθώς και για το ποιος θα πρέπει να κληθεί σε περίπτωση προβλήματος. Δημιουργήστε ξεκάθαρες διαδικασίες για την αντιμετώπιση ενός περιστατικού ασφαλείας. Να λαμβάνετε επιπλέον μέτρα όταν πρόκειται για διαδικασία έγκρισης και υπογραφής εγγράφων από τη Διοίκηση.
    2. Λαμβάνετε περισσότερα μέτρα ασφαλείας, όπως ενδεικτικά, κρυπτογράφηση σκληρών δίσκων, αποσύνδεση ανενεργών χρηστών, προστασία ιδιωτικότητας οθόνης από τρίτους, ισχυρή αυθεντικοποίηση και έλεγχος των φορητών μέσων αποθήκευσης. Δημιουργήστε διαδικασίες εξ αποστάσεως απενεργοποίησης πρόσβασης σε συσκευές που χάθηκαν ή κλάπηκαν.
    3. Εφόσον τούτο είναι εφικτό, να επιτρέπετε στους εργαζόμενους σας να συνδέονται στο εσωτερικό δίκτυο μόνο μέσω του εταιρικού VPN με έλεγχο πολλαπλών παραγόντων. Βεβαιωθείτε ότι οι συνδέσεις με το εσωτερικό δίκτυο / συστήματα έχουν ρυθμιστεί και λήγουν αυτόματα μετά από μια περίοδο που ο χρήστης είναι ανενεργός, με απαίτηση νέας αυθεντικοποίησης για την εκ νέου σύνδεση.
    4. Διατηρείτε το λειτουργικό σύστημα και τις εφαρμογές των συσκευών ενημερωμένες μειώνοντας τις αδυναμίες των συστημάτων που θα μπορούσαν να εκμεταλλευτούν κακόβουλοι χρήστες.
    5. Ασφαλίζετε τα κανάλια επικοινωνίας εφαρμόζοντας έλεγχο παραγόντων δύο σημείων για την είσοδο στους λογαριασμούς ηλεκτρονικού ταχυδρομείου των εργαζομένων σας.
    6. Εδραιώνετε ασφαλείς επικοινωνίες μεταξύ των υπαλλήλων, αλλά και με εξωτερικούς συνεργάτες ή προμηθευτές.
    7. Ελέγχετε συχνά στο VPN για ασυνήθιστη δραστηριότητα χρηστών.
    8. Επικοινωνείτε τακτικά με το προσωπικό θέτοντας ρεαλιστικούς στόχους και χρονοδιαγράμματα, όπως και μηχανισμούς επιτήρησης αυτών, λαμβάνοντας υπόψη τις ιδιαίτερες καταστάσεις της εποχής.
    9. Ενημερώνετε – εκπαιδεύετε τους εργαζομένους σας για την πολιτική της Τηλεργασίας και τους κινδύνους από επιθέσεις στον κυβερνοχώρο και ειδικότερα για τη μέθοδο αλίευσης δεδομένων και κωδικών πρόσβασης τύπου “phishing”, καθώς και για τη μέθοδο της κοινωνικής μηχανικής (social engineering).
    • Ενδεικτικές μορφές απάτης στα πλαίσια του COVID-19:

      Θεραπεία (treatment scams)

      • Απατεώνες προσφέρουν ψεύτικες θεραπείες, εμβόλια και ιατρικές συμβουλές σχετικά με μη δοκιμασμένες θεραπείες για τον covid-19.

      Προμήθεια (supply scams)

      • Απατεώνες δημιουργούν ψεύτικα ηλεκτρονικά καταστήματα, ιστότοπους, λογαριασμούς μέσων κοινωνικής δικτύωσης και διευθύνσεις ηλεκτρονικού ταχυδρομείου, μέσω των οποίων ισχυρίζονται ότι πωλούν ιατρικά προϊόντα τα οποία βρίσκονται σε μεγάλη ζήτηση όπως π.χ. χειρουργικές μάσκες.

      Εφαρμογές Κινητών /Tablets (App scams)

      • Οι απατεώνες δημιουργούν και ελέγχουν εφαρμογές για κινητά που δήθεν έχουν σχεδιαστεί για την παρακολούθηση της εξάπλωσης του covid-19, προκειμένου να παρασύρουν τους χρήστες να κατεβάσουν κακόβουλο λογισμικό, το οποίο θέτει σε κίνδυνο τόσο τις συσκευές όσο και τα προσωπικά δεδομένα τους.

      Ηλεκτρονικό ψάρεμα (e-phishing scams)

      • Οι απατεώνες εμφανίζονται ως δήθεν εκπρόσωποι εθνικών και παγκόσμιων υγειονομικών Αρχών συμπεριλαμβανομένου του Παγκόσμιου Οργανισμού Υγείας (WHO) αποστέλλοντας μηνύματα ηλεκτρονικού «ψαρέματος» τα οποία αποσκοπούν στο να παρασύρουν τους παραλήπτες στο «κατέβασμα» κακόβουλου λογισμικού, προκειμένου να υποκλέψουν προσωπικά οικονομικά στοιχεία [τραπεζικών λογαριασμών, πιστωτικών καρτών κλπ.].

Σχόλια