Hybridarbete – medarbetarens möjlighet men företagets hot
Hemarbetet kommer ju att fortsätta nästa år. Säkerheten kring hur vi hanterar data blir därmed än mer aktuellt. Det säger Anders Stinger, Nordenchef för dataskyddsbolaget Commvault.
Det mesta pekar på att 2021 blir ett nytt rekordår för ransomware. Check Point anger i sin säkerhetsrapport att 93 procent fler utpressningsattacker genomfördes under första halvåret jämfört med 2020. Ett annat säkerhetsföretag, SonicWall, har hittills under 2021 registrerat totalt över 500 miljoner försök till attacker under 2021, en ökning med 134 procent från förra året.
Pandemin har kanske inte förändrat hotbilden i någon större utsträckning, däremot har den bidragit till att göra användarna mer sårbara för cyberattacker. Vi har hållit oss borta från kontoret. Hemarbete och hybridarbete har uppmuntrats och på många håll även blivit obligatoriskt. Det innebär ofta en förflyttning från en relativt sett väl skyddad miljö till en omgivning där hoten är mer påtagliga och där användarna ges större ”frihet under ansvar” för att upprätthålla säkerheten.
I en prognos för 2024 uppskattar analysföretaget IDC att 60 procent av allt arbete kommer att ske på distans. Det betyder också att 60 procent av allt data skapas utanför arbetsplatsens brandvägg. Det ligger då nära till hands att ansvaret för att skydda detta samtidigt “outsourcas” till leverantörerna av SaaS- och molntjänster. En organisation som lagt sitt data i molnet och använder SaaS-applikationer ser det självklart som praktiska lösningar – rentav så praktiska att man inte längre är lika noga med sin backup som med intern IT-drift.
Hybridarbete ställer nya krav
Många arbetsplatser förbereder nu för en permanent omställning till hybridarbete. För IT-ansvariga betyder det en växande uppgift med att stödja distansarbete, anpassa säkerhetsrutinerna till de nya förutsättningarna, och inte minst med att se till att medarbetarna håller sig till reglerna. En återgång till utgångsläget före pandemin finns knappast på kartan.
Att SaaS-lösningar finns är i grunden något positivt, eftersom de underlättar distansarbete, vilket blivit räddningen för många organisationer under pandemin. Utan dem hade världsekonomin absolut befunnit sig i ett sämre läge idag. Men de kan också skapa en falsk trygghet. SaaS-lösningar ger inte samma säkerhet för hybridarbete som när medarbetarna sitter på kontoret och jobbar innanför dess brandvägg.
Trots att SaaS-tjänster generellt håller hög säkerhet har hackarna lyckats utnyttja att användarnivån ofta är den svagaste länken i kedjan. Exempelvis har medarbetare på egen hand ändrat inställningar i brandväggar och accesspunkter för att komma åt molnapplikationer – allt ifrån Office 365 till affärssystem och mer specialiserade verksamhetssystem.
Men även om detta går på tvärs både mot organisationens regler och ett sunt säkerhetsmedvetande så är det fel att lägga hela skulden på användarna – särskilt om agerandet setts som nödvändigt för att alls kunna sköta jobbet hemifrån. Hybridarbete kräver ett IT-stöd som förenar användarvänlighet med effektivitet och hög säkerhet, och det är ytterst ledningens ansvar.
Jag vill därför lyfta några viktiga punkter för hybridarbetande organisationer:
Hybridarbete skapar nya förutsättningar både för arbetslivet i stort och när det gäller IT-säkerhet. Det krävs en genomtänkt struktur och goda rutiner för att inte lämna bakdörrar till verksamhetssystemen öppna för hackare, spioner eller utpressare.
SaaS-leverantörer tar inte fullt ansvar för att skydda data som skapas med och hanteras av deras tjänster. De garantier som finns kring SaaS-tjänster gäller typiskt bara för tillgänglighet, exempelvis en avtalad servicenivå (SLA) som anger en upptid på minst 99,95 procent. När det gäller att skydda och återställa data är det fortfarande ägaren/kunden som ytterst har ansvaret.
Slutsatsen blir, att även med en IT-strategi där data lagras i molnet och leveransen sker genom SaaS-tjänster, så behöver man som kund fortfarande skydda sitt data och ha en katastrofplan med välövade rutiner för återställning efter ett haveri eller en cyberattack.
Data som lagras på SaaS-plattformar bör omfattas av samma krav på säkerhetskopiering och återställning som gäller för en IT-miljö med egen drift. Organisationens egen policy och egna backuprutiner ska gälla oavsett om data lagras internt, i molnet eller hos en driftpartner.
Det finns en risk för att användningen av SaaS-lösningar leder till en slappare inställning när det gäller IT-beredskap och katastrofsäkring, trots att det i verkligheten aldrig har varit viktigare. Ett särskilt skäl att ha goda katastrofrutiner på plats som testas och uppdateras regelbundet är att dagens IT-miljöer blir alltmer komplexa, som följd av att en mix av SaaS-tjänster och flera molnplattformar används, samtidigt som andelen distansarbete ökar.
Oavsett var ditt data finns så går det inte att lämna över ansvaret på någon annan. Ditt data – ditt ansvar!
Anders Stinger, Nordenchef Commvault
