Dok smo se prije više od godinu dana počeli navikavati da ne dolazimo u redakciju kako bismo objavili svoj novinarski zadatak većina nas je radila od kuće u nesigurnom digitalnom okruženju koje je za medijske kuće predstavljao novi sigurnosni rizik. Oni rijetki sa ekspertizom i dubljim džepom su implementirali kratkoročne strategije vezane za povezivanje na korporativnu mrežu putem VPN-a, pojačali sigurnosne procedure vezane za lozinke, a ponekad i uspješno uvodili dvostruku autentifikaciju (2FA). U svakom slučaju svaki medij je pronašao neko privremeno rješenje za redakcijske sastanke i redovno obavljanje svih aktivnosti na daljinu. U tom trenutku potrebe sigurnost nije bila prva stvar na pameti već je lakoća korištenja preuzela primat.
Sada kada se u državama Zapadnog Balkana građani/ke sve više vakcinišu i u nekim slučajevima broj oboljelih je stabilan svi se sve više vraćaju u redakcije. Međutim, činjenica novinarskog posla je da se većina posla obavlja van redakcije te da je danas kao nikad prije važno što prije objaviti vijest kako na mrežnom mjestu (web stranici) tako i na kanalima društvenog komuniciranja. Sve ove činjenice ukazuju da mediji trebaju proširiti svoje standardne strategije digitalne sigurnosti uzimajući u obzir rad na daljinu kako bi izbjegli potencijalne probleme sa krađom podataka čiji se troškovi mogu mjeriti u milionima američkih dolara.
U nastavku slijedi nekoliko preporuka na koje tim koji razvija novu strategiju digitalne sigurnosti na daljinu treba obratiti pažnju.
Korištenje VPN-a nije dovoljno za rad na daljinu
Mnoga preduzeća su prošle godine implementirala neko VPN rješenje pri naglašenom prelasku rada na daljinu. Međutim kako kaže Chris Hass „VPN nije lijek protiv svih bolesti“. Pri radu na daljinu IT odjelu je teško efikasno kontrolisati svaku pristupnu tačku. U slučajevima kada se novinari/ke nalaze širom svijeta to postaje još teže. Iako VPN otežava upad neželjenik aktera u vašu mrežu ovakve distribuirane pristupne tačke postaju najlakša meta napadača. U nekim slučajevima se to desi nenamjernom greškom jednog od zaposlenika/ca. Zbog toga je u razvoju buduće strategije važno odgovoriti na pitanje koje mehanizme vaš medij ima kako bi spriječio da se novinar/ka koji rade na terenu poveže na nesigurnu mrežu (npr. javna WI-FI pristupna tačka), zaboravi da uključi VPN i pri tome klikne na zlonamjernu poveznicu? Šta ako član/ica vaše redakcije slučajno ostavi laptop u kafiću ili nekom drugom mjestu?
Izazovi i prilike koji prethode
U standardnom poslovnom okruženju pa čak i kada se radi o multinacionalnim korporacijama pristup cjelovitom poslovnom okruženju je bio omogućen samo unutar radnih prostorija ili kada su povezani na korporativni VPN. Međutim, u kada se tim nalazi na različitim lokacijama svi se neće uvijek povezati na VPN svaki dan, pogotovo ukoliko radimo sa rješenjima u oblaku poput Google Workspace, Microsoft Office 365 i Slacka. Ukoliko zaposlenici/e mogu završiti posao sa ovim servisima onda će se IT tim susresti sa neupravljanim krajnjim tačkama. To je upravo razlog zašto vam treba ova strategija. Ona će vam pomoći da donesete odluku kako upravljati svim ovim tačkama gdje god da se nalaze. Neka od rješenja su: upravljanje zakrpama u oblaku, upravljanje mobilnim uređajima (MDM), detektovanje krajnjih tačaka i upada i odgovore na njih (EDR/IDR), antivirusni softver, enkripcija krajnjih tačaka i sigurno usmjeravanje email poruka.
Kako uspješno implementirati ovu strategiju
U centru svake uspješne strategije pa tako i ove su ljudi. Zato je važno da se u implementaciji ove strategije uvaže korisničke navike svakog odjela koji čine jedan medij. Ukoliko se radi o manjem mediju gdje radi manje ljudi važno je uvažiti zahtjeve i korisničke navike svakog pojedinog člana/ice redakcije. Dodatno ćete morati svaku promjenu gledati kroz prizmu utjecaja na poslovne aktivnosti i klijente.
Pored ljudi najvažnije je ograničiti potencijalno loš utjecaj na poslovanje. Sve ovo će vas dovesti do menadžmenta koji treba prihvatiti ove promjene. Ukoliko uprava prihvati promjene bit će mnogo lakše prodati ovu strategiju ostatku tima.
Ljudi su istovremeno najvažniji dio strategije, ali su često i najslabiji lanac u kontekstu digitalne sigurnosti. Zbog toga je važno da strategija sadrži i smislen plan investiranja u obrazovanje osoblja. Kroz obrazovanje će tim bolje razumjeti zajedničke ranjivosti i prijetnje (npr. slabe lozinke), a sve to na kraju će dovesti do uspješnog implementiranja strategije.
Na kraju ono što je u svijetu u kojem se svakodnevno pojavljuju nove prijetnje važno je da ne mislite da će ova ili bilo koja druga strategija spriječiti upad u vaš sistem. Najbolje je da planirate da će se upad jednom i desiti i zbog toga implementirate model nultog povjerenja.
Šta su naredni koraci
Tokom prošle godine porastao je trend napada na kućne mreže. Kako se rad na daljinu nastavlja i ove godine trebamo očekivati da će se ovakvi napadi nastaviti. Nikada ne znate kada će neko zaboraviti upaliti VPN i povezati se na nesigurnu mrežu ili će neki ljuti zaposlenik/ca odlučiti da napravi sabotažu iznutra. Sve ovo se može riješiti sa modelom nultog povjerenja, nivo najmanjeg pristupa i sigurnosne alata u oblaku.
Čim donesete i implementirate ovu strategiju bit će vam lakše nositi se sa svakodnevnim izazovima i uspostavit ćete kontrolu nad informacionom okolinom. Ova strategija će omogućiti svima da investiraju vrijeme u širu sliku i poslovne ciljeve.
