"Setkáváme v pravidelných virtuálních konferencích přes Skype nebo jiných platformách, případně prostřednictvím e-mailu, a pro plnění úkolů platí standardní deadliny. Každý vedoucí má představu o tom, jestli jeho podřízený je doma, plní ty úkoly, nebo jestli je na příjmu," popisuje pracovní nasazení ve společnosti Škoda Auto tiskový mluvčí Martin Ježek.
Někteří zaměstnavatelé hodnotí aktivitu svých pracovníků i jinak než na základě odvedeného výkonu. Například Česká spořitelna sleduje vytížení aplikací, jako je e-mail, kalendář či úložiště dat Google drive.
"Pochopitelně nemonitorujeme obsah komunikace, nicméně vzhledem k snadnému monitoringu poměrně velkého množství interních Google aplikací jsme schopni s vysokou mírou přesnosti odhadnout míru pracovního zapojení lidí na home officu," říká tiskový mluvčí České spořitelny Filip Hrubý.
Pomocí těchto nástrojů tak firma například zjistila, že lidé během pandemie častěji pracují přesčasy. "Z analýzy pracovního zapojení v první pandemické vlně vyplynulo, ze ve srovnání s předpandemickým obdobím mají lidé na home officu tendenci k přesčasům, respektive k tomu, že si práci více rozloží v průběhu celého dne," uvádí Hrubý.
Sledování odpracovaného času může probíhat i prostřednictvím on-line schůzek, ve kterých lidé nechávají spuštěné na pozadí po celou pracovní dobu, nebo speciálních nástrojů nainstalovaných na firemním či domácím počítači.
"Tyto nástroje sledují aktivitu uživatele. Zdali píše něco na klávesnici či pohybuje myší, jaké aplikace má spuštěné, která aplikace je právě aktivní, jaké webové stránky si prohlíží, jak dlouho je neaktivní, s jakými soubory pracuje a v pravidelných intervalech (např. každých pět minut) udělají fotku plochy či fotku z webkamery. Posbírané informace ukládají a vytváří z nich report pro zaměstnavatele," vysvětluje spoluzakladatel bezpečnostní firmy PATRON-IT Martin Haller na dotaz on-line deníku Aktuálně.cz
Mimo kancelářské prostředí se lidé také více spoléhají na psanou komunikaci, i obyčejný e-mail však může napáchat velké škody. Analýza od Eset upozornila na to, že lidé na home officu jsou náchylnější vůči takzvaným phishingovým útokům - počet těchto detekcí oproti předchozímu roku narostl o přibližně 100 procent.
"Není již tak rychlé si ověřit pravost e-mailu. Například otočit se přes rameno a houknout na kolegyni vedle, jestli ví o tom, že by IT říkalo něco o změně hesla. Zde hrozí únik přihlašovacích údajů nebo zavirování počítače," říká kyberbezpečnostní expert Haller. "Když vám dorazí podezřelý či nečekaný e-mail od někoho, koho znáte, ověřte si jeho obsah telefonicky," dodává.
Pozor i na VPN
Klíčové je při práci z domova zajistit připojení k firemním sítím, respektive k datům. Necelá polovina firem k tomuto účelu využívá odborníky doporučené připojení přes VPN (Virtual Private Network), vyplývá z průzkumu firmy Eset. "Tak jako před pandemií i nyní se naši lidé na home officu mohou do interních Google aplikací připojit pouze přes VPN, která poskytuje maximální ochranu před kyber riziky," potvrzuje i Filip Hrubý z České spořitelny.
Ačkoliv VPN primárně slouží jako kanál k bezpečnému připojení do pracovního prostředí, podle bezpečnostního experta může firma i tímto způsobem potenciálně sledovat aktivity svých lidí. "Pokud jste připojení do běžně nastavené VPN, zaměstnavatel má možnost se dozvědět, k jakým webům se připojujete," potvrzuje Haller. "Avšak reálně je velice těžké z toho vyvodit více informací, například kolik času jste na daném webu strávili či proč jste na něj šli. Je to spíše takový orientační ukazatel," tvrdí.
Jenže samotná VPN bezpečnost nezajistí. Čtvrtina zaměstnanců má totiž podle průzkumu veškerá data uložená ve svém počítači, další čtvrtina využívá různá cloudová úložiště. Necelá desetina firem má interní systémy otevřené do internetu, což experti označují za riskantní. Tyto odkryté systémy jsou totiž vůči kybernetickým útokům zranitelnější.
Týká se to zejména firem, které se k interním zdrojům připojují pomocí potenciálně rizikové služby vzdálené plochy. "Pokud není správně zabezpečena, je pro útočníky velmi snadné toho zneužít pro přístup do interní sítě a získání důvěrných dat," tvrdí vedoucí pražského výzkumného oddělení společnosti Eset Robert Šuman.
Vhodným nástrojem pro ochranu dat je podle Hallera z PATRON-IT dvoufázové ověření pro vzdálený přístup do firmy a cloudovým službám. Po zadání hesla přijde upozornění na telefon s dotazem, ve kterém uživatel potvrdí svou identitu. "Je to technologie se skvělým poměrem cena/přínos - rychle se nasazuje, je jednoduchá na používání, vyžaduje minimální údržbu a chrání před pohromami způsobenými slabými hesly a únikem přihlašovacích údajů," tvrdí bezpečnostní expert.
Ani firemní technika není všemocná
K tomu, aby firmy předešly kybernetickým útokům zvenčí, poskytují svým lidem obvykle potřebnou techniku. "Lidé pracují převážně na firemních noteboocích, případně na vlastních zařízeních, na kterých ale běžně pracují i v kancelářích. Všechna naše zařízení jsou chráněná hesly a antivirovými programy," tvrdí například tisková mluvčí českého internetového vyhledávače Seznam Aneta Kapuciánová. Pro zaměstnance Škoda Auto je využití firemního počítače při práci na dálku dokonce povinné.
Domácí počítače totiž oproti těm firemním zpravidla nepoužívají tak kvalitní zabezpečení. "Současně se na nich střídá více členů rodiny, kde každý z nich má jinou míru znalostí a rizikového chování. Hrozí, že právě z domácích počítačů utečou přihlašovací údaje ke vzdálenému připojení do firmy a budou zneužity zločinci k nasazení ransomware do firmy," vysvětluje kyberbezpečnostní expert Haller.
Technické vybavení v kombinaci s kvalitními antiviry ale také nejsou všemocné a podle Šumana z Eset je stále na zaměstnancích, aby se k zapůjčeným počítačům chovali zodpovědně. Zařízení by se nemělo používat k jiným než pracovním účelům, například půjčovat dalším členům v domácnosti nebo do nich instalovat jakékoliv aplikace či hry z neznámých zdrojů. "V nejhorším případě vytvořte dalším členům domácnosti vlastní Windows účty," říká Šuman.
Řada společností kyberbezpečnost podceňuje. Počet těch, kterým takové vybavení zaměstnavatel neposkytl vůbec nebo jen částečně, oproti jaru vzrostl o 18 procent, uvádí zpráva od Eset. Podle společnosti Alliant Cybersecurity navíc 22 procent firem přešlo na práci z domova, aniž by byly připravené na možná bezpečnostní rizika spojená právě s prací na dálku.
Experti tak apelují na zaměstnavatele, aby své pracovníky před přesunem domů školili, jak běžným rizikům předcházet. "Dvě třetiny respondentů deklarují, že u nich žádné vzdělávání se zaměřením na kybernetickou bezpečnost neprobíhalo a neprobíhá. A právě znalost uživatele může být velmi dobrou ochranou. Když uvážíme, že čtvrtina zaměstnanců má veškerá data uložená ve svém počítači, jde jednoznačně o risk," uzavírá Šuman z Eset.