CHALLENGING DATA SECURITY DURING COVID-19

Ukrainian — below (Українською — нижче)

We all have a challenging time now during the COVID-19 pandemic. Business is desperately trying to adapt. One possible remedy to maintain efficiency is a remote work of employees and contractors. However, such a remote mode creates new challenges for organization and data security. Indeed, in modern world data leakage or cybersecurity incident may cause more harm to the operations and goodwill of the company with all the fines, lawsuits and reputational losses than damage from the pandemic.

Moreover, it is always good to assure your clients that you have taken all the necessary measures regarding the remote work mode and their data is adequately protected. Therefore, we have prepared a short overview of possible risks and recommendations regarding cybersecurity during COVID-19.

What are the most common causes of cybersecurity risks during remote work?

• unsecured WI-FI networks using — one of the most popular targets for malicious persons to interfere with traffic

E.g., theft of confidential information, because the email was sent via public WI-FI

• phishing and scamming — a huge issue, amplified with lack of communication and human factor

E.g., remote worker’s device with client’s information on it is infected with the loss-of-control malware via a click on the link from almost-from-CEO email

• own devices using — a major threat is an endpoint security, because your corporate Cloud or SaaS-solution security is very vulnerable from personal computer malware

E.g., remote worker’s personal computers are hard to monitor in order to identify threats both technically and legally, which creates a vast range of risks, such as absence/inefficiency of antivirus and acting malware

• ignoring corporate rules — even having an established VPN, multiple-factor authentication, DLP software and detailed instructions, there is a risk of the incident in case of pour communication or just bad user experience of such instruments

E.g., remote worker downloads data to his/her own device, infected with malware, due to complex UX of SaaS-solution

What can be done?

Regardless of the level of preparation and policies adopted, we recommend to double check whether the mentioned below recommendations are in place. We try to focus on the most basic and efficient steps.

• apply Zero Trust Principle — nothing can be trusted in terms of security, every action shall be double-checked
• communicate properly — “in this time of hardship” lack of proper and efficient communication is critical. This applies to notifications about company operation and possible risks, task assignments, instructions regarding security, etc. Everyone is responsible for cybersecurity in the company
• if remote workers/contractors are using their own devices, introduce a remote workplace for such devices and make sure remote workers/contractors:

1. use strong passwords
2. use two-factor authentication
3. use provided VPN
4. update software on time

• make regular hardware and cloud backups of the data both within main system and endpoints — no one is protected from incidents and no one can guarantee 100% security, which means that regular backups are the only guarantee of swift work recovery with mitigated losses after the possible incident
• diversify data access and limit operations with data — not every worker/contractor needs access to all information within your corporate Cloud or SaaS-solution, hence, it is recommended to limit such access for different categories of users; another good idea would be limiting copying, downloading and exporting data, where applicable and necessary — this would restrain “more convenient, but less secure” operations with data
• introduce monitoring of corporate Cloud or SaaS-solution using as well as access to the corporate software and services and establish red flags, which would help to indicate suspicious activity
• prepare a company-tailored incident response plan in advance — determine crucial resources, analyze possible risks, clearly define roles and responsibilities, appoint a responsible team

The mentioned above to-do’s, as well as other cybersecurity measures shall be the leitmotif of your company day-to-day work. Contractual clauses, respective policies, non-disclosure agreements from one side and technical implementation of such from the other side, amplified with properly communicated instructions and trainings shall create a safe environment within the company.

We will be happy to provide you the details, discuss your case and create you a tailor-made legal framework and implement it with our tech-partners. In case of any questions — please contact us via office@firstchair.legal.

Stay tuned!

У складний час пандемії бізнес відчайдушно намагається адаптуватися до нових викликів. Одним із способів збереження ефективної діяльності є віддалена робота працівників та провайдерів. Однак, такий режим створює нові виклики для організації та безпеки даних. Сьогодні витік даних чи вразливість системи кібербезпеки можуть завдати більше шкоди доброму імені компанії зі штрафами, судовими позовами та репутаційними втратами, ніж збитки від пандемії.

Крім того, завжди варто запевнити своїх клієнтів, що Ви вживаєте всіх необхідних заходів щодо правильної організації віддаленого режиму роботи, і їхні дані є під надійним захистом. Тому ми підготували короткий огляд можливих ризиків та рекомендацій щодо кібербезпеки під час COVID-19.

Які найпоширеніші причини ризиків кібербезпеки при віддаленій роботі?

• використання незахищених мереж WI-FI — одна з найпопулярніших цілей зловмисників.

Наприклад, викрадення конфіденційної інформації через те, що електронний лист з такою інформацією був надісланий через публічний WI-FI

• фішинг та Інтернет-шахрайство — величезна проблема, що посилюється відсутністю спілкування наживо

Наприклад, зараження пристрою працівника з інформацією клієнта шкідливим програмним забезпеченням через перехід за посиланням з електронного листа від нібито свого керівника

• використання власних пристроїв — основна загроза: безпека корпоративного хмарного сховища чи SaaS-рішення дуже вразлива перед шкідливим програмним забезпеченням з особистого комп’ютера

Наприклад, відсутність/неефективність антивірусу та шкідливе програмне забезпечення на персональному комп’ютері віддаленого працівника створює широкий спектр ризиків для даних компанії

• ігнорування корпоративних правил — навіть використовуючи VPN, багатофакторну автентифікацію, програмне забезпечення DLP та детальні інструкції є ризики інцидент в сфері кібербезпеки у випадку неефективних інструкцій або банально складного користувацього досвіду при використанні цих інструментів

Наприклад, віддалений працівник завантажує дані на свій власний пристрій, заражений шкідливим програмним забезпеченням, через те, що корпоративним SaaS-рішенням користуватися складно.

Що можна зробити?

Незалежно від рівня підготовки та впроваджених політик, ми рекомендуємо ще раз перевірити чи дотримані у Вас згадані нижче рекомендації. Ми зосередимось на найбільш основних та ефективних кроках.

• застосовувати Принцип Нульової Довіри — нічому не можна довіряти в питаннях кібербезпеки, кожна дія повинна бути перевірена повторно
• комунікувати правильно — в цей час відсутність ефективного спілкування може бути критичним. Це стосується повідомлень про роботу компанії та можливих ризиків, розподілу завдань, інструктурування щодо безпеки тощо. Кібезбезпека залежить від кожного працівника в компанії
• якщо віддалені працівники/провайдери використовують власні пристрої, створіть віддалене робоче місце для таких пристроїв і переконайтесь, що віддалені працівники/провайдери:

1. використовують надійні паролі
2. використовують двофакторну аутентифікацію
3. використовують наданий VPN
4. оновлюють програмне забезпечення вчасно

• робити регулярні резервні копії даних як в основній системі, так і на хмарних сховищах — ніхто не захищений від інцидентів і ніхто не може гарантувати 100% безпеку. Це означає, що регулярні резервні копії є єдиною гарантією швидкого відновлення роботи з розумними втратами.
• диверсифікувати доступ до даних та обмежити операції з даними — не кожен працівник/провайдер потребує доступу до всієї інформації у вашому корпоративному хмарному сховищі чи SaaS-рішенні. Рекомендуємо обмежувати такий доступ для різних категорій користувачів. Також обмеживши можливості копіювання, завантаження та експорту даних, де це можливо і потрібно, Ви зменшите кількість «більш зручних, але менш безпечних» операцій з даними
• моніторити показники користування корпоративним Cloud чи SaaS-рішенням, а також показники доступу до корпоративного програмного забезпечення та сервісів і встановити контрольні точки, які допоможуть виявити підозрілу активність
• заздалегідь розробити план реагування на безпекові інциденти — визначте важливі ресурси, проаналізуйте можливі ризики, призначте команду реагування на інцидент, визначте ролі та обов’язки

Згадані вище заходи та завдання для кібербезпеки повинні бути лейтмотивом щоденної роботи вашої компанії. Лише відповідні договірні положення та політики, угоди про нерозголошення та інші регламенти з одного боку, технічні рішення та їх ефективне впровадження з іншого боку, що закріплені вчасними та ефективними інструкціями та тренінгами, можуть створити надійне середовище безпеки в компанії.

Ми будемо раді відповісти на питання, обговорити Вашу ситуацію, створити tailor-made юридичну структуру щодо кібербезпеки та впровадити її з нашими технічними партнерами у Вашій компанії. У разі виникнення запитань — пишіть нам на office@firstchair.legal.

Слідкуйте за анонсами!