Att arbeta hemifrån kan vara fantastiskt.
Men när stora delar av världen snabbt ställt om till hemarbete – dessutom snabbt på grund av COVID-19 – så gäller det att tänka till.
Här går vi igenom vad du måste tänka på för att ditt hemarbete ska vara säkert.
För en större organisation står ofta säkerhetsfrågan högt på agendan. Men inte heller det lilla företaget får tumma på säkerheten. Utifrån ett säkerhetsperspektiv går vi här igenom tre online-lösningar som många använder sig av dagligen – Zoom, Skype och Slack.
Vad är säkerhet?
Att beskriva ett kommunikationsverktyg som ”säkert” innebär i allmänhet att det bland annat skyddar all kommunikation genom kryptering och autentisering. Kryptering är avgörande, men hur krypteringen används gör hela skillnaden.
Den enskilt viktigaste skillnaden mellan kommunikationsplattformarna är om tjänsten erbjuder så kallad ”end-to-end”-kryptering (E2E) snarare än klient-till-server-kryptering (C2S). Skillnaden är att E2E-krypto håller informationen krypterad hela vägen från användare A till användare B, där meddelandet även är krypterat på kommunikationstjänstens server. Ett C2S-krypto däremot, dekrypterar informationen från användaren på servern, innan det skickas vidare. Detta är alltså ett mindre säkert sätt att skicka informationen på och experter menar att detta är avgörande.
Läs mer: Så lämnades 300 miljoner privata meddelanden öppna
Flera nya kommunikationstjänster är byggda uteslutande med end-to-end-kryptering och ger därför användaren en hög nivå av data- och kommunikationssäkerhet. Många andra verktyg som beskrivs som ”säkra” använder emellertid föråldrad klient till server-kryptering. Användningen av klient till server-kryptering är särskilt vanlig i produkter som erbjuder videokommunikation som exempelvis Zoom, Slack, WebEx, Skype for Business, Telegram (i dess standardinställning) och många andra.
ZOOM
Zoom, som lanserades 2011, har på mycket kort tid gått från som mest 10 miljoner deltagare på en dag, till hissnande 200 miljoner. Det här har satt en enorm press på Zoom, som snabbt har varit tvungna att ställa om för den ökade efterfrågan men även, efter att flera säkerhetsbrister uppmärksammats, se över sina säkerhetsrutiner.
Integritet. Tjänsten är en av de mest populära av videosamtalplattformarna. Tidigare kunde samtalsvärdarna spåra deltagarnas uppmärksamhet under ett möte – mötesvärden kunde se vilka som hade zoomfönstret uppe eller inte. Sedan den 2 april är den funktionen borttagen av Zoom med hänvisning till den personliga integriteten.
Något som kan vara bra att vara uppmärksam på, är att administratören/värden för mötet har tillgång till allt som någon av deltagarna spelar in ett samtal – video, ljud och eventuell chatt. Administratören har även haft tillgång till all information rörande deltagarnas datorer, inklusive IP-adress och till och med vad dina AirPods heter. Zoom själva säger att de aldrig skulle sälja data av något slag, till någon.
Läs mer: 14 skäl till varför Zoom har distanserat sig från facebook
Zoombombing. Zoom har genom åren haft sin beskärda del av säkerhetsproblem. Ett programvarufel gjorde det möjligt för någon att hitta och delta i ett möte – så kallade ”party crashers” eller ”Zoombombing”, hackers eller nättroll som använde Zooms skärmdelningsfunktion för att visa innehåll för mötesdeltagarna som ingen önskat se. Det fanns också ett problem med en programvara som kunde öppna för utomstående att komma åt din webkamera.
Kryptering på Zoom. Slutligen kan det vara värt att nämna att så sent som i början av april 2020 uppdagades att Zoom inte alls använder sig av det säkrare E2E-kryptering, vilket de tidigare har hävdat. Storbritanniens premiärminister Boris Johnson fick inte bara kritik för att använda sig av Zoom, där denna avancerade kryptering saknas, utan även för att ha avslöjat mötens id-nummer på Twitter, vilket kan sägas ha äventyrat säkerheten.
Rowenna Fielding, säkerhetsexpert på Protecture, ger Zoom ett medelbetyg för transparens och ansvarstagande enligt GDPR-standard. Det kan vara värt att tänka på, när ni diskuterar strategier eller rikets säkerhet.
Skype
Skype är en av de äldsta och mest populära röst- och videchatttjänsterna på internet. I mars 2020 avslöjade ägaren Microsoft att Skype hade 40 miljoner aktiva användare dagligen. Här tittar vi närmare på ”vanliga” Skype, alltså inte Skype Business.
Så, är Skype säkert? Vad ska Skype-användare vara medvetna om när de ringer och skickar meddelanden?
Microsoft förvärvade Skype 2011 vilket innebär att Skype delar sekretesspolicy med alla andra konsumentprodukter från Microsoft. För att använda Skype krävs ett Microsoftkonto. Det här innebär i sin tur att Skypes metoder för insamling av data inte är speciellt transparent. Skype nämns inte uttryckligen i Microsofts integritetsförklaring och anger inte vilken information som faktiskt samlas in.
Exempel på vad Microsoft samlar in om Skype-användaren:
• Vem du ringer
• Tid och varaktighet för samtal
• Chatthistorik
• Skickade och mottagna filer
• Telefonnummer som ringts
• Aktivitetsstatus
• Microsoft säger att de också erhåller data om användare från tredje parter, som kan inkludera datamäklare.
Microsoft använder personuppgifter för riktad annonsering, personalisering, forskning och utveckling och för att förbättra sina produkter. Dina uppgifter delas med Microsofts dotterbolag, deras dotterbolag och även med leverantörer. Företaget kan också komma att överlämna dina uppgifter som svar på en juridisk begäran från tredje part och även om du kan hantera viss information i sekretessinställningarna, så kan du inte få kontroll på allt du delar med dig av.
Inspelning av samtal. Deltagare i Skype-till-Skype-samtal kan spela in sina samtal och lagra dem på Microsoft-servrar i upp till 30 dagar. Alla deltagare kommer att varnas om ett samtal spelas in. Även skärmdelning spelas in och lagras.
Läs mer: Läser du villkoren när du laddar hem en app? Då är du i minoritet.
Kryptering på Skype. Skype krypterar inte informationen på sina servrar. Det betyder att alla meddelanden, samtal och filer kan ses av Microsoft. Röst, video, text och filer som skickas mellan Skype-användare är krypterade, men bara mellan användarens enhet och Microsofts servrar. Dessa data dekrypteras när de når servern, vilket alltså gör att Microsoft har fri tillgång till okrypterad information. Det är alltså bäst att anta att ingenting du gör på Skype hålls privat.
Läs mer: Så hittade NSA allvarliga säkerhetsfel hos Microsoft
Skräppost och nätfiske. Skype är ett gammalt program, vilket innebär att det finns många övergivna konton där ute. Om man lyckas kapa ett gammalt konto, kan det användas för att sprida skadlig programvara och nätfiskningslänkar till alla i kontots kontaktlista. Detta förvärras av användare som inte har full koll på sina kontakter och accepterar förfrågningar från främlingar.
Skadliga programvaror – ”malware”. I februari 2016 avslöjade forskare vid Palo Alto Networks att en skadlig kod som kallas T9000 riktade sig till Skype-användare specifikt. Väl installerad kunde programvaran spela in Skypevideo- och ljudsamtal och ladda upp dem tillsammans med textchattar till en server. Den skadliga programvaran bad visserligen uttryckligt om tillstånd för att få åtkomst till Skype, men maskerade begäran så att användaren inte förstod att det var skadligt.
År 2019 spreds en skadlig programvara (Rietspoof) främst via Skype-skräppost. Detta var en trojan utformad för att infektera system så att den själv kan ladda ner ännu mer skadlig programvara. Listan på attacker kan göras lång och längre ner kommer några förslag på hur du bäst skyddar dig när du använder Skype.
Läs mer: Så knäckte de nazisternas superkrypto.
Slack
Ett annat populärt verktyg är Slack, som själva säger sig vilja göra livet enklare, trevligare och mer effektivt. Vi tittar vi på gratisvarianten av programvaran.
En kärnfunktion i Slack är dess kanaler – utrymmen för att dela meddelanden och filer med kollegor om specifika ämnen och projekt. Medan betalda konton har viss kontroll över hur länge deras kanaldata eller privata meddelandedata bevaras av Slack, är gratiskonton mycket mer begränsade. Det innebär i praktiken att man som gratisanvändare inte kan hindra Slack från att läsa allt som skrivits i kanaler och i privata meddelanden. Dessutom har du bara tillgång till de 10.000 senaste meddelandena. De tidigare finns kvar otillgängliga.
Svagheter i Slack. Även om skyddet för dina meddelanden i Slack är relativt gott, så är Slack sårbart av framförallt en anledning. Eller snarare 900 anledningar – alla tredjeparts-program som går att ansluta till Slack vars svagheter också blir Slacks svagheter. En annan brist är att Slack i sitt grundläge inte själv söker efter skadlig programvara, skyddat innehåll eller till och med stötande material. Slack erbjuder inte så kallad end-to-end kryptering, vilket alltså öppnar upp för hackare att stjäla informationen.
Så hur skyddar man sig då bäst?
För många är det relativt nytt att i stor utsträckning jobba hemifrån. #WorkFromHome-hashtaggen används flitigt på sociala medier och många delar inlägg som innehåller bilder av hemmakontorsinställningar och vänner och familjemedlemmar. Det kan verka oskyldigt, men kan faktiskt avslöja en mängd känslig personlig information.
Exempelvis kan du publicera din hemadress genom att publicera foton av inställningar för läxor, som råkar innehålla brev, post eller paket. Att dela foton och namn på familjemedlemmar eller husdjur kan ge tips om dina lösenord eller till och med avslöja din plats.
Att dela skärmdumpar av arbetsgruppchattar i Zoom eller videohangouts i HouseParty, har också sina sekretessrisker. Vem som helst kan matcha en offline-bild med exempelvis en onlineprofil på Twitter, Facebook eller LinkedIn.
Dessa problem förvärras av att många för sina arbetsuppgifter använder personliga och potentiellt mindre säkra hemanordningar, som bärbara datorer, telefoner och USB-enheter. De flesta av oss är inte vana vid, eller vet hur, man upprätthåller samma säkerhetsrutiner som på jobbet.
5 snabba tips till dig som jobbar hemifrån
1. Läs på om säkerheten i det eller de verktyg du väljer att använda. Om du är osäker, kontakta din arbetsgivare.
2. Skydda dina enheter. Installera antivirusprogram, uppdatera system och appar, se till att du använder dig av flerfaktorautentisering (så att flera bevis krävs för att någon ska kunna använda din inloggning) och var uppmärksam på phishing-bedrägerier. Microsoft erbjuder exempelvis alla kontoinnehavare möjligheten att ställa in tvåfaktorautentisering, något som rekommenderas starkt.
3. Zoombombning och andra former av kapningar kan förebyggas. Dela mötelänkar enbart med inbjudna personer. Konfigurera zoom så att värden enbart kan dela skärmen efter behov. Och inaktivera filöverföringar för att stoppa troll som delar virus till alla deltagare.
4. Var försiktig med vad du publicerar offentligt. Kontrollera att det inte finns någon potentiellt känslig information. En gång på internet – alltid på internet.
5. Slutligen – klicka aldrig på okända länkar eller bilagor, särskilt från kontakter som du inte har kommunicerat med på ett tag.
På Starlings, som är ett litet företag, kunde vi snabbt anpassa oss efter rådande omständigheter. Sedan mitten av mars jobbar vi alla hemma.
Eftersom vi också tidigare jobbade online och i molnet – själva och tillsammans med våra kunder – blev skillnaden för oss inte så jättestor. Vi jobbar framför allt i dropbox, storegate, goodle drive, monday och slack.
Vi har också stärkt upp rutinerna kring möten över Skype. Nu är det ännu viktigare att boka in avstämningar morgon och eftermiddag, för att berätta om pågående projekt, lyssna på hur vi mår och peppa varandra.