在家办公的网络安全风险是什么？

在第5章中，谢里丹的思想领袖们分享了他们对一个及时和热门问题的专业见解。从我们的一些创新的领导者和变革推动者学习，因为他们反映的问题是谢里登社区的头等大事。 

越来越多的人在家工作，而网络犯罪分子正试图从中获利。根据…加拿大统计局调查在2019冠状病毒病大流行的前9个月，42%的加拿大人经历了至少一种类型的网络安全事件，36%的加拿大人因此事件遭受了损失。

在Take 5的这一期中，来自Sheridan应用信息科学荣誉学士（信息系统安全）学位的Nick Johnston讨论了在家工作的网络安全风险，雇主和雇员可以做些什么来最小化这些风险，以及远程工作的趋势如何影响网络安全行业。

1. 在家办公的网络安全风险是什么？

当你在办公室时，你连接到雇主的Wi-Fi或网络，这样他们就可以控制你所有设备与外部世界的通信，包括电子邮件和文件共享。但当你在家工作时，你和家里的其他设备在自己的网络上，这增加了你的风险。

还有一些关于远程工作的事情会让你更容易受到伤害，比如我们在家的时候往往更放松。我们可能不会像以前那样勤于安全措施，比如在离开办公桌时锁上屏幕，也不会像以前那样警惕网络钓鱼——旨在诱骗你泄露敏感信息的欺诈性通信。例如，你可能更有可能点击关于重返工作岗位的网络钓鱼电子邮件，因为在COVID-19大流行期间，我们都非常渴望获得信息。

2. 为什么雇主的网络通常比家庭网络更安全？

在典型的办公室中，您受到防火墙和垃圾邮件过滤等网络安全功能的保护。还可以通过使用端点检测和响应（EDR）实用程序进行病毒和恶意软件检测，该实用程序可以识别机器上发生的可能影响安全性的事情。

即使您在家里的机器上运行EDR实用程序，也需要更长的时间才能将这些信息传回给it安全团队。因此，如果你受到勒索软件之类的攻击，它会试图加密你的文件，然后要求支付赎金才能访问这些文件，你的IT部门可能无法在它影响你机器上的数据之前阻止它。

3. 有没有哪个特定行业或类型的企业最容易成为网络罪犯的目标，或者最容易受到攻击？

每年，Verizon都会发布一份关于数据泄露的重要报告。在过去几年中，教育、医疗保健和政府似乎是受数据泄露影响最大的行业。

网络罪犯追踪政府信息是有道理的，而针对教育和医疗保健的攻击可能与预算限制或某些受保护的/个人健康信息（PHI）数据有关。对于网络罪犯来说，PHI非常有价值，原因有很多，包括敲诈勒索（他们可以威胁要泄露你的病情或药物）、欺诈（他们可以冒充你获得医疗设备和处方）或传统的身份盗窃。

相反，制造业的网络安全确实在短时间内取得了巨大的进步。这可能是因为该行业长期以来一直在检查其流程并寻找结构化的改进方法。

4. 雇主和雇员可以采取什么措施来抵消在家工作增加的风险？

电子邮件是一个重要的警惕，因为最重要的攻击媒介往往是网络钓鱼。当你收到一封听起来很有威胁性或有点太紧急的邮件时，花几秒钟考虑一下。给同事看并问他：“嘿，你觉得这样合适吗？”

有技术纪律也很重要，比如不要一直使用相同的密码。如果你使用的网站被攻破，网络犯罪分子发现了你的密码，他们会试图在其他地方使用这个密码。使用密码管理器——一种在线工具，可以让你为每个网站存储唯一的密码，而不必担心记住它们——可以帮助很大。

使用VPN（虚拟专用网络）可以让您与工作场所和您可能需要的任何资源建立更安全的连接。

不要关闭杀毒软件，因为你认为它可以提高你的电脑速度（这已经不存在了），或者不允许你的电脑进行更新。雇主可以把更新时间表、杀毒软件和VPN软件放在员工的笔记本电脑上，但员工也有责任确保他们在使用这些东西。

5. 未来五年，在家工作安排的增加会对网络安全产生什么影响？

不用太专业，现在网络安全领域有一个术语叫做零信任。传统上，公司网络就像一座被墙或护城河包围的城堡，护城河是形成边界的防火墙。城堡里的每个人都是值得信任的——一个好人，我的团队里的人。现在，有这么多的人远程工作，使用这么多不同的资源来完成他们的工作，零信任的概念表明，内部不再存在。没有可靠的安全边界。

让零信任模型变得更棘手或更复杂的是，我们需要更多的身份验证措施来证明人们就是他们所说的那个人。您可能需要再次输入密码，或者您可能会得到一个多因素身份验证提示。安全系统会查看你登录的时间和你从哪个国家登录的，这样就可以建立模式和基线，一旦你偏离了这些，就会要求你提供更多信息。

不过，总的来说，我对网络安全目前的状况有点乐观。当我们上网时，我们不再在土路上狂奔。我们在一条被控制的高速公路上。也就是说，仍然有可能发生碰撞、事故和危险的情况，所以我们仍然需要勤奋和警惕。

---

Nick Johnston是谢里登信息科学荣誉学士（信息系统安全）学位的协调员，也是该计划2008年第一批毕业生的成员。在回到谢里丹担任教授之前，Nick曾担任KPMG的法医技术服务高级顾问，并担任Duff & Phelps的全球电子发现、法医技术和信息安全服务副总裁。Nick还持有the University of Davenport的计算机和信息系统安全/信息保障硕士学位。

---

有兴趣联系尼克·约翰斯顿或其他谢里登专家吗？请发邮件至communications@sheridancollege.ca

为了篇幅和清晰度，这篇采访经过了编辑。