Der er blevet talt stolpe op og stolpe ned omkring den hybride arbejdsplads og alle dens fordele og ulemper, så lad mig gå lige til pointen: De fleste virksomheder tror fejlagtigt, at de har beskyttet virksomheden fra hjemmearbejdspladser ved brugen af VPN-tilslutning. Men det er blot et spørgsmål om tid, før det går galt.

Det er ikke af ond mening, ej heller et spørgsmål besparelser – men mere en misforståelse af, hvad VPN reelt set kan hjælpe med og beskytte imod.

En VPN skaber en virtuel netværksforbindelse mellem virksomhedens netværk og endpoint-enhed såsom en medarbejders computer. Lidt enkelt betyder det, at al data mellem computeren og din virksomhed er krypteret og beskyttet mod udefrakommende snushaner og it-kriminelle, så brugeren mere sikkert kan tilgå virksomhedens data, applikationer med mere. Og imens den del er god nok, så er det også en åben port direkte fra VPN’enens ene indgang til den anden, hvor der ofte ingen sikkerhed er, så snart VPN-nøglen er godkendt.

Eller sagt med en Storebæltsbro-metafor: Storebæltsbroen er godt som umulig at komme op på fra vandsiden, men hvis du først har en Brobizz, så kører du nemt og elegant fra Nyborg (den ansattes computer) til Korsør (virksomhedens netværk).

Og det udnytter it-kriminelle – særligt efter normaliseringen af den hybride arbejdsplads.

Motorvej

Så hvad betyder det i praksis?

Dine ansatte, som arbejder hjemmefra, gør det formodentligt på deres WiFi-netværk. WiFi-routeren er nok fra TDC eller en anden udbyder, som giver en udmærket dækning, men som ikke er lavet til at give et højt it-sikkerhedsniveau. Det betyder, at hvis eksempelvis et barn i hjemmet har åbnet en fil, som de ikke burde, så kan it-kriminelle fra barnets computer kompromittere den via hjemmenetværket, der som udgangspunkt står pivåbnet.

Og når din ansattes computer så er kompromitteret, så omdannes VPN-forbindelsen til en motorvej ind i virksomheden. VPN er reelt set en LAN-forbindelse, og LAN-trafik scannes per automatik ikke, da man netværksmæssigt stoler på LAN-tilsluttede enheder.

Og al ”almindelig” internettrafik såsom videokald og lignende kører stadig direkte ud på det almindelige net, for der er ikke plads på båndbredden.

Og med adgang via VPN er den it-kriminelle, vi kan kalde ham Boris, direkte inde i produktionsnettet. Det er de færreste virksomheder, som opdeler deres netværk nok – og så er det ikke svært at bypasse resten af systemet. Hackeren ved jo præcis, hvem de skal lede efter, såsom dem, der har admin-rettigheder og lignende. Og de har rigeligt tid. Når et ransomware-angreb sker, så har hackeren oftest været inde på virksomhedens netværk i 4-6 måneder, og nogle gange endnu længere.

VPN er aldrig nok

Ovenstående er ikke blot teoretisk. Jeg har set det ske og læst hackernes beretninger på Dark Web, hvor de blærer sig med, hvor let det er at bryde ind i virksomheder eksempelvis igennem børn, der spiller Counter Strike.

Derfor handler det om, at virksomheder skal sikre end-point-enhederne bedre – og her tænker jeg ikke kun på en end point software-løsning – det man i gamle dage kaldte antivirus. Nej, her tænker jeg på bedre hardware i form af mere sikre og avancerede routere, der opdeler arbejds- og familieenheder på forskellige netværk, som scanner efter mistænkelig adfærd og som har indbygget firewall.

Er det permanente hybrid- og hjemmearbejdspladser, så bør virksomheder også overveje, om de skal investere i end-point-beskyttelse til eventuelle andre enheder på netværket – blandt andet børnenes gaming-computere, som ofte besøger nogle mystiske hjemmesider og relativt ubeskyttede spil-services.

Derudover handler det om for virksomheder at indse, at en VPN-løsning aldrig er nok i sig selv og ikke skal ses som et sikkerhedsmæssigt værktøj, men mere som en infrastruktur mellem to lokationer – hjemmearbejdspladsen og virksomheden, og om at segmentere virksomhedens netværk i forskellige lag for at mindske eventuel skade, skulle du blive kompromitteret.

Men VPN alene? Nej.