اشتباهات متداول کارمندانی که امنیت اطلاعات شرکت‌ها را تهدید می‌کند

اشتباهات متداول کارمندانی که امنیت اطلاعات شرکت‌ها را تهدید می‌کند

در دنیای امروز، شرکت‌های مختلف با تهدیدات سایبری گوناگونی مواجه هستند. وقتی که یک شرکت مورد هک و نفوذ قرار می‌گیرد، اولین برداشت همه این است که حمله از بیرون صورت گرفته است اما حقیقت می‌تواند چیز دیگری باشد. بعضی از تهدیدات رایج که در حال حاضر وجود دارند در اثر سهل‌انگاری کارمندان خود شرکت و عادت‌های غلط ایشان صورت می‌گیرند که خوشبختانه این مسائل قابل پیش‌گیری هستند. در این مقاله قصد داریم به یکسری کارهای اشتباه کارکنان شرکت‌ها و سازمان‌ها که موجب به خطر افتادن امنیت شرکت و درز کردن اطلاعات آن به خارج می‌شود، بپردازیم.

استفاده از دیوایس‌هایی با امنیت پایین
طبیعی است که یک شرکت نمی‌تواند امنیت تمام دستگاه‌های شخصی کارکنانش را تأمین کند. سالانه تعداد دستگاه‌های شخصی که در ادارات و شرکت‌ها استفاده می‌شوند افزایش می‌یابد و کارکنان از این دستگاه‌های شخصی برای ارسال و دریافت مدارک بسیار مهم استفاده می‌کنند!

بنابراین شاهد این هستیم که کارکنان، دستگاه‌های شخصی خود را که حاوی تعداد زیادی اپلیکیشن‌های متفرقه و غیرسازمانی است، به شبکۀ اطلاعاتی شرکت که حاوی اطلاعات بسیار مهمی است وصل می‌کنند و این اپلیکیشن‌ها باعث می‌شوند که کارکنان به طور ناخواسته شرکت را در معرض خطراتی بزرگ قرار دهند. خوشبختانه با افزایش آگاهی عمومی در رابطه با امنیت دستگاه‌های شخصی و وضع قوانین مشخص در این رابطه، می‌توان از بروز مشکلات امنیتی از این دست جلوگیری کرد.

امنیت کم تلفن‌های همراه
هر دستگاهی با قابلیت اینکه بتواند از راه دور به شبکه‌های شرکتی دسترسی داشته باشد، می‌تواند باعث افزایش آسیب‌پذیری شبکۀ اطلاعات شرکت شود. اقدامی که شرکت‌ها می‌توانند در این رابطه انجام دهند این است که تمام ارتباطات و دسترسی‌هایی را که نهایتاً به اطلاعات مهم شرکت منتهی می‌شوند، به صورت اصطلاحاً End to End رمزگذاری کنند؛ به این معنا که گفتگوها و پیام‌ها تنها میان دو شخص و به صورت رمزگذاری شده رد و بدل می‌شوند که در نتیجه دسترسی به این مکالمات و پیام‌ها برای کسی به جز آن دو نفر غیرممکن می‌شود. 

پسوردهای ساده
استفاده از پسورد، یکی از ساده‌ترین و متداول‌ترین راه‌کارهای امنیتی است. حال، استفاده از پسوردی قوی که حاوی عبارات مشخص نباشد (حروف آن به صورت تصادفی تعیین شود)، یک عامل بازدارندۀ قوی در برابر حملات احتمالی است. متأسفانه اکثر کاربران نسبت به این مسئله بی‌توجه هستند و اغلب آن‌ها پسورد سیستم‌های شرکت را به همان صورت که تحویل گرفته‌اند، بدون تغییر باقی می‌گذارند (اگر هم این کار را انجام دهند، معمولاً از عباراتی که به سادگی قابل پیش‌بینی و حدس زدن هستند، مانند 123456 یا خود QWERT استفاده می‌کنند.)

برای کسی که قصد یک حملۀ سایبری دارد، کار به چند ثانیه هم نمی‌رسد تا به چنین پسوردی پی‌ببرد! حال تصور کنید که این سازمان برای دسترسی به سیستم‌هایش تنها یک مرحله پسورد در نظر گرفته باشد یا اینکه کارمند مذکور از یک پسورد برای چندین سیستم استفاده کرده باشد (برای جلوگیری از بروز این مشکلات می‌توان از سیستم‌هایی با پسورد دو مرحله‌ای استفاده کرد.)

پرینت گرفتن و نوشتن اطلاعات مهم
به دلیل اینکه برنامه‌های مختلف پسوردهای مختلفی هم لازم دارند، ممکن است برخی از کارمندان آن‌ها را روی تکه‌های کوچک کاغذ و یا یک فایل تِکست بنویسند (بعضی‌ها حتی از پسوردهای‌شان پرینت می‌گیرند!) برای آفیس‌های کوچکی که رفت‌وآمد کمی در آن‌ها صورت می‌گیرد شاید این مسائل باعث بروز مشکل نشوند ولی در مراکز شلوغ و پُر رفت‌وآمد، تحت نظر داشتن تمام کارکنان، مهمانان و کسانی که در اوقات خارج از ساعات کاری به شرکت مراجعه می‌کنند بسیار دشوار است و نتیجه اینکه پسورد هیچ‌گاه نباید نوشته شود یا از آن پرینت گرفته شود و همچنین تابلوهای وایت‌بوردی که اطلاعات حساس و مهم شرکت روی آن‌ها نوشته می‌شود، باید به سرعت پاک شوند.

این موارد نه تنها برای پسوردها، بلکه برای تمام اطلاعات مهم شرکتی، اعم از اطلاعات شخصی مشتریان یا پرداخت‌های مشتریان، باید رعایت شوند. اگر لازم شد که از اطلاعات خاصی پرینت بگیرید یا آن را روی کاغذ بنویسید، مطمئن شوید که آن را در جایی امن مانند گاوصندوق قرار دهید.

ناآگاهی از مهندسی اجتماعی
Social Engineering (مهندسی اجتماعی) یعنی فریب دادن کاربران با استفاده از توانایی‌های اجتماعی آن‌ها تا در نهایت فرد قربانی اطلاعات مهمی را در اختیار مهاجم قرار دهد. شاید فکر کنید که چنین چیزی مختص فیلم‌های ژانر جاسوسی است؛ ولی این موضوع امروزه به یکی از بزرگترین مشکلات شرکت‌ها و کسب‌و‌کارهای مطرح تبدیل شده است.

مهاجمان به راحتی می‌توانند با تکنیک‌های سادۀ فریب دادن کارمندان، به اطلاعات مهم و حیاتی شرکت دست پیدا کنند. استراتژی‌های ایشان شامل کسب اطلاعات از حساب کارمندان در شبکه‌های اجتماعی، تماس‌های تلفنی که در آن‌ها فرد مهاجم ادعا می‌کند که یک همکار، مشتری یا خریدار است و در برخی موارد پیشنهادهای مستقیمی به کارمندان شرکت می‌شود که آن‌ها را متقاعد می‌کند تا اطلاعات مهم شرکت را لو بدهند. با افزایش سطح آگاهی کارمندان، می‌توان با این معضل مقابله کرد.

فیشینگ
علاقمندان به زبان انگلیسی حتماً متوجه شباهت این واژه با واژۀ Fishing (به معنای ماهیگیری) شده‌اند؛ دلیل آن هم این است که در Phishing، دقیقاً مانند ماهیگیری، فردی خود را به عنوان یک شخص قابل‌اعتماد به سایر کارمندان شرکت معرفی می‌کند؛ سپس هنگامی که اعتماد همگان را جلب کرد، به قلاب انداختن قربانی آسان می‌شود که شکار در این مورد، دسترسی به دیتای حساس است.

Phishing در بسیاری موارد، شبیه به مهندسی اجتماعی است به طوری که هر دو شامل مواردی مانند استفاده از یک سرویس آشنای ایمیل و یا ساخت صفحات تقلبی در وب و تشویق کارمندان به استفاده از نام کاربری و پسورد خود می‌شوند که برای کارمندان قابل‌اعتماد هستند.

به دلیل شباهت این دو مورد (فیشینگ و مهندسی اجتماعی)، راه‌کار مقابله با آن‌ها نیز شبیه به هم است. افزایش سطح  آگاهی از بهترین راه‌های مقابله با این دو مورد است. از راه‌های دیگر مقابله، می‌توان به آموزش دادن به کارمندان اشاره کرد؛ آموزش‌هایی مانند باز کردن و مشاهدۀ لینک‌ها و پیوست‌هایی که از یک منبع شناخته شده و قابل‌اعتماد ارسال شده‌اند و چک کردن آدرس صفحات وب (مثلاً اطمینان حاصل کردن از وجود پروتکل امن HTTPS)، پیش از اینکه نام کاربری و پسورد خود را وارد کنند.

دادن دسترسی بیش از حد به تعداد زیادی از کارکنان
واضح است که هرچقدر کارکنان کمتری به اطلاعات مهم شرکت دسترسی داشته باشند، احتمال درز اطلاعات به بیرون کمتر می‌شود. هرچند این کار باعث می‌شود تا تعداد زیادی از کارمندان برای هر مرحله از کارشان نیاز به تأییدیه داشته باشند و صدور مجوز برای هر کار آن‌ها چیزی دشوار به نظر می‌رسد؛ اما با این کار، با دقت بیشتری می‌توان عملکرد آن‌ها را زیر نظر داشت و در نتیجه تیم امنیتی شرکت می‌تواند خیلی ساده‌تر رفت‌وآمد اطلاعات و دسترسی‌ها را کنترل کند که این موضوع برای جلوگیری از نفوذ به اطلاعات شرکت، بسیار حائز اهمیت است.

استفاده از نرم‌افزارهای شخصی که مورد تأیید شرکت نیستند (Shadow IT)
روز به روز بر تعداد نرم‌افزارهایی که راندمان کارمان را بالا می‌برند افزوده می‌شود. به همین دلیل، برخی از کارمندان ترجیح می‌دهند از برنامه‌های شخصی که مورد تأیید شرکت نیستند، استفاده کنند که متخصصان فناوری به این معضل Shadow IT می‌گویند و در این در حالی است که خیلی از این موارد نه تنها بی‌خطر، بلکه خیرخواهانه به نظر می‌رسند (مانند آپلود کردن اطلاعات بر روی فضای شخصی کلود).

اما در اصل این کار باعث به خطر افتادن اطلاعات حساس شرکتی می‌شود و این موضوع کنترل عملکرد کارمندان را برای تیم‌های امنیتی بسیار دشوار می‌کند. برای اینکه مطمئن شوید کارمندان شما از برنامه‌هایی که مورد تأییدتان نیستند استفاده نمی‌کنند، به نیازهای آن‌ها توجه کنید تا برنامه‌ای مطمئن که متخصصان دپارتمان فناوری آن‌ها را تأیید می‌کنند برایشان فراهم کنید.

به نظر شما با رعایت چه اصول دیگری می‌توان از اطلاعات شرکت، سازمان یا استارتاپی که در آن مشغول به کار هستیم محافظت کنیم؟ نظرات خود را با سایر کاربران سکان آکادمی به اشتراک بگذارید.

منبع