Najčešće nesvjesno zaposlenici odaju poslovne tajne. Neki “nevini” postupci mogu predstavljati rizik za sigurnost podataka. Ukoliko konkurenti prikupe informacije mogu ih izravno ili neizravno iskoristiti za ostvarivanje neopravdane dobiti na račun radnika i poduzeća.
Gotovo sve ozbiljne kompanije koriste edukacije u kojima su zaposlenici upozoreni na rizike izlaganja osjetljivih podataka. Najčešće se radi o phishing porukama, krađom vjerodajnica i korištenjem slabih zaporki. Osjetljivi podaci o vama, poslu koji obavljate ili o vašoj organizaciji mogu procuriti odnosno biti razotkriveni a da toga niste ni svjesni. Takvi skriveni rizici često su zanemareni prilikom edukacije o kibernetičkoj sigurnosti. Zaposlenici nisu svjesni kako neki “nevini” postupci mogu predstavljati rizik za sigurnost podataka koji bi se, ako budu izloženi, mogli izravno ili neizravno iskoristiti za ostvarivanje neopravdane dobiti na račun radnika i poduzeća, piše portal točkanaI.
Prezentirat ćemo neobične, neočekivane i relativno čudne načine na koje zaposlenici mogu slučajno izložiti podatke, zajedno sa savjetima za rješavanje i ublažavanje rizika povezanih s njima.
Refleksija podataka sa naočala za vid
Platforme za videokonferencije kao što su Zoom i Microsoft Teams postale su važan dio daljinskog/hibridnog rada. Međutim, nova znanstvena istraživanja otkrila su da bi sudionici videokonferencije s naočalama mogli biti u opasnosti. Slučajno izlažu informacije putem refleksije svojih naočala.
“Private Eye: On the Limits of Textual Screen Peeking via Eyeglass Reflections in Video Conferencing” istraživanje.
Grupa istraživača sa Sveučilišta Cornell predstavila je metodu rekonstrukcije teksta na ekranu izloženog preko naočala sudionika i drugih reflektirajućih objekata tijekom video konferencija. Koristeći matematičko modeliranje i eksperimente s ljudima uživo istražili su u kojoj mjeri web kamere propuštaju prepoznatljive tekstualne i grafičke informacije koje svjetlucaju iz naočala.
“Naši modeli i eksperimentalni rezultati u kontroliranim laboratorijskim postavkama pokazuju da je s web kamerom od 720 piksela moguće s više od 75 posto točnosti rekonstruirati i prepoznati tekstove na ekranu koji imaju visinu od samo 10 milimetara”, napisali su istraživači. “Primijenili smo ovaj model na tekstualni sadržaj. Korištene su internetske stranice s različitim karakteristikama kako bismo pronašli pragove na kojima tekst postaje prepoznatljiv.” Studija s 20 sudionika otkrila je da su današnje 720p web kamere dovoljne za otkrivanje poslovne tajne. Bez problema će druga strana rekonstruirati tekst na web stranicama s velikim fontom. Evolucija prema 4K kamerama dodatno pomaknuti prag mogućnosti otkrivanja poslovne tajne. Punoi će se lakše čitati tekstovi objavljeni na webus još manjim fontovima.
Takve mogućnosti u rukama zlonamjernog aktera mogle bi potencijalno ugroziti sigurnost nekih povjerljivih i osjetljivih podataka. U istraživanju se navodi kako bi se takvi rizici mogli ublažiti. Može se korisitit prototip softvera koji bi se koristio za zamućivanje naočala prilikom video streamova.
Za dugoročnu zaštitu zagovaramo individualno testiranje refleksije. U cilju procjene prijetnje u različitim uvjetima. Želimo opravdali važnost primjene načela najmanje privilegije kod scenarija osjetljivih na privatnost.
navode istraživači.
LinkedIn – okidač za SMS phishing napade
Na internetskim stranicama za profesionalno umrežavanje LinkedIn uobičajeno je da ljudi objavljuju postove nakon što dobiju novu ulogu u poslovnoj karijeri. Ažuriraju svoje profile odnosno podatke o radnom iskustvu i mjestu rada. Ovaj naizgled bezazlen čin može stvoriti uvjete za takozvane phishing napade “new hire SMS”. Napadači pretražuju LinkedIn tražeći nove oglase za posao, telefonske brojeve novih zaposlenika na internetskim stranicama za posredovanje podacima. Žrtvi šalju SMS phishing poruke pretvarajući se da su iz visokog management-a tvrtke. Na taj način pokušavaju prevariti nove zaposlenike tijekom prvih tjedana na novoj poziciji.
Stručnjakinja za društveni inženjering i izvršna direktorica SocialProof Security Rachel Tobac objašnjava kako ove poruke obično govore o darovnim karticama ili lažnom prijenosu novca. Pri komunikaciji traže podatke za prijavu ili druge osjetljive podatke.
Nedavno sam primijetila porast phishing napada vezanih uz nova zapošljavanja putem SMS-a.
navodi Rachel Tobac
Dodajući da je to postalo toliko uobičajeno da je većina organizacija s kojima radi prestala objavljivati informacije o novim zaposlenicima na LinkedInu. Preporučuju novim zaposlenicima odnosno osobama koje prelaze na nove pozicije da ograniče postove o svojim novim ulogama.
To su dobre mjere za ublažavanje rizika od odavanja poslovne tajne usmjerenih na nove zaposlenike, smatra Tobac. No, dodaje kako bi sigurnosni timovi trebali educirati nove zaposlenike o takvim napadima. Objasniti im kako izgleda pravilna komunikacija s tvrtkom i koje će se metode koristiti. Također je preporučila da se zaposlenicima omogući DeleteMe kako bi uklonili svoje podatke za kontakt sa stranica za posredovanje podataka.
Dodavanje fotografija na društvene mreže
Korisnici možda ne povezuju objavljivanje slika na društvenim mrežama i aplikacijama za razmjenu poruka kao rizik za osjetljive korporativne informacije. Dmitry Bestuzhev, najugledniji istraživač prijetnji u BlackBerryju, upozorava kako je slučajno otkrivanje podataka putem društvenih aplikacija kao što su Instagram, Facebook ili WhatsApp vrlo stvarna prijetnja.
“Ljudi vole fotografirati, ali ponekad zaborave na okruženje. Stoga je uobičajeno na slikama pronaći pooslovne tajne ostavljene na stolu. Osim toga na fotografijama se vide dijagrami na zidu, lozinke na ljepljivim papirićima. Znaju se pojaviti ključevi za autentifikaciju i otvorene zaslone aplikacija na radnoj površini. Sve te informacije su povjerljive i mogu se zloupotrijebiti.”
Zaposlenici zaboravljaju da je na otključanom ekranu jednostavno uočiti koji preglednik koriste, na koje su antivirusne proizvode povezani i niz drugih podataka, dodaje Bestuzhev. “Sve su to vrijedne informacije za napadače i lako se mogu otkriti na fotografijama na Instagramu, Facebooku i WhatsAppu.”
Keiron Holyome iz BlackBerryja naglašava važnost sigurnosne edukacije i svijesti o ovom problemu. “Kompanije ne mogu spriječiti zaposlenike da snimaju i dijele fotografije. Mogu istaknuti potencijalne rizike i potaknuti zaposlenike da zastanu i razmisle o onome što objavljuju”, kaže.
Pogreške prilikom unosa podataka
Tom Van de Wiele iz WithSecurea kaže da je njegov tim obradio neke neuobičajene slučajeve. Pogrešno upisivanje IP adrese ili URL-a u skriptu za unos podataka je dovelo do grešaka u bazi podataka. “Pogreške rezultiraju mješovitom bazom podataka koju je potrebno očistiti ili vratiti prije nego što započne proces sigurnosnog kopiranja. U suprotnom bi organizacija mogla imati PII [osobne podatke] koji krši GDPR”, dodaje. “Tvrtke se redovito suočavaju s incidentima miješanja podataka. Ponekad su takvi incidenti nepopravljivi ako se niz takvih grešaka dogodio predaleko u prošlosti.”
Van de Wiele stoga savjetuje sigurnosnim timovima da iskoriste mogućnosti autentifikacije TLS-a (Transport Layer Security) gdje je to moguće. “To će smanjiti rizik od pogrešnog identiteta poslužitelja i baza podataka. Treba imati na umu da se rizik ne može u potpunosti eliminirati. Stoga djelujte i pripremite se tako da osigurate da u sklopu strategije zaštite postoje zapisnici o prijavama i aktivnostima radi lakšeg otkrivanja i praćenja. To uključuje uspješne kao i neuspješne događaje”, dodaje.
Van de Wiele također zagovara provođenje strogih pravila, procesa i sigurnosnih kontrola te jačanje svijesti o tome kako i kada koristiti proizvodna/pretprodukcijska/scenska/testna okruženja. “To će rezultirati s manje incidenata u kojima dolazi do miješanja podataka, manjim brojem pogreška pri radu sa stvarnim podacima i osigurat će da se svako ažuriranje ili promjena u slučaju sigurnosnog problema može temeljito testirati u pretprodukcijskom okruženju.”
Nazivanje poslužitelja tako da se mogu jasno razlikovati jedni od drugih, nasuprot korištenju kratica kao imena, još je jedan koristan savjet, kao i sigurnosno testiranje procesa u operativnom stanju, kaže on.
Ulažite u otkrivanje i praćenje kao jednu od kompenzacijskih kontrola i testirajte kako biste bili sigurni da je otkrivanje incidenata učinkovito.
Preko USB ulaza do poslovne tajne
Zaposlenici često koriste vlastite uređaje poput svjetiljki ili ventilatora koje priključuju na korporativno računalo preko USB-a. Amir Landau, voditelj sigurnosnog tima u tvrtki CyberArk, upozorava da se ovi naizgled bezopasni uređaji mogu biti iskorišteni kao “stražnja vrata” za ulaz u računalo i korporativnu računalnu mrežu. Takvi hardverski napadi obično imaju tri glavna smjera napada.
Prvi je hardver koji dolazi s unaprijed instaliranim zlonamjernim softverom, poznatim kao BadUSB. BadUSB-ovi se mogu vrlo jednostavno kupiti na AliExpressu. Ljudi mogu napraviti vlastite s otvorenim izvorima, kao što je USB Rubber Ducky.
Slijede infekcije – koje se nazivaju i replikacija putem prijenosnih medija. USB uređaji su zaraženi crvima, kao što su USBferry i Raspberry Robin. Oni skupljaju poslovne tajne i dalje ih distribuiraju.
Treći su kompromitirani hardverski lanci opskrbe. “U slučaju napada na opskrbni lanac, loš softver ili čipovi instalirani su unutar legitimnog hardvera. U slučaju zlonamjernih mikročipova umetnutih u matične ploče koji su završili na poslužiteljima koje su koristili Amazon i Apple 2018. godine.”
Otkrivanje ovakvih napada na krajnjoj točki je teško. Antivirusna zaštita i detekcija priključenih uređaja na krajnjoj točki mogu u nekim slučajevima biti učinkovita zaštita. Uz ovo je potrebno pratiti aktivnosti perifernih uređaja i primjenu politike integriteta koda, kaže Landau.
“Rješenja za upravljanje povlaštenim pristupom (PAM) također su važna zbog svoje sposobnosti blokiranja priključivanja neovlaštenih uređaja putem USB-a i sprečavanja aktiviranja neovlaštenog koda.”
Stari uređaji nude lozinke za Wi-Fi
Kada stari uredski pisač prestane raditi ili ga zamijeni noviji model, zaposlenicima ga često jednostavno odbace zbog recikliranja. Ako se to učini bez prethodnog brisanja podataka kao što su zaporke za Wi-Fi, to može dovesti organizaciju do rizika izloženosti podacima. Van de Wiele je to vidio iz prve ruke.
Kriminalci su izvukli lozinke i upotrijebili ih za prijavu na mrežu organizacije kako bi ukrali podatke koji otkrivaju identitet.
Savjetuje šifriranje podataka bez obzira jesu li uređaji fiksni ili prijenosni te primjenu procesa za provjeru autentičnosti kako bi se zaštitili ključevi za dešifriranje na krajnjim uređajima. “Provjerite jesu li prijenosni mediji pod kontrolom, da su podaci uvijek šifrirani i da je oporavak moguć kroz formalni proces s potrebnim kontrolama.”
Elektronička pošta poslana na privatnu adresu
Avishai Avivi, CISO u SafeBreachu, prepričava incident u kojem je nezlonamjerna e-pošta koju je poslao zaposlenik u svrhu obuke zamalo dovela do otkrivanja podataka o brojevima socijalnog osiguranja klijenata. “U sklopu obuke novih suradnika trenerski tim je uzeo pravu proračunsku tablicu koja je sadržavala brojeve socijalnog osiguranja kupaca. Jednostavno je sakrila stupce s brojevima socijalnog osiguranja. Zatim su ovu modificiranu proračunsku tablicu dali polaznicima. Zaposlenik je želio nastaviti obuku kod kuće. Jednostavno je elektronskom poštom poslao proračunsku tablicu na svoj osobni račun e-pošte,” kaže za CSO.
Srećom, tvrtka je imala reaktivnu kontrolu zaštite od curenja podataka (DLP). Ista je nadgledala sve e-poruke zaposlenika, koja je otkrila postojanje brojeva socijalnog osiguranja u privitku. Blokirala je e-poštu i upozorila sigurnosni operativni centar. Međutim, situacija služi kao podsjetnik da osjetljive informacije mogu biti razotkrivene čak i najbezazlenijim dobronamjernim radnjama.
Umjesto da se oslanjamo na reaktivne kontrole, trebali smo imati bolje preventivne kontrole klasifikacije podataka koje bi ukazivale na korištenje stvarnih podataka iz proizvodnog okruženja prilikom obuke, kontrolu koja bi spriječila zaposlenika čak i da pokuša poslati privitak e-poštom na osobni račun e-pošte.
navodi Avishai Avivi.
Izvor: TočkanaI