7 عادت متداول کارمندان قابل هک

عادات قدیمی به سختی از بین می روند و در نتیجه، کارمندان مورداعتماد، سازمان های خود را روزانه با انجام کارهای غیرعمدی در کامپیوترها با خطر مواجه می سازند.

طبق یک گزارش رسانه ای اخیر، 93 درصد از کارمندان حداقل در یک مورد از ضعف امنیتی اطلاعات شریک هستند. در این گزارش 23 درصد از پاسخ دهندگان پذیرفتند که اطلاعات شرکت های خود را در صورت مفید بودنشان بر می دارند. حقیقت به همان میزان هشدارآمیز است که گروه های فناوری اطلاعات، کارکنان شاغل و مدیران اجرایی همگی عادات بدی نشان داده و سازمان ها را در معرض تهدیدات امنیتی جدی قرار می دهند. مدیرعامل شرکت اتریشی تولید کننده ی قطعات فضاپیما (اف ای سی سی) با این سناریو به شدت آشنا است. او بعد از کلاهبرداری ایمیلی یک مدیرعامل قلابی که موجب خسارت 47 میلیون دلاری برای شرکت شد، از کار اخراج گردید.

شرکت ها می بایست قبل از سرمایه گذاری در ابزارها و فناوری های جدید، به غیر از برقراری امنیت جهت حفاظت در برابر تهدیدات خارجی، الویت متناسبی برای شناسایی و رفع خطرات داخلی نیز قائل باشد. اینجا چند مورد از معمول ترین ویژگی های یک کارمند که کسب و کار را با زیان بالقوه مواجه می کند، آورده شده است.

 

1- آنها فاقد آموزش و تمرین می باشند

وقتی یک کارمند جدید وارد یک سازمان می شود، معمولاً یک کامپیوتر، یک آدرس ایمیل متعلق به شرکت و امکان دسترسی به مجموعه ای از برنامه ها جهت انجام وظایف روزانه به او تعلق می گیرد. امّا آموزش چگونگی بهترین استفاده از این منابع اغلب در حاشیه قرار می گیرند. کسب و کارها می بایست آموزش های اولیه را جهت امن نگه داشتن خود در برابر تهدیدات پیچیده بر سر راه کارمندان ناآگاه فراهم بیاورند. مدیران میبایست مصمّم به کنترل ریسک تهدیدات مجازی باشند و باید متوجه باشند که یک دوره ی آموزشی یک روزه کافی نیست، به روزرسانی های مداوم فناوری اطلاعات و امنیت لازم می باشند. این برآوردهای مهم از همان آغاز به ایجاد عادات خوب کمک نموده و مکمّل پایه ی آموزش با اطلاعات دوره ای و دوره های آموزشی است.

 

2- آنها رمزهای عبور ضعیفی انتخاب می کنند

طبق گزارش سایت اسپلش دیتا، معمول ترین رمزهای عبور استفاده شده در سال 2016 همچنان “123456” و “پسوورد” می باشد. این به دلیل وسوسه ی راحت بودن آنها به جای انتخاب امنیت می باشد. بدون شک ایجاد و یادآوری رمزهای عبور جدید دردناک است، که به همین دلیل است که بسیاری از کارمندان به همان رمز عبور در تمام حساب های چندگانه ی خود می چسبند. امّا این عمل سبب به وجود آمدن یک هدف باز گسترده (در برابر تهدید) می شود. به یکباره، تمام حساب های یک کارمند می تواند در معرض خطر قرار گیرد.

افراد شاغل در صنایع مربوط به فناوری اطلاعات معمولاً به برنامه ها و سرویس های بیشتری از افراد شاغل در سایر صنایع دسترسی دارند. بدون یک سرویس ثبت نامی منفرد (اس اس او)، رمزهای عبور زیادی برای یک انسان عادی جهت یادآوری وجود دارد. سرویس ثبت نامی منفرد برای کاربران یک درگاه انفرادی جهت دسترسی به تمام برنامه های تحت وب خود فراهم می آورد. کارمند وارد درگاه شده، و سرویس ثبت نامی منفرد او را وارد تمام برنامه هایی می کند که کاربر برای ورود به آنها دارای مجوز می باشد– بنابراین هیچ احتیاجی به اتکا بر یادداشت های چسبان و صفحه گسترده ی اکسل جهت مدیریت تمام آن نام های کاربری و رمزهای عبور نمی باشد. زیرا که کاربران صرفاً مجبور به یادداشتن یک رمز عبور می باشند که معمولاً می تواند طولانی تر و قوی تر از زمان انتخاب عادی آنها باشد.

 

3- آنها اختیارات ورود را به اشتراک می گذارند

اینجا نیز کارمندان قربانی راحت طلبی می شوند. هنگامی که همکاران می خواهند به سرعت و سهولت به اطلاعات معینی دست پیدا نمایند، شرکت های کسب و کار اغلب به اشتراک گذاری اختیارات ورود به جای ایجاد یک ورود منحصر به شخص برای هر کاربر می کنند. نزدیک به 50 درصد پاسخ دهندگان در نظرخواهی اخیر از کارکنان دفتری اختیارات ورود را با کاربران چندگانه به اشتراک گذارده بودند. این مسأله شرکت را در معرض نفوذ به اطلاعات قرار می دهد.

به طور ایده آل، هر کارمند وارد شده به شرکت می بایست یک فهرست از سرویس ها و برنامه های مورد نیاز برای وظایف روزانه ی خود دریافت نماید. گروه های منابع انسانی و فناوری اطلاعات می بایست با همدیگر به صورت شبانه روزی جهت ایجاد یک حساب جداگانه برای آن کاربر و مجموعه ی نرم افزاری همکاری کنند.

اما این دنیای واقعی است، و نداشتن حساب های مشترک تقریبا غیرممکن می باشد. برای مثال، افراد بسیاری ممکن است به حساب فیس بوک، توویتر و یا لینکدین شرکت دسترسی داشته باشند. برخی از سرویس های ثبت نامی منفرد از اشتراک اختیارات به صورت ایمن پشتیبانی کرده، یک حساب مشترک را به یک فرد متصل نموده ولی رمز عبور واقعی را از این کاربران یکسان مخفی می نماید. در بسیاری از موارد، تنها مدیران فناوری اطلاعات رمز عبور را می دانند. این کار مساله ی ابطال دسترسی ها را به هنگام ورود، جابجایی و ترک سازمانی افراد تسهیل می کند.

 

4- آنها بدون مشورت با گروه فناوری اطلاعات اقدام به نصب برنامه های تحت وب می کنند

“سایه ی فناوری اطلاعات” در نیروی کار امروز یک موضوع همیشگی محسوب می شود. آن زمانی اتفاق می افتد که کارکنان برنامه های بدون مجوز را در رایانه های محل کار یا دستگاه های تلفن همراه خود دانلود می کنند. آن همچنین زمانی می تواند رخ دهد که آنها بدون موافقت گروه فناوری اطلاعات عضو یک نرم افزار به عنوان یک برنامه ی خدماتی شوند.

بسیاری از کارمندان هشت ساعت روز یا بیشتر پای رایانه های محل کار خود هستند و کم کم محل کار را به عنوان وسیله ی شخصی خود تلقی می نمایند. مقاصد آنها ممکن است بی خطر باشد–  شاید می خواهند برنامه ی معروف پخش آهنگ یا یک ابزار اشتراک اطلاعات  مصرف کننده برای ذخیره سازی و هماهنگی اطلاعات دانلود کنند، اما انجام این کارها بدون مشورت اولیه با گروه فناوری اطلاعات به ایجاد مشکل و خطر انداختن شرکت کمک می کند.

دلایل خوبی وجود دارد که چرا کسب و کارها می بایست به برخی برنامه ها ی معین مجوزداده و به برخی دیگر ندهد. این ها شامل حفط بهره وری، اطمینان از هماهنگی در تمام محل کار و بخش های مربوط به آن، محافظت در برابر بدافزارها یا سایر تهدیدات امنیتی  و نگهداشت خطر در یک سطح قابل قبول و درک می باشد. برای این منظور نیز راهکارهای زیادی وجود دارد که مدیران شرکت ها بنا بر سیاست های شرکت خود میتوانند دسترسی به برخی از سایت ها و یا اپلیکیش ها را ببندند. در نهایت افراد به روشی که مایل هستند کار می کنند. نقش فناوری اطلاعات عوض شده است به طوری که تیم های امنیت آنلاین امروزه به ارائه ی مشاوره به کسب و کارها میپردازند و به صورت نگهبانان اطلاعات می باشند. اگر واحد فناوری اطلاعات به این تصمیم برسد که محصولات مورد استفاده آنها به اندازه ی کافی امن نیستند، می بایست یک مورد جایگزین–  یا یک انتخاب جایگزین پیشنهاد دهند که در دامنه ی تمام وسایل مورد استفاده ی افراد سازمان کار کند.

 

5- آنها فایل های شرکت را در ذخیره گاه ابری (Cloud) شخصی بارگذاری می کنند

ترکیب کسب و کار با خوش گذرانی  همواره خطراتی در پی دارد (فارغ از موضوع بحث، این جمله ی مورد علاقه من است). موضوعات فناورانه نیز مستثنی نیستند. ذخیره ی فایل های شرکت در برنامه های شخصی اشتراک گذار فایل ها، نگرانی های فراوانی در این عصر بوجود آورده است. درحالی که برنامه های اشتراک فایل مانند دراپ باکس و گوگل درایو به ساده سازی ارتباط و کنترل نسخه ی اسناد مشترک کمک نموده است، این سرویس ها اغلب فاقد درگاه های امنیتی یا ویژگی های حسابرسی و انطباقی می باشند. به طور خلاصه آنها با هدف آسایش مصرف کننده در هسته خود ساخته شده اند.

یک کارمند ممکن است فایل های کاری را به یک برنامه ی شخصی اشتراک گذاری فایل بارگذاری کند، بنابراین قادر است بعد از ساعت ها یا در آخر هفته از راه دور کارهایش را انجام دهد. با وجود انگیزه های ستودنی فرد، این یک رفتار پرخطر محسوب می شود. انتخاب شتاب زده برای استفاده از یک راه حل، ممکن است سبب صرفه جویی چند ثانیه ای شود اما ذخیره گاه های ابری هزینه ی بسیار بیشتری برای کسب وکار در پی دارند. کارمندان می بایست بهترین علایق شرکت را در یاد داشته و در مورد پیامدهای بالقوه ی آن پایبند باشند.

 

6- آنها بعد از تغییر شغل نیز به داده های شرکت دسترسی دارند

وقتی یک کارمند استعفا داده یا موقعیت شغلی او حذف می شود، اولین قدمی که یک کسب و کار می بایست برای  حفظ خود بردارد شناسایی و ابطال فوری دسترسی کارمند به تمام سکوها و برنامه های تحت وب می باشد. تحقیقات نشان داده اند که بعد از ترک شرکت، 89 درصد کارمندان هنوز به حداقل یک برنامه یا اطلاعات اختصاصی شرکت دسترسی دارند.

افراد همچنین هنگام جابجایی در درون سازمان و ایفای نقش های متفاوت  نیاز به دسترسی به برنامه های متفاوت  خواهند داشت. شرکت ها می بایست یک فرایند قدرتمند برای تازه واردین، جابجا شونده ها، و خروجی ها توسعه دهد تا از امنیت داده های شرکت در برابر دسترسی بدون مجوز اطمینان حاصل نماید.

 

7- آنها به اندازه ی کافی مراقب ایمیل ها نیستند

بیشتر افراد معرفی تلفن نزدیکان برای موقع ضروری یا دستور ” پاسخ به همه” را تجربه نموده اند، حتی اگر مایل به قبول آن نباشند. یک کلیک اشتباه ماوس می تواند منجر به اشتراک اطلاعات با یک دریافت کننده ی ناخواسته شود و –حتی بدتر از آن— کل سازمان را با قرار دادن اطلاعات فوق محرمانه در دستان یک شخص اشتباه به خطر بیندازد. زمانیکه ایمیل شما به صورت خودکار جوابی را مبنی بر اینکه شما تا فلان تاریخ در سفر هستید و یا معرفی شماره دوستتان برای موقع ضروری میدهد، اتفاق های خطرناکی را در اختیار افراد سودجو قرار میدهد. این نوع از اشتباهات اکنون به سرویس های اشتراک فایل هم سرایت نموده است. اشتباه فاحش مدرن، اعطای دسترسی یا اشتراک تصادفی فایل ها با افراد اشتباه از طریق سرویس هایی مانند دراپ باکس و گوگل درایو می باشد.

تمام نفوذها به داده ها یا تهدیدات مجازی قابل پیشگیری نیستند. اما کسب و کاری که نیروی کار خود را با آموزش و ابزار مناسب جهت شکستن عادات بد مجهز می کند قادر به اجرای عملیات با اطمینان بیشتر و سبب ایمن تر شدن شرکت و داده های آن می شود.

0 پاسخ

دیدگاه خود را ثبت کنید

Want to join the discussion?
Feel free to contribute!

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *