Digitální profil organizace. Na co při údajích firmy dávat pozor?

01.02.2021

Digitální doba přináší množství možností, ale i nástrah. Nejen v prostředí běžného digitálního života jednotlivých uživatelů, ale i digitální prezentace podnikatelských subjektů. Profily společností a jejich zaměstnanců slouží čím dál častěji jako cenný zdroj informací pro hackerů, kteří chtějí firmu okrást o zdroje, či know-how. Jak to dělají a na co si dávat pozor? 

Digitální profil

Cokoliv o sobě pracovník firmy ve virtuálním prostředí ve volném nebo pracovním čase napíše, a to už kdekoliv - na sociálních sítích, v emailech, online dotaznících, či profesionálních profilech - slouží jako dílek velkého puzzle, z kterého dokáže útočník rozpoznat slabé a citlivé stránky oběti, v tomto případě firmy. 

Open-source intelligence je všeobecné označení pro komplex metod, kterými útočníci ve virtuálním prostředí shromažďují informace o jejich cíli tak, aby získali profil, díky kterému dokážou oběť obrat o finance, nebo jinou cennou kořist - například know-how. 

Z toho co o sobě uživatelé zveřejňují na internetu je nejednou možné zjistit jejich bydliště, zaměstnavatele, místo pracoviště, ale i pracovní režim, či dokonce detaily o některých pracovních procesech. 

Není výjimečné, že uživatelé na své profesionální nebo soukromé profily nahrají fotografie, ve kterých je možné vidět, jaký interní software firma používá, jaké používá fyzické nebo virtuální zabezpečovací systémy či způsoby přihlašování do firemních systémů. V extrémních případech se uživatelé na sociální sítě fotí například s přístupovými kartami zaměstnavatele na krku. Neuvědomují si přitom, že útočník při rozboru fotografie dokáže zjistit nejen údaje zaměstnance a vydavatele karty, ale i pravděpodobné ověřovací klíče přístupu. 

Častou chybou je také neoddělování soukromé a profesionální digitální stopy. Pracovníci, ale i manažeři či vedení firem používá firemní emailové adresy či stejné přihlašovací údaje i v soukromých digitálních aktivitách - například při přihlašování se k newsletteru, na sociálních sítích či při označování účasti na eventech.  

V extrémních případech se uživatelé na sociální sítě fotí například s přístupovými kartami zaměstnavatele na krku. Neuvědomují si přitom, že útočník při rozboru fotografie dokáže zjistit nejen údaje zaměstnance a vydavatele karty, ale i pravděpodobné ověřovací klíče přístupu. 

Bezpečnostní hrozby především pro firmy

Digitální profil si však nejednou nedbale vytvářejí i samotné společnosti. Často podceňují citlivost údajů prezentovaných v rámci marketingových obsahů. Nejednou v prezentaci prozrazují detaily jejich pracovních postupů či prostředí, v nichž pracují. Údaje jsou dostupné na zveřejněných fotografiích, či v PR zprávách, kde se prozrazují firemní softwarová řešení a stav rozpracovaných projektů. 

Společnosti někdy podceňují rizika útoků v podobě externích přístupů. Například na pohovorech či stážích nejednou zpřístupňují interní soubory a databáze i externím uživatelům, které nemají nijak prověřené a nejednou je už nikdy neuvidí. 

Metodou open-source inteligence si tak útočník připraví detailní profil firmy, na kterou pak zacílí útok. Může od ní žádat výkupné, vydírat ji, připravit ji o peníze z firemních účtů, nebo získat know-how a další údaje, kterými vytvoří nátlak na další subjekty.

7 zásad pro bezpečný digitální profil: 

1. Co nejméně údajů

Na internetu nezveřejňujte osobní a firemní údaje, které nejsou nutné. 

2. Omezený rozsah údajů

Neposkytujte komplexní informace. Pokud představujete výsledky projektu, neprozrazujte, jak a kde byl vytvořený. Pokud prezentujete zisky, úspěch a majetky, neprozrazujte nic o tom, kde se nacházejí a jak jsou chráněné.

3. Nesdílet bezpečnostní údaje

Pozor na vzpomínané části vašich přihlašovacích jmen či hesel v dalších nickách na internetu. Pozor na fotografie, ze kterých je možné vyčíst nástroje a režimy ochrany (bezpečnostní kamery, antivirový program).

4. Nezpřístupňovat systémy nepovolaným

Nepouštějte “lidi z venku” do interních firemních systémů bez prověření jejich identity. Nepouštějte je ani ke zdánlivě neškodným přístupům do firemní počítačové sítě.

5. Nepropojovat soukromí s firemními údaji

Oddělte svoje soukromé obsahy od těch firemních. Nezveřejňujte detaily o tom, kde pracujete a co děláte na stejných místech, kde prezentujete vaše soukromí. Nepoužívejte firemní údaje při soukromích aktivitách.  

6. Dbát na datovou hygienu

Čistěte údaje vašich databází. Pokud jste byli přihlášeni v sociální síti, ale už ji nepoužíváte, požádejte o výmaz vašich údajů. Pokud disponujete mailovou službou, kterou nepoužíváte, vymažte ji. 

7. Oddělit PR a citlivé informace 

Při firemní prezentaci prezentujte jen nutné detaily o pracovním prostředí a režimech. Při prezentaci úspěchů nepůsobte levně a zbohatlicky. Toto jednání útočníky láká.

Pokud nevíte jak na to, kontaktujte nás

Mohlo by vás zajímat

Ochrana dat v době koronavirové. 7 rad jak sdílet práci bezpečně

V čase pokračujícího se šíření koronavirové pandemie ve světě přechází ekonomika výraznými změnami. Firmy, které neomezili svou činnost, přenášejí pracovní úlohy na členy týmů v home office režimu. 

Život v datech. Jak na ochranu údajů v počítači?

Počítač je dnes běžným průvodcem člověka po celý den. Velmi často je pracovním nástrojem, mostem mezi přáteli, zprostředkovatelem významných sdělení, pomocníkem při domácích pracích, či partnerem pro volný čas.

Mobilní bezpečnost – víme jak na ni

Počty mobilních zařízení typu smartphone a tablet se každoročně zvyšují. Ztráta, nebo odcizení nezajištěného mobilního zařízení s citlivými firemními údaji představuje vážné riziko pro každou společnost.

Více informací o informační bezpečnosti