Digitálny profil organizácie. Na čo pri údajoch firmy dávať pozor?
25.01.2021
Digitálna doba prináša množstvo možností, ale aj nástrah. Nielen v prostredí bežného digitálneho života jednotlivých užívateľov, ale aj digitálnej prezentácie podnikateľských subjektov. Profily spoločností a ich zamestnancov slúžia čoraz častejšie ako cenný zdroj informácií pre hackerov, ktorí chcú firmu okradnúť o zdroje, či know-how. Ako to robia a na čo si dávať pozor?
digitálny profil
Čokoľvek o sebe pracovník firmy vo virtuálnom prostredí vo voľnom alebo pracovnom čase napíše, a to už kdekoľvek - na sociálnych sieťach, v emailoch, online dotazníkoch, či profesionálnych profiloch - slúži ako dielik veľkého puzzle, z ktorého dokáže útočník rozpoznať slabé a citlivé stránky obete, v tomto prípade firmy.
Open-source intelligence je všeobecné označenie pre komplex metód, ktorými útočníci vo virtuálnom prostredí zhromažďujú informácie o ich cieli tak, aby získali profil, vďaka ktorému dokážu obeť obrať o financie, alebo inú cennú korisť - napríklad know-how.
Z toho čo o sebe užívatelia zverejňujú na internete je neraz možné zistiť ich bydlisko, zamestnávateľa, miesto pracoviska, ale aj pracovný režim, či dokonca detaily o niektorých pracovných procesoch.
Nie je výnimočné, že užívatelia na svoje profesionálne alebo súkromné profily nahrajú fotografie, v ktorých je možné vidieť, aký interný softvér firma používa, aké používa fyzické alebo virtuálne zabezpečovacie systémy či spôsoby prihlasovania do firemných systémov. V extrémnych prípadoch sa užívatelia na sociálne siete fotia napríklad s prístupovými kartami zamestnávateľa na krku. Neuvedomujú si pritom, že útočník pri rozbore fotografie dokáže zistiť nielen údaje zamestnanca a vydávateľa karty, ale aj pravdepodobné overovacie kľúče prístupu.
Častou chybou je aj neoddeľovanie súkromnej a profesionálnej digitálnej stopy. Pracovníci, ale aj manažéri či vedenie firiem používa firemné emailové adresy či rovnaké prihlasovacie údaje aj v súkromných digitálnych aktivitách - napríklad pri prihlasovaní sa k newslettrom, na sociálnych sieťach či pri označovaní účasti na eventoch.
V extrémnych prípadoch sa užívatelia na sociálne siete fotia napríklad s prístupovými kartami zamestnávateľa na krku. Neuvedomujú si pritom, že útočník pri rozbore fotografie dokáže zistiť nielen údaje zamestnanca a vydávateľa karty, ale aj pravdepodobné overovacie kľúče prístupu.
bezpečnostné hrozby najmä pre firmy
Digitálny profil si však neraz nedbalo vytvárajú aj samotné spoločnosti. Často podceňujú citlivosť údajov prezentovaných v rámci marketingových obsahov. Neraz v prezentácii prezrádzajú detaily ich pracovných postupov či prostredí, v ktorých pracujú. Údaje sú dostupné na zverejnených fotografiách, či v PR správach, kde sa prezrádzajú firemné softvérové riešenia a stav rozpracovaných projektov.
Spoločnosti niekedy podceňujú aj riziká útokov v podobe externých prístupov. Napríklad na pohovoroch či stážach neraz sprístupňujú interné súbory a databázy aj externým používateľom, ktorých nemajú nijako preverených a neraz ich už nikdy neuvidia.
Metódou open-source inteligence si tak útočník pripraví detailný profil firmy, na ktorú potom zacieli útok. Môže od nej žiadať výkupné, vydierať ju, pripraviť ju o peniaze z firemných účtov, alebo získať know-how a ďalšie údaje, ktorými vytvorí nátlak na ďalšie subjekty.
7 zásad pre bezpečný digitálny profil:
1. Čo najmenej údajov
Na internete nezverejňujte osobné a firemné údaje, ktoré nie sú nutné.
2. Obmedzený rozsah údajov
Neposkytujte komplexné informácie. Ak predstavujete výsledky projektu, neprezrádzajte ako a kde bol vytvorený. Ak prezentujete zisky, úspech a majetky, neprezrádzajte nič o tom, kde sa nachádzajú a ako sú chránené.
3. Nezdieľať bezpečnostné údaje
Pozor na spomínanie časti vašich prihlasovacích mien či hesiel v ďalších nickoch na internete. Pozor na fotografie, z ktorých možno vyčítať nástroje a režimy ochrany (bezpečnostné kamery, antivírusový program).
4. Nesprístupňovať systémy nepovolaným
Nepúšťajte “ľudí z vonku” do interných firemných systémov bez preverenia ich identity. Nepúšťajte ich ani k zdanlivo neškodným prístupom do firemnej počítačovej siete.
5. Neprepájať súkromie s firemnými údajmi
Oddeľte svoje súkromné obsahy od tých firemných. Nezverejňujte detaily o tom, kde pracujete a čo robíte na tých istých miestach, kde prezentujete vaše súkromie. Nepoužívajte firemné údaje pri súkromných aktivitách.
6. Dbať na dátovú hygienu
Čistite údaje vašich databáz. Ak ste boli prihlásení v sociálnej sieti, ale už ju nepoužívate, požiadajte o výmaz vašich údajov. Ak disponujete mailovou službou, ktorú nepoužívate, vymažte ju.
7. Oddeliť PR a citlivé informácie
Pri firemnej prezentácii prezentujte iba nutné detaily o pracovnom prostredí a režimoch. Pri prezentácii úspechov nepôsobte lacno a zbohatlícky. Toto správanie útočníkov láka.