Digitálny profil organizácie. Na čo pri údajoch firmy dávať pozor?

25.01.2021

Digitálna doba prináša množstvo možností, ale aj nástrah. Nielen v prostredí bežného digitálneho života jednotlivých užívateľov, ale aj digitálnej prezentácie podnikateľských subjektov. Profily spoločností a ich zamestnancov slúžia čoraz častejšie ako cenný zdroj informácií pre hackerov, ktorí chcú firmu okradnúť o zdroje, či know-how. Ako to robia a na čo si dávať pozor? 

digitálny profil

Čokoľvek o sebe pracovník firmy vo virtuálnom prostredí vo voľnom alebo pracovnom čase napíše, a to už kdekoľvek - na sociálnych sieťach, v emailoch, online dotazníkoch, či profesionálnych profiloch - slúži ako dielik veľkého puzzle, z ktorého dokáže útočník rozpoznať slabé a citlivé stránky obete, v tomto prípade firmy. 

Open-source intelligence je všeobecné označenie pre komplex metód, ktorými útočníci vo virtuálnom prostredí zhromažďujú informácie o ich cieli tak, aby získali profil, vďaka ktorému dokážu obeť obrať o financie, alebo inú cennú korisť - napríklad know-how. 

Z toho čo o sebe užívatelia zverejňujú na internete je neraz možné zistiť ich bydlisko, zamestnávateľa, miesto pracoviska, ale aj pracovný režim, či dokonca detaily o niektorých pracovných procesoch. 

Nie je výnimočné, že užívatelia na svoje profesionálne alebo súkromné profily nahrajú fotografie, v ktorých je možné vidieť, aký interný softvér firma používa, aké používa fyzické alebo virtuálne zabezpečovacie systémy či spôsoby prihlasovania do firemných systémov. V extrémnych prípadoch sa užívatelia na sociálne siete fotia napríklad s prístupovými kartami zamestnávateľa na krku. Neuvedomujú si pritom, že útočník pri rozbore fotografie dokáže zistiť nielen údaje zamestnanca a vydávateľa karty, ale aj pravdepodobné overovacie kľúče prístupu. 

Častou chybou je aj neoddeľovanie súkromnej a profesionálnej digitálnej stopy. Pracovníci, ale aj manažéri či vedenie firiem používa firemné emailové adresy či rovnaké prihlasovacie údaje aj v súkromných digitálnych aktivitách - napríklad pri prihlasovaní sa k newslettrom, na sociálnych sieťach či pri označovaní účasti na eventoch. 

V extrémnych prípadoch sa užívatelia na sociálne siete fotia napríklad s prístupovými kartami zamestnávateľa na krku. Neuvedomujú si pritom, že útočník pri rozbore fotografie dokáže zistiť nielen údaje zamestnanca a vydávateľa karty, ale aj pravdepodobné overovacie kľúče prístupu. 

bezpečnostné hrozby najmä pre firmy

Digitálny profil si však neraz nedbalo vytvárajú aj samotné spoločnosti. Často podceňujú citlivosť údajov prezentovaných v rámci marketingových obsahov. Neraz v prezentácii prezrádzajú detaily ich pracovných postupov či prostredí, v ktorých pracujú. Údaje sú dostupné na zverejnených fotografiách, či v PR správach, kde sa prezrádzajú firemné softvérové riešenia a stav rozpracovaných projektov.

Spoločnosti niekedy podceňujú aj riziká útokov v podobe externých prístupov. Napríklad na pohovoroch či stážach neraz sprístupňujú interné súbory a databázy aj externým používateľom, ktorých nemajú nijako preverených a neraz ich už nikdy neuvidia. 

Metódou open-source inteligence si tak útočník pripraví detailný profil firmy, na ktorú potom zacieli útok. Môže od nej žiadať výkupné, vydierať ju, pripraviť ju o peniaze z firemných účtov, alebo získať know-how a ďalšie údaje, ktorými vytvorí nátlak na ďalšie subjekty. 

7 zásad pre bezpečný digitálny profil: 

1. Čo najmenej údajov

Na internete nezverejňujte osobné a firemné údaje, ktoré nie sú nutné. 

2. Obmedzený rozsah údajov

Neposkytujte komplexné informácie. Ak predstavujete výsledky projektu, neprezrádzajte ako a kde bol vytvorený. Ak prezentujete zisky, úspech a majetky, neprezrádzajte nič o tom, kde sa nachádzajú a ako sú chránené.

3. Nezdieľať bezpečnostné údaje

Pozor na spomínanie časti vašich prihlasovacích mien či hesiel v ďalších nickoch na internete. Pozor na fotografie, z ktorých možno vyčítať nástroje a režimy ochrany (bezpečnostné kamery, antivírusový program).

4. Nesprístupňovať systémy nepovolaným

Nepúšťajte “ľudí z vonku” do interných firemných systémov bez preverenia ich identity. Nepúšťajte ich ani k zdanlivo neškodným prístupom do firemnej počítačovej siete.

5. Neprepájať súkromie s firemnými údajmi

Oddeľte svoje súkromné obsahy od tých firemných. Nezverejňujte detaily o tom, kde pracujete a čo robíte na tých istých miestach, kde prezentujete vaše súkromie. Nepoužívajte firemné údaje pri súkromných aktivitách.  

6. Dbať na dátovú hygienu

Čistite údaje vašich databáz. Ak ste boli prihlásení v sociálnej sieti, ale už ju nepoužívate, požiadajte o výmaz vašich údajov. Ak disponujete mailovou službou, ktorú nepoužívate, vymažte ju. 

7. Oddeliť PR a citlivé informácie 

Pri firemnej prezentácii prezentujte iba nutné detaily o pracovnom prostredí a režimoch. Pri prezentácii úspechov nepôsobte lacno a zbohatlícky. Toto správanie útočníkov láka.

Ak neviete ako na to, kontaktujte nás

Mohlo by vás zaujímať

Heslo ako prvá možnosť ochrany

Vedeli ste, že každých 39 sekúnd prebehne hackerský útok, že za jedinú minútu sa ukradne viac ako 2600 osobných záznamov, a že kyberzločinci získavajú viac peňazí ako z obchodu s drogami?

Ochrana dát v dobe koronavírusovej. 7 rád ako zdieľať prácu bezpečne

V čase pokračujúceho sa šírenia koronavírusovej pandémie vo svete prechádza ekonomika výraznými zmenami. Firmy, ktoré neobmedzili svoju činnosť, prenášajú pracovné úlohy na členov tímov v home office režime. 

Zákon o kybernetickej bezpečnosti a firmy

Notebook, smart telefón, ale aj hodinky, náramok, či domáci spotrebič. Inteligentné technológie nie sú iba súčasťou pracovného života. Dnes nahrádzajú peňaženky, či doklady. 

Viac informácií o informačnej bezpečnosti