Darbinieki bieži tiek brīdināti par datu izpaušanas riskiem, kas saistīti ar, piemēram, pikšķerēšanu, kontu pārņemšanu un vāju paroļu lietošanu. Tomēr, pat nenojaušot, viņi var nopludināt vai izpaust sensitīvu informāciju par sevi, savu darbu vai organizāciju. Šis risks bieži netiek aplūkots kiberdrošības izpratnes veicināšanas apmācībās, tādējādi darbinieki aizmirst par riskiem, ko viņi var radīt datu drošībai, kurus, ja tie tiek izpausti, var izmantot gan tieši, gan netieši, lai ļaunprātīgi uzbruktu darbiniekiem un uzņēmumiem.
Šeit ir astoņi neparasti, negaidīti un salīdzinoši dīvaini veidi, kā darbinieki var nejauši izpaust datus, kā arī padomi, kā novērst un mazināt ar tiem saistītos riskus.
1. Briļļu stikla atspīdumi atklāj ekrāna datus videokonferenču zvanos
Videokonferenču platformas, piemēram, Zoom un Microsoft Teams, ir kļuvušas par attālinātā/hibrīdā darba pamatu. Tomēr jaunos akadēmiskajos pētījumos ir atklāts, ka videokonferenču dalībniekiem var rasties risks nejauši atklāt informāciju no savu briļļu atspulgiem.
Kornela universitātes pētnieku grupa atklāja metodi, kā rekonstruēt ekrāna tekstu, kas videokonferenču laikā redzams caur dalībnieku briļļu un citu atstarojošu objektu ekrānā. Izmantojot matemātisko modelēšanu un eksperimentus ar cilvēkiem, pētījumā tika izpētīts, cik lielā mērā no tīmekļa kamerām noplūst atpazīstama tekstuāla un grafiska informācija, kas spīd no brillēm.
Pētījumā tika ierosināti tuvākajā laikā veicami preventīvie pasākumi, tostarp programmatūras prototips, ko lietotāji var izmantot, lai izpludinātu video pārraidēs redzamās briļļu zonas. Taču papildus tam, jebkurš cilvēks var pārdomāt vai no viņa brillēm vai apkārtējās vides netiek atspoguļots datora ekrāns.
2. LinkedIn karjeras atjauninājumi izraisa “jauno darbinieku SMS” pikšķerēšanas uzbrukumus
Vietnē LinkedIn ir ierasts, ka cilvēki, sākot pildīt jaunu amatu, publicē ziņas, atjauninot savu profilu, lai atspoguļotu jaunāko karjeras virzienu, pieredzi un darba vietu. Tomēr šī šķietami nekaitīgā darbība var radīt iespēju jaunajiem darbiniekiem kļūt par tā saukto “jauno darbinieku SMS” pikšķerēšanas uzbrukumu upuriem. Uzbrucēji šeit izpēta LinkedIn, meklējot paziņojumus par to, ka cilvēki uzsākuši darbu jaunā amatā un šo jauno darbinieku tālruņa numurus uz, kuriem sūta pikšķerēšanas īsziņas, izliekoties par uzņēmuma augstākā līmeņa vadītāju, mēģinot viņus apmānīt pirmajās nedēļās jaunajā darbā.
Lai izvairītos no šiem uzbrukumiem lielākā daļa organizāciju ir pārtraukušas paziņot par jaunajiem kolēģiem LinkedIn un iesaka pašiem darbiniekiem ierobežot ziņas par savām jaunajām amata vietām. Tāpat, lai mazinātu šo risku nepieciešams drošības komandām izglītot jaunos darbiniekus par šiem uzbrukumiem un ieteicams nodrošināt darbiniekus ar DeleteMe, lai dzēstu kontaktinformāciju no datu brokeru vietnēm.
3. Sociālo mediju, ziņapmaiņas lietotņu attēli atklāj sensitīvu fona informāciju
Lietotāji, iespējams, nesaista attēlu publicēšanu savos personīgajos sociālajos medijos un ziņapmaiņas lietotnēs ar risku sensitīvai organizācijai informācijai, taču, izmantojot tādas sociālās lietotnes kā Instagram, Facebook un WhatsApp, nejauša datu izpaušana ir ļoti reāls drauds.
Cilvēkiem patīk fotografēt, bet dažkārt viņi aizmirst par apkārtni. Tāpēc bieži vien uz galda var atrast konfidenciālus dokumentus, uz sienas – diagrammas, uz līmlapiņām – paroles, autentifikācijas atslēgas un atbloķētus ekrānus ar atvērtām lietojumprogrammām darbvirsmā. Visa šī informācija ir konfidenciāla un var tikt izmantota negodīgām darbībām.
Tomēr uzņēmumi nevar aizliegt darbiniekiem uzņemt un kopīgot fotoattēlus, taču tie var uzsvērt riskus un likt darbiniekiem apstāties un padomāt par to, ko viņi publicē.
4. Datu ievadīšanas skripta kļūdaina rakstīšana izraisa nepareizu datubāzes izmantošanu
Uzņēmuma WithSecure galvenais draudu un tehnoloģiju pētnieks Tom Van de Wiele stāsta, ka viņa komanda ir risinājusi dažus neparastus gadījumus, kad, vienkārši nepareizi ievadot IP adresi vai datu ievadīšanas skripta URL, tika izmantota nepareiza datu bāze.
Tāpēc Van de Wiele iesaka drošības komandām, ja iespējams, izmantot TLS autentifikāciju, tāpat arī atbalstīt stingru noteikumu, procesu, informētības un drošības kontroles ieviešanu attiecībā uz to, kā un kad izmantot ražošanas/pirmsprodukcijas/izmēģinājumu/testēšanas vidi.
Vēl viens noderīgs padoms ir nosaukt serverus tā, lai tos varētu atšķirt vienu no otra, nevis pārspīlēt ar saīsinājumiem.
5. “Nevainīga” USB aparatūra kļūst par rezerves durvīm uzbrucējiem
Darbinieki, iespējams, vēlas iegādāties un izmantot savu aparatūru, piemēram, USB ventilatorus vai lampas kopā ar uzņēmuma klēpjdatoriem, taču šos šķietami nevainīgos sīkrīkus var izmantot kā rezerves durvis lietotāja ierīcē un plašākā uzņēmuma tīklā. Šādiem uzbrukumiem aparatūrai parasti ir trīs galvenie uzbrukuma vektori:
- Ļaunprātīgi izstrādāta aparatūra, kad ierīcēs ir iepriekš instalēta ļaunprātīga programmatūra (viens no piemēriem ir BadUSB).
- Inficēšanās ar tārpiem, ko dēvē arī par replikāciju, izmantojot noņemamus datu nesējus, kad USB ierīces tiek inficētas ar tārpiem, piemēram, USBferry un Raspberry Robin.
- Apdraudētas aparatūras piegādes ķēdes, kur likumīgā aparatūrā tiek instalēta slikta programmatūra vai mikroshēmas.
Šāda veida uzbrukumu atklāšana ir sarežģīta, taču antivīrusu un endpoint atklāšana un reaģēšana uz tiem dažos gadījumos var aizsargāt pret apdraudējumiem.
6. Izmesti biroja printeri piedāvā Wi-Fi paroles
Kad vecais biroja printeris pārstāj darboties vai tiek nomainīts ar jaunāku modeli, darbiniekiem var piedot, ka viņi to vienkārši izmet otrreizējai pārstrādei. Bet, ja tas tiek darīts, pirms tam neizdzēšot datus, piemēram, Wi-Fi paroles, tas var radīt risku, ka organizācija var tikt pakļauta datu apdraudējumam.
Ieteicams šifrēt datus atpūtas un lietošanas/pārvadāšanas laikā un nodrošināt autentifikācijas procesu, lai aizsargātu atšifrēšanas atslēgu end-point ierīcēm kopumā vai gala iekārtās, kuras plānots utilizēt tomēr nodzēst visus datus.
8. Uz personīgajiem kontiem nosūtītie e-pasti nopludina korporatīvo un klientu informāciju
SafeBreach CISO Avishai Avivi stāsta par incidentu, kad darbinieka apmācības nolūkos nosūtīta nekaitīga e-pasta vēstule gandrīz noveda pie datu, tostarp klientu personas kodu, izpaušanas.
“Jauno darbinieku apmācības ietvaros apmācības komanda paņēma īstu izklājlapu, kurā bija klientu personas kodi, un vienkārši paslēpa kolonnas, kurās bija visi sensitīvie dati. Pēc tam viņi nosūtīja šo modificēto izklājlapu jaunajiem kolēģiem. Kāds no darbiniekiem vēlējās turpināt mācības mājās un vienkārši nosūtīja izklājlapu pa e-pastu uz savu personīgo e-pasta kontu,”
Stāsta Avishai.
Par laimi, uzņēmumā bija reaktīva datu noplūdes aizsardzības (data leak protection – DLP) kontrole, kas uzraudzīja visus darbinieku e-pastus, un tā konstatēja, ka pielikumā ir vairāki personas kodi. Tika bloķēts e-pasts un brīdināts SOC. Tomēr tas kalpo kā atgādinājums, ka sensitīva informācija var tikt atklāta pat vispatiesākās un labprātīgākās darbībās.
Tā vietā, lai paļautos uz reaģējošām kontrolēm, vajadzīgs ieviest labākas datu klasifikācijas preventīvās kontroles, kas norādītu uz reālu personas kodu pārvietošanu no ražošanas vides uz datni mācību nodaļā.
