לעובדים יש דרכים מוזרות לחשוף נתונים בטעות. זה יכול להיות שימוש במשקפיים, זריקה לא מבוקרת של מדפסות ועוד.
לא פעם מזהירים עובדים מפני סיכוני דיוג, הונאות אינטרנט שנוגעות לגניבת מידע רגיש. איום מעין זה יכול לבוא לידי ביטוי ע"י גניבת אישורים, שימוש בסיסמאות חלשות ועוד. העובדים אינם מבינים שללא כוונה הם עשויים להציב את העסק בפני סכנה, במיוחד לנוכח העובדה שהנושא אינו מספיק מסוקר. לרשותכם 7 דרכים בלתי צפויות (ואף מוזרות) שבאמצעותן העובדים עלולים לחשוף נתונים, אם כי לצד עצות ייעול כמובן.
- השתקפות
כאשר עובדים משתתפים בפגישת זום בעודם נעזרים במשקפיים, תוך כדי הפגישה הם עשויים לבחון מידע רגיש שנמצא על גבי מסך סמוך. אותו מידע עשוי להשתקף בעדשות המשקפיים, כך מי שמחפש להשיג מידע בדרכים עקיפות, עשוי לנצל זאת. ניסוי בתחום מחזק זאת. מצביע על כך שאפשרי לשחזר למעלה מ75% מהטקסט, ואף בדיוק מרשים. מהו אם כן הפתרון? שימוש בתוכנה שמסייעת לטשטש אז אזור המשקפיים.
- עדכון סטטוס בלינקדאין
רבים שמוצאים תפקיד חדש, ממהרים לעדכן את הפרופיל בלינקדאין. משתפים לגבי ניסיון, מקום עבודה, תפקיד וכדומה. לכאורה, פעולה לא מזיקה. בפועל, מי שמכוון להתקפת דיוג, מאתר מספרי טלפון ולאחר מכן שולח הודעת דיוג, תוך התחזות למנהל בכיר בחברה. מהלך שכזה עשוי לחשוף מידע רגיש, סיסמאות וכדומה. על מנת להתמודד עם כך ארגונים רבים הפסיקו להצהיר על עובדים חדשים בלינקדאין, ואף מבקשים מהעובדים החדשים להגביל פוסטים בנושא. כמו כן, מומלץ להעניק לעובדים כלים שמסייעים להסיר פרטים אישיים ממגוון אתרים רלוונטיים.
- שיתוף תמונות ברשתות
שיתוף תמונות במדיה חברתית (כגון אינסטגרם, פייסבוק, ו-WhatsApp) עשוי לחשוף מידע רגיש. כיצד? אנשים אוהבים לצלם, אך נוטים לשכוח מהסביבה. הסביבה עשויה להכיל מידע רגיש, כגון מסמכים מסווגים שפתוחים על השולחן, סיסמאות על דפים, יישומים פתוחים במחשב וכדומה. מדובר במידע חסוי שעשוי להזין שלל התקפות סייבר, ולכן נדרש חינוך פנימי במקום העבודה.
- הקלדה שגויה
הקלדה שגויה של סקריפט עשויה להוביל לשימוש לקוי במסד הנתונים. חוקרי איומים מצאו שהקלדה שגויה של כתובת IP /כתובת URL מובילה לשימוש במסד נתונים שגוי. מצב שכזה מצריך לאפס מגוון תהליכי אבטחה, וזאת כדי להימנע מאירוע PII (חשיפת מידע רגיש שמאפשרת זיהוי אישי). כאשר נאלצים להתמודד עם כך על בסיס קבוע, עשויים להידרדר למצב בלתי הפיך מבחינת אבטחת מידע. לטובת התמודדות, נדרש למנף את היבט האימות של פרוטוקולי האבטחה, ואף לשפר את אסטרטגיית הזיהוי. כמו כן, מומלץ להעניק לשרתים שמות באופן שמסייע להבחין ביניהם.
- שימוש בחומרה פשוטה
שימוש פשוט ותמים ב USB (או בשאר גדג'טים מתקדמים) עשוי לפתוח דלת אחורית לתוקפי סייבר, עשוי לאפשר התקפות חומרה חמורות. ייתכן שאותן חומרות יכילו תוכנות זדוניות, ייתכן שהתקני USB נגועים בתולעי מחשב, ואפשר שמדובר במתקפת שרשרת אספקה ע"י שבבים זדוניים. במקרה זה זיהוי המתקפה נחשב קשה, אך אפשרי. רצוי להיעזר בניטור זרימת ביצועים של מגוון מכשירים, ורצוי להיעזר בפתרונות ניהול גישה מורשת (PAM), כאלו שבין היתר מסוגלים לחסום יציאות USB עבור משתמשים שאינם מחזיקים בקוד גישה מורשה.
- השלכה לא מבוקרת של מדפסות
לא מעט מדפסות משרדיות נזרקות מבלי שעצרו למחוק מהן סיסמאות Wi-Fi. מדובר בהתנהלות תמימה שעשויה להוביל לפגיעה קשה. כדי להימנע מכך מומלץ להצפין נתונים ובמקביל להקפיד על נהלי זריקה, כאשר אם נדרש לשחזר נתונים, הכרחי לעבור הליך רשמי.
- שליחת הודעות דוא"ל
עובדים רבים מעבירים מיילים עסקיים למייל הפרטי, ולו כדי להמשיך את העבודה בבית. מצב שכזה עשוי להוציא מידע רגיש מגבולות אבטחת העסק, ועל כן חיוני "לחנך בנושא" ובמקביל להטמיע בעסק בקרת הגנה מפני דליפות נתונים (DLP). הרעיון הוא לא להסתמך רק על בקרת תגובה, אלא להשקיע גם בבקרת מניעה.
