Przestępcy ciągle znajdują nowe sposoby na to, by zdobyć poufne informacje dotyczące firm. W kręgu ich zainteresowania leży wszystko, co może ułatwić kradzież danych osobowych, marketingowych, finansowych oraz strategicznych, a także fizycznej własności przedsiębiorstwa takiej jak urządzenia i maszyny czy sprzęt komputerowy.
Hakerzy pracują nad uzyskaniem jak największej wiedzy na temat zabezpieczeń stosowanych w firmach (szyfry, kody, alarmy), ale równie cenne są dla nich zwyczaje pracowników oraz harmonogramy pracy, które dają im informacje o tym, kiedy w siedzibie firmy jest pusto. Niestety nawet najlepsze i najnowocześniejsze zabezpieczenia nic nie dadzą, jeśli zawiedzie czynnik ludzki. A najczęściej to właśnie pracownicy są głównym źródłem informacji dla przestępców. Przyjrzyjmy się bliżej kilku najpopularniejszym strategiom działania cyberprzestępców.
1. Socjotechnika
Specjaliści w zakresie ochrony zapewniają, że najsłabszym ogniwem systemu bezpieczeństwa w firmie jest zawsze człowiek. To od pracowników przestępcy wydobywają podstępem cenne informacje, które później zapewniają im pole do szerszego działania. Socjotechnika, czyli inżynieria społeczna ma na celu wkupienie się w łaski pracowników, wzbudzenie ich zaufania i uśpienie czujności do tego stopnia, żeby zaczęli powoli jedna po drugiej dobrowolnie zdradzać poufne informacje na temat przedsiębiorstwa, w którym pracują.
Firmy chcąc uczulić swoich pracowników, aby nie wynosili informacji na zewnątrz, coraz częściej w umowie o pracę zawierają klauzulę poufności. Niestety badania pokazują, że pomiędzy pracownikami, którzy taki dokument podpisali, a tym, których pracodawca go nie sporządził, jest naprawdę niewielka. Zarówno jedni i drudzy poddani wyszukanym technikom zdobywania informacji, potrafią zdradzić naprawdę wiele. Czasami robią to zupełnie nieświadomie, nie zdając sobie sprawy ze stopnia szkodliwości swoich działań. Dobrym rozwiązaniem tego problemu są prowadzone w coraz większej ilości firm szkolenia z zakresu zapobiegania wyciekowi danych. Poruszane są na nich również kwestie związane z głównym narzędziem wykorzystywanym przez przestępców, czyli socjotechniką.
2. Podszywanie się pod pracowników firmy
Trudno uwierzyć, że w dobie elektronicznych kart wstępu do firm i identyfikatorów, fizyczne wtargnięcie nieuprawnionej osoby do biura, czy hali produkcyjnej jest w ogóle możliwe. A jednak takie sytuacje zdarzają się nadal bardzo często. Tutaj znowu działania przestępców wcale nie opierają się na żadnych wyszukanych metodach, podrabianych identyfikatorach i tym podobnych. Słabym ogniwem jest ponownie człowiek. Z reguły obce osoby chcące dostać się do firmy, podszywają się pod różnego rodzaju pracowników technicznych takich jak hydraulik, złota rączka czy służby sprzątające. Po prostu pukają do drzwi mówiąc, że zostały wezwane do cieknącego kranu w łazience lub, że są nową osobą sprzątającą pomieszczenia i nie mają jeszcze karty wstępu. Pracownicy bardzo rzadko sprawdzają faktyczną tożsamość takich osób. Najczęściej są one wpuszczane bez żadnych podejrzeń do siedziby firmy i mogą ze spokojem zapoznać się z rozkładem pomieszczeń, szybów wentylacyjnych, systemem pracy, a niekiedy nawet podejrzeć hasła do programów komputerowych pod pozorem sprzątania biurek.
Tego typu fizycznym wtargnięciom można zapobiec, wprowadzając jasne zasady przebywania takich pracowników na terenie przedsiębiorstwa i zapoznając z nimi wszystkich zatrudnionych. Najskuteczniejsze jest wyznaczenie konkretnych osób odpowiedzialnych za wpuszczanie do budynku petentów czy pracowników nieposiadających identyfikatorów. Powinni oni przy wpuszczaniu do budynku być legitymowani i wpisywać się do księgi wejść. Oczywiście bardzo pomocny może okazać się również monitoring wizyjny w firmie. Dzięki kamerom monitorującym przy wejściach do firmy odstraszymy część przestępców, ponieważ będą się oni obawiać łatwej identyfikacji, gdy przestępstwo wyjdzie na jaw.
3. Serwisy społecznościowe
Pierwszym krokiem przestępców jest zwykle wizyta na firmowej stronie internetowej, która często jest bogatym źródłem cennych informacji o firmie. Jednak to tylko początek bowiem oczywiste jest, że nie znajdą tam informacji poufnych. Ich doskonałym źródłem mogą być natomiast serwisy społecznościowe takie jak Facebook czy Instagram. Przydatne może okazać się wszystko – zdjęcia z imprez integracyjnych, firmowej Wigilii, relacje z wyjazdów służbowych, a także bardzo popularna geolokalizacja. Zwyczaje konkretnych osób w firmie stanowią bardzo cenne informacje, na których można oprzeć dalsze działania przestępcze. Mało kto bierze to pod uwagę. Niestety zbyt często wykorzystujemy prywatne media społecznościowe do ujawnianie informacji związanych z naszym miejscem pracy. Uważajmy, co robimy, ponieważ z pewnością wielu pracodawcom się to nie spodoba i mogą wyciągnąć wobec nas daleko idące konsekwencje.
4. Wizja lokalna i analiza śmieci
Ciągle zbyt pobłażliwie podchodzimy do firmowych śmieci i zwyczajów pracowników z nimi związanych. Nawet w 80% firm, w których znajdują się ogólnodostępne niszczarki ma problem z wyciekaniem informacji poufnych na nieodpowiednio zniszczonych dokumentach. Z reguły są one po prostu przedzierane przez pracowników na pół, a niekiedy tylko zgniatane i wyrzucane do kosza. Na śmietniku przestępcy znajdują loginy i hasła dostępów do komputerów pracowniczych, kody do drzwi, dokumenty księgowe, a nawet pomimo zaostrzonych przepisów RODO dane kandydatów do pracy, pracowników oraz kontrahentów, czy faktury i wygasłe umowy. Zadbajmy więc o odpowiednie przeszkolenie pracowników w zakresie obiegu dokumentów w firmie oraz procedury ich niszczenia. To kluczowy element bezpieczeństwa danych poufnych.
5. Wykorzystywanie braku zasad bezpieczeństwa w firmach
Jasno ustalone zasady dotyczące wszystkich aspektów bezpieczeństwa w firmie to konieczność. Nie chodzi wyłącznie o wejścia i wyjścia z budynku, czy sposób niszczenia poufnych danych, ale również kwestie dotyczące rozmów telefonicznych oraz korespondencji mailowej. Tymi dwoma kanałami przestępcy najczęściej docierają do pracowników firmy i podszywając się pod kogoś (przykładowo pracownika tej samej firmy z filii w innym mieście) wyłudzają poufne dane.
Pracownicy powinni wiedzieć, że firmowa skrzynka nie służy do obsługi prywatnej korespondencji oraz że na komputerze w pracy nie logujemy się do serwisów społecznościowych. Niezbędne jest również ustanowienie procedur działania w przypadku otrzymania dziwnej, budzącej wątpliwości korespondencji lub telefonu. Niestety często pracownicy nie wiedzą, jak zareagować na próbę wyłudzenia danych i komu należy zgłosić swoje podejrzenia.
Unikniemy wycieku wrażliwych danych z firmy, jeśli będziemy działać kompleksowo. Fizyczne zabezpieczenia w postaci kart dostępu, monitoringu i ochrony są oczywiście bardzo ważne, niezwykle istotne są też jasno ustalone zasady, jednak nic nie zastąpi cyklicznych szkoleń pracowników w zakresie zasad bezpieczeństwa. Powinna je przejść każda nowo zatrudniona osoba, a dodatkowo zadbajmy o cykliczne ich powtarzanie dla wszystkich naszych pracowników przynajmniej raz do roku. Warto w nie zainwestować, ponieważ wyciek danych może narazić firmę na ogromne starty finansowe.