روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ کار کردن با فریلسنرها برای بسیاری از مدیران به روتین تبدیل شده است. حتی در یک سازمان بزرگ نیز همهی تسکها را هم نمیتوان داخل تیم حل کرد؛ تازه این را هم نگوییم که کسب وکارهای کوچک که معمولاً نمیتوانند هزینه استخدام کارمند تمام وقت دیگر را تقبل کنند. اما ارتباط دادن یک عامل خارجی با جریان کاری دیجیتال میتواند همچنین ریسکهای سایبری اضافی را افزایش دهد؛ خصوصاً وقتی دارید بدون آژانس واسطه با فرد مستقیماً کار میکنید. در ادامه با ما همراه شوید تا توضیح دهیم چطور میشود با فریلسنرها کار کنید و در عین حال از خطرات سایبری نیز مصون بمانید.
خطراتی که ایمیلهای دریافتی را تهدید میکنند
ابتدا باید به همه تهدیدهای احتمالی موقع گشتن به دنبال یک فریلسنر مطمئن و درست فکر کنید. نباید بدون اینکه به رزومه فرد نگاهی کنید اقدام استخدام کردنش نمایید. یک فریلسنر میتواند داکیومنت، آرشیوی از کارها یا لینکی به سایت طرفسوم برایتان ارسال کند که شاید مجبور شوید آن فایل را باز کرده یا روی آن لینک کلیک کنید. اما در واقع هر چیزی میتواند داخل آن سایت یا فایل باشد. محققین مرتباً در مرورگرها و بستههای آفیس آسیبپذیری پیدا میکنند. بارها شده که مهاجمین خواستهاند کنترل کامپیوترهای سازمانی را با درج اسکریپتهای آلوده در داکیومنت متنی یا جاگذاری پک اکسپلویت در کد وبسایت در دست گیرند. اما برخیاوقات چنین ترفندهایی شاید لازم نباشد. برخی از کارمندان آمادهاند تا بدون نگاه به افزونه یا اجرای فایل قابلاجرا روی فایل دریافتی کلیک کنند. در نظر داشته باشید که مهاجم میتواند پورتفولیوی کاملاً نرمالی را به شما نمایش دهد (نه لزوماً با کارهای خود) و بعدها در نتیجهی یک تسک، فایل مخربی را ارسال کنند. افزون بر این، فردی میتواند کنترل کامپیوتر یا میلباکس فریلسنر را در دست گرفته و از آنها برای حمله به شرکت شما استفاده کند. از اینها گذشته، هیچ کس نمیداند چطور دستگاه یا اکانت آنها دارد محافظت میشود و این درحالیست که تیم امنیت آیتی نیز هیچ نظارتی نمیتواند روی آنچه آنجا دارد اتفاق میافتد داشته باشد. نباید فایلهای دریافتی را بدون بررسی جزو دستهبندی «قابلاعتمادها» قرار دهید؛ حتی اگر از جانب فریلنسری است که سالهاست دارید با او کار میکنید.
راهکارهای امنیتی
اگر لازم است با داکیومنتهایی کار کنید که خارج از زیرساخت شرکت شما ساختهاند، حفظ بهداشت دیجیتال باید جزو اولویتهای شما باشد. همه کارمندان باید از تهدیدهای سایبری مربوطه مطلع باشند پس جا دارد میزان آگاهی آنها از سطح امنیت را بالا ببرید. علاوه بر این، میتوانیم این توصیهها را هم به شما بکنیم:
- قوانین سفت و سختی برای تبادل داکیومنت بگذارید، فریلسنرها را آگاه سازید و اگر فایلها با این قوانین مطابقت ندارند آنها را باز نکنید. استخراج شخصی آرشیوها؟ نه گزینه مناسبی نیست. آرشیوی با پسوردی که در همان مِیل مشخص شده است؟ این شاید تنها برای دور زدن فیلترهای ضد بدافزار ایمیل نیاز شود.
- برای کار با فایلهایی که از منابع خارجی میآیند کامپیوتری مجزا کاملاً ایزوله از سایر شبکه تخصیص کنید یا دست کم آنها را با دقت بررسی نمایید. بدینترتیب میتوانید به طور قابلملاحظهای موقع هر آلودگی، از میزان خطر احتمالی بکاهید.
- مطمئن شوید کامپیوتر یا ماشین مجازی به راهکار امنیتی مجهز است که اکسپلویت از آسیبپذیریها یا کلیک روی لینکی که به وبسایت آلودهای ختم میشود بلاک میکند.
حقوق دسترسی
بیایید اینطور فرض کنیم که متخصص خارجی مورد نظر را پیدا کردید. برای مشارکت روی یک پروژه، فریلنسرها اغلب به سیستمهای دیجیتالی شرکت دسترسی دارند: پلتفرمهای اشتراکگذاری فایل، سیستمهای مدیریت پروژه، سرویسهای کنفرانس، مسنجرهای داخلی، خدمات کلود و غیره. اینها باید از دو اشتباه جلوگیری کنید. به فریلنسرها بیش از حد مجازش اجازه دسترسی ندهید و فراموش نکنید بعد از اتمام پروژه دسترسی را باطل کنید. وقتی صحبت از دادن دسترسی میشود بهتر است کمترین حق را قائل شوید. یک فریلنسر فقط باید به آن دسته از منابع دسترسی داشته باشد که برای پروژه جاری لازم است. دسترسی نامحدود به ذخیرهگاه فایل یا حتی تاریخچههای چت میتواند تهدید محسوب شود. اطلاعات ذخیرهشده حتی در سرویسهای کمکی را دستکم نگیرید. بر اساس گزارشات رسانهای، هک سال 2020 توییتر زمانی شروع شد که مهاجمین به چت داخلی این سازمان دسترسی پیدا کردند. از این رو، آنها با استفاده از متودهای مهندسی اجتماعی توانستند یکی از کارمندان را مجاب کنند که به آنها دسترسی به بیش از هزار اکانت را بدهد. اینکه اکانتی اضافی به دادههای سازمان دسترسی داشته باشد چیز خوبی نیست. اگر فریلنسر پسورد ضعیفی را راهاندازه کرده باشد چه یا اگر از همان پسورد برای سایر اکانتهای خود استفاده کند چه؟ اگر نشتی صورت گرفت حتماً نقطه اضافیای در آسیبپذیری در شبکه سازمانیتان وجود دارد که باید دنبالش بگردید.
راهکارهای امنیتی
مهمترین کار این است که بعد از پایان ارتباط کاری با فریلنسر، اکانت او را پاک کرده و یا دیاکتیو نمایید. یا دست کم میل و پسورد مربوطه را تغییر دهید- این کار در سیستمهایی لازم میشود که همه دادههای مرتبط با اکانت را پاک میکنند. همچنین توصیه میکنیم که:
- رکورد متمرکزی از اینکه چه کسی به چه سرویسهایی دسترسی دارد داشته باشید. از طرفی این کار به ابطال همه حقوق بعد از اتمام پروژه کمک میکند و از طرفی دیگر میتواند موقع بررسی رخداد به کارتان بیاید.
- ملزم کردن کنتراکتورها به حفظ بهداشت دیجیتال و استفاده از راهکارهای امنیتی (دستکم آنهایی که رایگانند) روی دستگاههایی که برای اتصال به منابع شرکت استفاده میشوند.
- اعمال احراز هویت دوعاملی در همه سرویسهای کلود تا حد امکان.
- راهاندازی زیرساختی جداگانه برای پروژههای فریلنسرها و کنتراکتورهای زیرمجموعه و فایلها (در صورت امکان).
- اسکن همه فایلهای آپلودشده در ذخیرهگاه کلود یا سرور سازمانی برای پیدا کردن هر گونه بدافزار.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
