روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ کار کردن با فریلسنرها برای بسیاری از مدیران به روتین تبدیل شده است. حتی در یک سازمان بزرگ نیز همه‌ی تسک‌ها را هم نمی‌توان داخل تیم حل کرد؛ تازه این را هم نگوییم که کسب وکارهای کوچک که معمولاً نمی‌توانند هزینه استخدام کارمند تمام وقت دیگر را تقبل کنند. اما ارتباط دادن یک عامل خارجی با جریان کاری دیجیتال می‌تواند همچنین ریسک‌های سایبری اضافی را افزایش دهد؛ خصوصاً وقتی دارید بدون آژانس واسطه با فرد مستقیماً کار می‌کنید. در ادامه با ما همراه شوید تا توضیح دهیم چطور می‌شود با فریلسنرها کار کنید و در عین حال از خطرات سایبری نیز مصون بمانید.

خطراتی که ایمیل‌های دریافتی را تهدید می‌کنند

ابتدا باید به همه تهدیدهای احتمالی موقع گشتن به دنبال یک فریلسنر مطمئن و درست فکر کنید. نباید بدون اینکه به رزومه فرد نگاهی کنید اقدام استخدام کردنش نمایید. یک فریلسنر می‌تواند داکیومنت، آرشیوی از کارها یا لینکی به سایت طرف‌سوم برایتان ارسال کند که شاید مجبور شوید آن فایل را باز کرده یا روی آن لینک کلیک کنید. اما در واقع هر چیزی می‌تواند داخل آن سایت یا فایل باشد. محققین مرتباً در مرورگرها و بسته‌های آفیس آسیب‌پذیری پیدا می‌کنند. بارها شده که مهاجمین خواسته‌اند کنترل کامپیوترهای سازمانی را با درج اسکریپت‌های آلوده در داکیومنت متنی یا جاگذاری پک اکسپلویت در کد وبسایت در دست گیرند. اما برخی‌اوقات چنین ترفندهایی شاید لازم نباشد. برخی از کارمندان آماده‌اند تا بدون نگاه به افزونه یا اجرای فایل قابل‌اجرا روی فایل دریافتی کلیک کنند. در نظر داشته باشید که مهاجم می‌تواند پورتفولیوی کاملاً نرمالی را به شما نمایش دهد (نه لزوماً با کارهای خود) و بعدها در نتیجه‌ی یک تسک، فایل مخربی را ارسال کنند. افزون بر این، فردی می‌تواند کنترل کامپیوتر یا میل‌باکس فریلسنر را در دست گرفته و از آن‌ها برای حمله به شرکت شما استفاده کند. از اینها گذشته، هیچ کس نمی‌داند چطور دستگاه یا اکانت آن‌ها دارد محافظت می‌شود و این درحالیست که تیم امنیت آی‌تی نیز هیچ نظارتی نمی‌تواند روی آنچه آنجا دارد اتفاق می‌افتد داشته باشد. نباید فایل‌های دریافتی را بدون بررسی جزو دسته‌بندی «قابل‌اعتمادها» قرار دهید؛ حتی اگر از جانب فریلنسری است که سال‌هاست دارید با او کار می‌کنید.

راهکارهای امنیتی

اگر لازم است با داکیومنت‌هایی کار کنید که خارج از زیرساخت شرکت شما ساخته‌اند، حفظ بهداشت دیجیتال باید جزو اولویت‌های شما باشد. همه کارمندان باید از تهدیدهای سایبری مربوطه مطلع باشند پس جا دارد میزان آگاهی آن‌ها از سطح امنیت را بالا ببرید. علاوه بر این، می‌توانیم این توصیه‌ها را هم به شما بکنیم:

• قوانین سفت و سختی برای تبادل داکیومنت بگذارید، فریلسنرها را آگاه سازید و اگر فایل‌ها با این قوانین مطابقت ندارند آن‌ها را باز نکنید. استخراج شخصی آرشیوها؟ نه گزینه مناسبی نیست. آرشیوی با پسوردی که در همان مِیل مشخص شده است؟ این شاید تنها برای دور زدن فیلترهای ضد بدافزار ایمیل نیاز شود.
• برای کار با فایل‌هایی که از منابع خارجی می‌آیند کامپیوتری مجزا کاملاً ایزوله از سایر شبکه تخصیص کنید یا دست کم آن‌ها را با دقت بررسی نمایید. بدین‌ترتیب می‌توانید به طور قابل‌ملاحظه‌ای موقع هر آلودگی، از میزان خطر احتمالی بکاهید.
• مطمئن شوید کامپیوتر یا ماشین مجازی به راهکار امنیتی مجهز است که اکسپلویت از آسیب‌پذیری‌ها یا کلیک روی لینکی که به وبسایت آلوده‌ای ختم می‌شود بلاک می‌کند.

حقوق دسترسی

بیایید اینطور فرض کنیم که متخصص خارجی مورد نظر را پیدا کردید. برای مشارکت روی یک پروژه، فریلنسرها اغلب به سیستم‌های دیجیتالی شرکت دسترسی دارند: پلت‌فرم‌های اشتراک‌گذاری فایل، سیستم‌های مدیریت پروژه، سرویس‌های کنفرانس، مسنجرهای داخلی، خدمات کلود و غیره. اینها باید از دو اشتباه جلوگیری کنید. به فریلنسرها بیش از حد مجازش اجازه دسترسی ندهید و فراموش نکنید بعد از اتمام پروژه دسترسی را باطل کنید. وقتی صحبت از دادن دسترسی می‌شود بهتر است کمترین حق را قائل شوید. یک فریلنسر فقط باید به آن دسته از منابع دسترسی داشته باشد که برای پروژه جاری لازم است. دسترسی نامحدود به ذخیره‌گاه فایل یا حتی تاریخچه‌های چت می‌تواند تهدید محسوب شود. اطلاعات ذخیره‌شده حتی در سرویس‌های کمکی را دست‌کم نگیرید. بر اساس گزارشات رسانه‌ای، هک سال 2020 توییتر زمانی شروع شد که مهاجمین به چت داخلی این سازمان دسترسی پیدا کردند. از این رو، آن‌ها با استفاده از متودهای مهندسی اجتماعی توانستند یکی از کارمندان را مجاب کنند که به آن‌ها دسترسی به بیش از هزار اکانت را بدهد. اینکه اکانتی اضافی به داده‌های سازمان دسترسی داشته باشد چیز خوبی نیست. اگر فریلنسر پسورد ضعیفی را راه‌اندازه کرده باشد چه یا اگر از همان پسورد برای سایر اکانت‌های خود استفاده کند چه؟ اگر نشتی صورت گرفت حتماً نقطه اضافی‌ای در آسیب‌پذیری در شبکه سازمانی‌تان وجود دارد که باید دنبالش بگردید.

راهکارهای امنیتی

مهمترین کار این است که بعد از پایان ارتباط کاری با فریلنسر، اکانت او را پاک کرده و یا دی‌اکتیو نمایید. یا دست کم میل و پسورد مربوطه را تغییر دهید- این کار در سیستم‌هایی لازم می‌شود که همه داده‌های مرتبط با اکانت را پاک می‌کنند. همچنین توصیه می‌کنیم که:

• رکورد متمرکزی از اینکه چه کسی به چه سرویس‌هایی دسترسی دارد داشته باشید. از طرفی این کار به ابطال همه حقوق بعد از اتمام پروژه کمک می‌کند و از طرفی دیگر می‌تواند موقع بررسی رخداد به کارتان بیاید.
• ملزم کردن کنتراکتورها به حفظ بهداشت دیجیتال و استفاده از راهکارهای امنیتی (دست‌کم آن‌هایی که رایگانند) روی دستگاه‌هایی که برای اتصال به منابع شرکت استفاده می‌شوند.
• اعمال احراز هویت دوعاملی در همه سرویس‌های کلود تا حد امکان.
• راه‌اندازی زیرساختی جداگانه برای پروژه‌های فریلنسرها و کنتراکتورهای زیرمجموعه و فایل‌ها (در صورت امکان).
• اسکن همه فایل‌های آپلودشده در ذخیره‌گاه کلود یا سرور سازمانی برای پیدا کردن هر گونه بدافزار.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.